Red Team · Pentesting

Red Team i pentesting autoritzat per saber fins on arribaria un atacant real.

Proves d'intrusió amb abast signat, execució controlada i evidències útils per decidir: vulnerabilitats explotables, impacte real i prioritats clares de correcció.

Definir abast Parlar per WhatsApp
  • +20 anys en seguretat
  • Perit TIP 639 AEPEJU
  • Només proves autoritzades
Per què confiar

Ofensiva autoritzada, criteri defensiu i documentació pericial.

Més de 20 anys en sistemes, desenvolupament i seguretat. Perit Judicial Informàtic TIP 639 AEPEJU, DPD/DPO certificat per l'AEPD i desenvolupador de programari propi: es revisa una aplicació des de fora, però també s'entén què passa per dins: arquitectura, lògica, binaris, evidències i risc jurídic.

Abast

Què es pot provar.

L'abast s'adapta a l'actiu i al nivell d'autorització: caixa negra, caixa grisa o revisió assistida quan aportes context tècnic.

Aplicacions web i APIs

  • Autenticació, sessions i control d'accés.
  • Lògica de negoci i exposició de dades.
  • Injeccions, errors de configuració i APIs.

Servidors i infraestructura

  • Superfície exposada, serveis i versions.
  • Hardening, segmentació i credencials.
  • Vectors d'entrada i moviment lateral realistes.

Apps mòbils Android / iOS

  • Comunicacions i emmagatzematge local.
  • Autenticació, permisos i integracions.
  • Resistència davant manipulació i reversing.

Programes i binaris d'escriptori

  • Comportament local i gestió de secrets.
  • Integritat i abús de funcions.
  • Anàlisi tècnica de l'executable.
Com es treballa

De l'abast al retest, sempre sota control.

1Abast i regles del joc

Actius autoritzats, límits, finestres horàries, contactes d'emergència i criteris de severitat per escrit.

2Prova controlada

Cerca d'errades explotables sense degradar el servei ni tocar dades fora del que és necessari.

3Validació

Cada troballa es contrasta per descartar falsos positius i agrupar duplicats.

4Informe tècnic i executiu

Impacte, evidència, reproducció segura, risc, recomanació i prioritat.

5Retest

Comprovació de les correccions de les troballes P1–P4 dins del termini pactat.

Model per troballa

Pagues per vulnerabilitat real validada.

Funciona com un bug bounty privat: pagues per vulnerabilitats reals, validades i dins de l'abast. Perquè la feina sigui seriosa i previsible, el servei inclou una quota base d'abast i coordinació, un pressupost màxim pactat i regles clares de severitat.

IVA no inclòs

SeveritatTarifa per troballaQuan s'aplica
P1 · Crítica2.500 €Compromís total: execució remota de codi, presa de control o accés massiu a dades.
P2 · Alta1.000 €Escalada de privilegis, accés a dades sensibles o errades greus d'autenticació o lògica.
P3 · Mitjana400 €Risc mitjà, explotable sota certes condicions o amb impacte limitat.
P4 · Baixa150 €Risc baix o de difícil explotació; convé corregir.
P5 · Informativa0 €Bones pràctiques i recomanacions sense risc directe. Sense cost.
  • Inclou quota base d'abast i coordinació, ajustada a cada actiu.
  • Pressupost màxim pactat (cap): sense sorpreses, amb avís en acostar-se al límit.
  • Retest inclòs de les troballes P1–P4 corregides dins de termini.
  • Severitat per CVSS ajustada al context de negoci; sense pagament per duplicats.
  • La quota base es descompta, totalment o parcialment, de les primeres troballes quan l'engagement supera el mínim pactat.
Sol·licitar proposta
Lliurables

Què reps.

  • Resum executiu per a direcció: risc, impacte i decisions recomanades.
  • Detall tècnic per a qui corregeix: causa, evidència, abast i mitigació.
  • Classificació per severitat P1–P5 basada en CVSS i context de negoci.
  • Registre de proves i evidències amb enfocament forense quan el cas ho requereix.
  • Reunió de tancament per prioritzar correccions i resoldre dubtes tècnics.
Marc legal

Només proves autoritzades.

No es fan proves sense contracte, autorització expressa i abast signat. Abans de començar es defineix què es pot provar, què queda fora, quines dades no s'han de tocar, com es notifiquen incidències i quan s'ha d'aturar la prova. L'objectiu no és «trencar» sistemes: és mesurar el risc real amb control, confidencialitat i utilitat per corregir.

Preguntes freqüents

Preguntes freqüents

És un servei de hacking?

És seguretat ofensiva autoritzada. Les proves es fan sempre amb contracte, autorització expressa, abast signat, límits pactats i traçabilitat.

Podeu provar una web o un sistema en producció?

Sí, quan l'abast i les finestres de prova ho permeten. Es prioritza no afectar la disponibilitat i s'acorden regles d'aturada davant qualsevol incidència.

Es paga per vulnerabilitats duplicades?

No. Un mateix problema d'arrel compta una sola vegada, encara que es manifesti en diverses URL, pantalles o endpoints.

Qui decideix la severitat de cada troballa?

Es proposa amb CVSS ajustat per explotabilitat real, dades afectades, privilegis i context de negoci. La severitat final queda documentada i es revisa amb el client.

Inclou retest de les errades corregides?

Sí. El servei inclou un retest de les troballes P1–P4 que es corregeixin dins del termini pactat, per confirmar que la correcció és efectiva.

Serveix com a evidència per a compliance o un procediment judicial?

Sí. L'informe serveix com a evidència tècnica de revisió i millora, i les troballes es poden documentar amb rigor pericial quan el cas ho requereix (Perit Judicial Informàtic TIP 639 AEPEJU).

Interlinking

Serveis relacionats

Contacte directe

Defineix un abast segur abans de provar res.

Explica'm quin actiu vols avaluar, quina finestra de proves t'encaixa i quin nivell d'accés pots aportar. Et torno una proposta amb abast, regles, límits, pressupost màxim i lliurables.

Sol·licitar proposta de Red Team Obrir WhatsApp