Aplicaciones web y APIs
- Autenticación, sesiones y control de acceso.
- Lógica de negocio y exposición de datos.
- Inyecciones, errores de configuración y APIs.
Por qué confiar
Ofensiva autorizada, criterio defensivo y documentación pericial.
Más de 20 años en sistemas, desarrollo y seguridad. Perito Judicial Informático TIP 639 AEPEJU, DPD/DPO certificado por la AEPD y desarrollador de software propio: se revisa una aplicación desde fuera, pero también se entiende qué ocurre por dentro: arquitectura, lógica, binarios, evidencias y riesgo jurídico.
Alcance
Qué se puede probar.
El alcance se adapta al activo y al nivel de autorización: caja negra, caja gris o revisión asistida cuando aportas contexto técnico.
Servidores e infraestructura
- Superficie expuesta, servicios y versiones.
- Hardening, segmentación y credenciales.
- Vectores de entrada y movimiento lateral realistas.
Apps móviles Android / iOS
- Comunicaciones y almacenamiento local.
- Autenticación, permisos e integraciones.
- Resistencia ante manipulación y reversing.
Programas y binarios de escritorio
- Comportamiento local y gestión de secretos.
- Integridad y abuso de funciones.
- Análisis técnico del ejecutable.
Cómo se trabaja
Del alcance al retest, siempre bajo control.
Activos autorizados, límites, ventanas horarias, contactos de emergencia y criterios de severidad por escrito.
Búsqueda de fallos explotables sin degradar el servicio ni tocar datos fuera de lo necesario.
Cada hallazgo se contrasta para descartar falsos positivos y agrupar duplicados.
Impacto, evidencia, reproducción segura, riesgo, recomendación y prioridad.
Comprobación de las correcciones de los hallazgos P1–P4 dentro del plazo pactado.
Modelo por hallazgo
Pagas por vulnerabilidad real validada.
Funciona como un bug bounty privado: pagas por vulnerabilidades reales, validadas y dentro del alcance. Para que el trabajo sea serio y previsible, el servicio incluye una cuota base de alcance y coordinación, un presupuesto máximo pactado y reglas claras de severidad.
IVA no incluido
| Severidad | Tarifa por hallazgo | Cuándo se aplica |
|---|---|---|
| P1 · Crítica | 2.500 € | Compromiso total: ejecución remota de código, toma de control o acceso masivo a datos. |
| P2 · Alta | 1.000 € | Escalada de privilegios, acceso a datos sensibles o fallos graves de autenticación o lógica. |
| P3 · Media | 400 € | Riesgo medio, explotable bajo ciertas condiciones o con impacto limitado. |
| P4 · Baja | 150 € | Riesgo bajo o de difícil explotación; conviene corregir. |
| P5 · Informativa | 0 € | Buenas prácticas y recomendaciones sin riesgo directo. Sin coste. |
- Incluye cuota base de alcance y coordinación, ajustada a cada activo.
- Presupuesto máximo pactado (cap): sin sorpresas, con aviso al acercarse al límite.
- Retest incluido de los hallazgos P1–P4 corregidos en plazo.
- Severidad por CVSS ajustada al contexto de negocio; sin pago por duplicados.
- La cuota base se descuenta, total o parcialmente, de los primeros hallazgos cuando el engagement supera el mínimo pactado.
Entregables
Lo que recibes.
- Resumen ejecutivo para dirección: riesgo, impacto y decisiones recomendadas.
- Detalle técnico para quien corrige: causa, evidencia, alcance y mitigación.
- Clasificación por severidad P1–P5 apoyada en CVSS y contexto de negocio.
- Registro de pruebas y evidencias con enfoque forense cuando el caso lo requiere.
- Reunión de cierre para priorizar correcciones y resolver dudas técnicas.
Marco legal
Solo pruebas autorizadas.
No se realizan pruebas sin contrato, autorización expresa y alcance firmado. Antes de empezar se define qué se puede probar, qué queda fuera, qué datos no deben tocarse, cómo se notifican incidencias y cuándo debe detenerse la prueba. El objetivo no es «romper» sistemas: es medir el riesgo real con control, confidencialidad y utilidad para corregir.
Preguntas frecuentes
Preguntas frecuentes
¿Es un servicio de hacking?
Es seguridad ofensiva autorizada. Las pruebas se realizan siempre con contrato, autorización expresa, alcance firmado, límites pactados y trazabilidad.
¿Podéis probar una web o un sistema en producción?
Sí, cuando el alcance y las ventanas de prueba lo permiten. Se prioriza no afectar la disponibilidad y se acuerdan reglas de parada ante cualquier incidencia.
¿Se paga por vulnerabilidades duplicadas?
No. Un mismo problema raíz cuenta una sola vez, aunque se manifieste en varias URLs, pantallas o endpoints.
¿Quién decide la severidad de cada hallazgo?
Se propone con CVSS ajustado por explotabilidad real, datos afectados, privilegios y contexto de negocio. La severidad final queda documentada y se revisa con el cliente.
¿Incluye retest de los fallos corregidos?
Sí. El servicio incluye un retest de los hallazgos P1–P4 que se corrijan dentro del plazo pactado, para confirmar que la corrección es efectiva.
¿Sirve como evidencia para compliance o un procedimiento judicial?
Sí. El informe sirve como evidencia técnica de revisión y mejora, y los hallazgos pueden documentarse con rigor pericial cuando el caso lo requiere (Perito Judicial Informático TIP 639 AEPEJU).
Contacto directo
Define un alcance seguro antes de probar nada.
Cuéntame qué activo quieres evaluar, qué ventana de pruebas te encaja y qué nivel de acceso puedes aportar. Te devuelvo una propuesta con alcance, reglas, límites, presupuesto máximo y entregables.
