Contacto
Pentesting Premium · Servicios

Pentest manual.
Contacto directo.

Equipo OSWE · OSCP · CPPTv2 · CEH especializado en banca, fintech regulada y plataformas críticas globales. Hablas con el Lead Offensive Security desde el primer call · misma persona en scoping, ejecución y reporte.

PENTESTING PREMIUM CNBV · PCI · SOC 2 · ISO 27001
Programar llamada → Explorar servicios
8+ Años de experiencia senior
47+ Proyectos entregados
180+ Críticas reportadas
OSWE Certificación principal
Mobile Pentesting 01 / 03

Apps iOS y Android
como un atacante real.

Evaluación integral de aplicaciones móviles, desde el binario y el código hasta las transacciones financieras y la API que consume.

01

Análisis estático profundo

Decompilación de IPA y APK, manifest, permisos, secretos embebidos, configuraciones inseguras y exposición de componentes.

02

Análisis dinámico en dispositivo

Frida instrumenta la app en runtime: bypass de SSL Pinning, root/jailbreak, anti-debugging, detección de Frida y RootBeer.

03

Lógica de negocio financiero

Race conditions en transferencias, montos negativos, OTP en plaintext, replay de transacciones, status tampering.

04

API móvil expuesta

Las APIs que consume la app suelen ser versiones más viejas o menos auditadas. Las probamos como una superficie crítica adicional.

VER DETALLE TÉCNICO

Vulnerabilidades cubiertas

HIGH SSL Pinning bypass NETWORK-1
CRIT OTP / MFA bypass AUTH-2
CRIT Task Hijacking PLATFORM-1
CRIT Hardcoded secrets / API keys CODE-3
HIGH Cleartext traffic NETWORK-2
MED ADB backup habilitado STORAGE-2
MED Debuggable APK en producción CODE-1
HIGH Componentes exportados sin validación PLATFORM-3
HIGH SQLite plaintext / SharedPreferences STORAGE-3
MED Bypass de detección Frida / RootBeer INTEGRITY

Herramientas principales

FridaAPKToolJADXADBobjectionMobSFBurp Suite Pro

Estándares aplicados

OWASP MASVSOWASP MASTGNIST SP 800-163
Servicio respaldado por OSCP Certificación práctica de OffSec
Web Pentesting 02 / 03

Plataformas web
auditadas en profundidad.

SPAs modernas, portales transaccionales y dashboards administrativos. Analizamos la lógica como un desarrollador que busca romperla.

01

Black-box, gray-box o white-box

Adaptamos la metodología al acceso disponible. Con código fuente encontramos vulnerabilidades que jamás aparecen desde el navegador.

02

Lógica de negocio

Bypass de límites, transferencias duplicadas, escalamiento de privilegios, manipulación de flujos multi-paso.

03

Cobertura OWASP Top 10 + más

No nos quedamos en los clásicos. Cubrimos OWASP ASVS y CWE Top 25, incluyendo vulnerabilidades específicas del stack tecnológico.

04

Pruebas autenticadas y encadenamiento

Combinamos hallazgos de bajo impacto en cadenas de explotación que escalan a comprometer cuentas o exfiltrar datos sensibles.

VER DETALLE TÉCNICO

Vulnerabilidades cubiertas

CRIT Command / OS Injection CWE-78
CRIT SQL Injection / NoSQL Injection CWE-89
HIGH Server-Side Request Forgery (SSRF) CWE-918
HIGH Local File Inclusion / Path Traversal CWE-22
HIGH Cross-Site Scripting (Reflected, Stored, DOM) CWE-79
MED CORS misconfiguration CWE-346
CRIT Insecure Deserialization / SSTI CWE-502
CRIT Authentication bypass CWE-287
HIGH Privilege escalation horizontal y vertical CWE-269
MED Information disclosure / Stack traces CWE-200

Herramientas principales

Burp Suite ProsqlmapghauriffufnucleiarjunAnálisis de código fuente

Estándares aplicados

OWASP Top 10OWASP ASVSCWE Top 25PTES
Servicio respaldado por OSWE Certificación práctica de OffSec
API Security 03 / 03

APIs REST y GraphQL
endpoint por endpoint.

La capa donde corren las transacciones críticas. Cada parámetro, cada flujo de autenticación, cada ruta: probada manualmente.

01

Cobertura OWASP API Top 10

BOLA, BFLA, autenticación rota, mass assignment, recursos sin límite, configuración insegura. Auditamos cada categoría.

02

JWT y OAuth2 a fondo

Forging de tokens, alg:none, RS256→HS256 confusion, replay, signature stripping. Validamos toda la cadena de autenticación.

03

GraphQL avanzado

Introspection abuse, batching attacks, alias DoS, field suggestion leaks, autorización a nivel de resolver.

04

Lógica transaccional

Race conditions en pagos y transferencias, bypass de rate limits, idempotency abuse, parameter tampering.

VER DETALLE TÉCNICO

Vulnerabilidades cubiertas

CRIT BOLA: Broken Object Level Authorization API1
CRIT JWT con alg:none / signature stripping API2
HIGH BFLA: Broken Function Level Authorization API5
HIGH Mass Assignment / Excessive Data Exposure API3 / API6
CRIT Race conditions en transacciones CWE-362
MED Rate limiting bypass API4
MED GraphQL Introspection en producción API8
HIGH API versioning sin auth (v1.0 expuesta) API9
HIGH Spring Boot Actuator expuesto API7
HIGH OAuth2 redirect_uri abuse CWE-601

Herramientas principales

Burp Suite Projwt_toolPostman / BrunoGraphQL VoyagerffufarjunScripts custom

Estándares aplicados

OWASP API Security Top 10OAuth 2.0 RFC 6749OpenID ConnectNIST SP 800-204
Servicio respaldado por OSWE Certificación práctica de OffSec
Hallazgos típicos en producción

Lo que encontramos
una y otra vez.

Patrones extraídos de proyectos reales en plataformas en producción. Si tu plataforma no ha sido auditada manualmente, hay buenas probabilidades de que al menos uno aplique.

CRÍTICA API

Race condition permite duplicar monto de transferencia

IMPACTO Pérdida financiera directa

El endpoint de transferencias no implementa idempotency tokens ni locks transaccionales. Múltiples requests simultáneos procesan el mismo monto sin descontar saldo.

CRÍTICA API

JWT con alg:none acepta tokens forjados

IMPACTO Toma de control de cualquier cuenta

El backend acepta tokens sin firma cuando el header alg está vacío o en "none". Se puede generar un token válido para cualquier user_id sin conocer el secreto.

ALTA API

BOLA en endpoint de préstamos expone datos de otros clientes

IMPACTO Fuga masiva de información financiera

El endpoint /api/loans/{id} no valida ownership. Iterando IDs es posible leer historial crediticio, montos y datos personales de cualquier cliente activo.

ALTA MOBILE

OTP devuelto en respuesta API permite bypass total de 2FA

IMPACTO Compromiso de cuentas con 2FA activo

La API devuelve el código OTP en el cuerpo de respuesta del endpoint que solicita el envío. El atacante interceptando el tráfico obtiene el segundo factor sin acceso al teléfono.

CRÍTICA WEB

Status tampering revierte transacción aprobada

IMPACTO Reversión fraudulenta de pagos

El frontend permite cambiar el estado de una transacción enviando un parámetro adicional que el backend confía sin validar. Pagos aprobados pueden marcarse como cancelados conservando el bien o servicio.

ALTA MOBILE

SSL Pinning ausente en iOS permite MITM

IMPACTO Intercepción de credenciales y tokens

La app no implementa certificate pinning. Un atacante en una red Wi-Fi controlada intercepta y modifica todo el tráfico HTTPS sin que la app lo detecte.

Cumplimiento y estándares

Reportes que pasan
auditorías reales.

Cada informe está estructurado para satisfacer los requerimientos de auditores y reguladores. No es un PDF genérico, es una pieza de evidencia formal.

CNBV México

Comisión Nacional Bancaria y de Valores

Disposiciones de seguridad de la información para entidades financieras en México. Nuestros reportes incluyen las secciones que la CNBV solicita en auditorías.

PCI DSS Global

Payment Card Industry Data Security Standard

Estándar global para procesar, almacenar y transmitir información de tarjetahabientes. Cubrimos los requerimientos 6.5, 11.3 y 11.4 con detalle.

ISO 27001 Global

Sistema de Gestión de Seguridad de la Información

Cumplimos los controles A.14.2.8 (pruebas de seguridad de aplicación) y A.18.2.3 (revisión de cumplimiento técnico) requeridos para certificación.

OWASP MASVS Global

Mobile Application Security Verification Standard

Cobertura completa de las 8 categorías MASVS y sus 80+ controles. Aplicable a apps iOS y Android.

OWASP ASVS Global

Application Security Verification Standard

Niveles 1, 2 y 3 según criticidad acordada. Documentamos qué controles cumple, cuáles fallan y cuáles requieren remediación.

LFPDPPP México

Ley Federal de Protección de Datos Personales

Apps que manejan datos personales de mexicanos. Verificamos controles técnicos para cumplir con la normativa local.

Qué incluye cada proyecto

Todo lo que necesitas
para cerrar el ciclo.

Reporte ejecutivo

Para dirección y comité: impacto, riesgo y métricas accionables.

Reporte técnico

Para el equipo de desarrollo: request/response, código vulnerable, fix concreto.

PoC documentada

Prueba de concepto reproducible para cada hallazgo encontrado.

CVSS 3.1

Score y vector CVSS por hallazgo, alineado a la criticidad de tu negocio.

Guía de remediación

Instrucciones paso a paso, no recomendaciones genéricas. Específicas a tu stack.

Disponible en ES + EN

Reportes bilingües para comités multinacionales o auditorías externas.

Validación de remediación

Re-test sin costo adicional. Validamos cada hallazgo cerrado y emitimos addendum.

Acompañamiento

Dudas del equipo de desarrollo durante remediación. Llamadas, Slack o email.

Siguiente paso

Cuéntanos qué quieres
poner a prueba.

30 minutos para entender tu plataforma, definir alcance recomendado y ver si encajamos. Si no te aportamos valor, no pasa nada.

Programar llamada → Enviar mensaje
✓ Respuesta en menos de 24h ✓ Misma persona en scoping, ejecución y reporte ✓ Cotización el mismo día o al siguiente