OWASP WSTG//ASVS//PTES//MITRE ATT&CK//OWASP API TOP 10//CVSS 3.1//CWE//MANUAL TESTING//OWASP WSTG//ASVS//PTES//MITRE ATT&CK//OWASP API TOP 10//CVSS 3.1//CWE//MANUAL TESTING//
/01SERVICIOS
Seguridad ofensiva enfocada en impacto de negocio
Cada engagement es análisis manual profundo. Los escáneres cubren lo trivial; nosotros encontramos las cadenas que comprometen tus datos.
/01
Web Application Pentest
Auditoría manual completa: control de acceso, IDOR/BOLA, inyecciones, lógica de negocio y toda la superficie que un escaneo automático ignora.
OWASP WSTGAuthzBusiness logic
/02
API & GraphQL Security
REST y GraphQL contra el OWASP API Top 10: BOLA, BFLA, mass assignment, autorización a nivel de objeto y fugas de datos entre clientes.
API Top 10GraphQLMulti-tenant
/03
Cloud & Infrastructure
AWS/GCP/Azure: SSRF a metadata, exposición de credenciales, buckets abiertos, IAM permisivo y superficie de red innecesaria.
AWS/GCP/AzureSSRFIAM
/04
Authentication & SSO
OAuth/OIDC, SAML y JWT: bypass de autenticación, session hijacking, account takeover y errores de integración con el IdP.
OAuth/OIDCSAMLJWT
/05
Attack Surface Assessment
Mapeo del perímetro real: subdominios, activos olvidados, secretos en el front-end, endpoints internos accesibles y shadow IT.
ReconSecretsDiscovery
/06
Continuous Security Testing
Testing recurrente con mentalidad de atacante real. Para equipos con releases frecuentes que necesitan cobertura continua, no una foto anual.
RetestÁgilImpact-driven
/02MÉTODO
Por qué las empresas eligen debsec
La diferencia entre un reporte de escáner y una reducción real de riesgo está en la profundidad del análisis y la calidad del entregable.
01
Análisis 100% manual
Los escáneres encuentran lo evidente. Las brechas reales viven en la lógica de negocio y en cadenas de varios pasos que solo un analista humano descubre.
02
Impacto probado, no teórico
Cada hallazgo se demuestra con un PoC reproducible y evidencia real. Nada de "podría ser explotable": si lo reportamos, lo confirmamos end-to-end.
03
Severidad honesta
Calificación CVSS 3.1 alineada al impacto real. Sin inflar riesgo para justificar el informe — tu equipo prioriza con datos confiables.
04
Mindset de bug bounty
Experiencia probada compitiendo contra los mejores researchers del mundo en programas de primer nivel. El mismo rigor, aplicado a tu organización.
05
Comunicación directa
Trabajás directamente con el investigador que ejecuta el test. Los hallazgos críticos se comunican al momento, no al final.
06
Retest sin costo extra
Verificamos que las correcciones cierran la vulnerabilidad. El engagement no termina hasta confirmar que el riesgo quedó mitigado.
/03PROCESO
Un proceso claro, de inicio a retest
Transparente y colaborativo. Sabés en cada momento qué se prueba, qué se encontró y cómo remediarlo.
01
Scoping
Alcance & reglas
Objetivos, activos en scope, ventanas de prueba y reglas de engagement. NDA y autorización.
02
Testing
Ejecución manual
Recon profundo y explotación manual. Los críticos se escalan de inmediato, no esperan al informe.
03
Reporting
Entregable
Informe ejecutivo + técnico con CVSS, CWE, pasos de reproducción y remediación priorizada.
04
Retest
Verificación
Re-verificamos cada hallazgo tras las correcciones y entregamos un attestation de cierre.
/04ENTREGABLES
Un informe que tu equipo puede accionar
Para dos audiencias: dirección que necesita entender el riesgo, e ingeniería que necesita arreglarlo.
+
Resumen ejecutivo — postura de riesgo en lenguaje de negocio.
+
Detalle técnico por hallazgo — severidad CVSS 3.1, CWE y evidencia real.
+
Pasos de reproducción — copy-paste, para confirmar y corregir sin adivinar.
+
Remediación priorizada — qué arreglar primero y cómo.
+
Retest & attestation — verificación de cierre para auditoría o compliance.
// findings_summary.log
Broken Access Control (IDOR)CRITICAL
SSRF → cloud metadataCRITICAL
Authentication bypassHIGH
Mass assignmentHIGH
Sensitive data in JS bundleMEDIUM
Security headers missingINFO
// cada uno con PoC + remediación:)
/05RESULTADOS
Impacto real, bajo confidencialidad
Cada engagement se realiza bajo NDA. Resultados anonimizados que ilustran el tipo de riesgo que ayudamos a cerrar.
Fintech · SaaS B2B
"Un fallo de control de acceso exponía datos de otros clientes vía la API. Ningún escaneo previo lo detectó. El PoC lo dejó imposible de ignorar."
IDOR
cross-tenant
<72h
fix + retest
E-commerce · Retail
"Un endpoint interno seguía una URL arbitraria y alcanzaba la metadata del cloud. Desde ahí, credenciales temporales de la infraestructura."
SSRF
→ IMDS cloud
Crit
CVSS 9.1
Banca digital
"Un JWT mal validado aceptaba el algoritmo cambiado. Firmamos un token con rol de otro usuario y la sesión lo dio por válido."
JWT
key confusion → ATO
Crit
takeover de cuenta
Marketplace · Gig
"El registro aceptaba un campo que el front nunca enviaba. El backend no lo validaba: creamos una cuenta con privilegios de administrador."
Mass assign
privilege escalation
Admin
acceso total
Telecom · SaaS
"El middleware de auth y el router interpretaban la ruta distinto. Un sufijo bien puesto saltaba el control y exponía el panel interno."
Auth bypass
parser differential
Panel
interno expuesto
Salud · Plataforma
"Comunicación directa con quien ejecutaba el test. El crítico nos llegó el mismo día que lo encontró, no al final. Eso marcó la diferencia."
GraphQL
BOLA → PII
Retest
cierre verificado
// casos anonimizados · referencias verificables bajo NDA a solicitud
/06MODELOS
Contratación flexible según tu necesidad
Desde una evaluación puntual hasta cobertura continua. El precio final depende del alcance — cotización cerrada tras el scoping, sin sorpresas.
Assessment puntual
Un pentest completo sobre una aplicación, API o alcance definido.
Todos los engagements incluyen NDA, autorización formal de scope y comunicación en ES / EN.
/07FAQ
Lo que suelen preguntar antes de contratar
¿Cuánto dura un engagement típico?+
Depende del alcance. Un pentest de una app web de tamaño medio toma de una a dos semanas de testing, más el informe. Tras el scoping entregamos un cronograma concreto con fechas de inicio, entrega y ventana de retest.
¿Qué necesitan de nuestro lado para empezar?+
Definir el alcance, una autorización formal por escrito para probarlo, y según el caso credenciales de prueba o accesos a staging. Firmamos NDA antes de recibir información sensible.
¿Prueban sobre producción o staging?+
Ambos. Preferimos staging cuando existe una réplica fiel, para eliminar riesgo operativo. Si el testing debe ser sobre producción, acordamos ventanas, límites y un canal directo para pausar ante cualquier incidencia.
¿Cómo manejan la confidencialidad?+
Todo bajo NDA. Hallazgos, evidencia y cualquier dato al que se acceda se tratan como confidenciales y se comparten solo por canales seguros. Nunca divulgamos información de un cliente ni la usamos fuera del alcance autorizado.
¿Qué pasa si encuentran algo crítico?+
No esperamos al informe final. Los críticos se comunican de inmediato por el canal directo acordado, con evidencia y recomendaciones iniciales de mitigación, para actuar cuanto antes.
¿El retest tiene costo adicional?+
No. Cada engagement incluye retest: tras las correcciones re-verificamos cada hallazgo y confirmamos el cierre. Entregamos un attestation que sirve para auditoría, clientes o compliance.
¿Trabajan con empresas fuera de Chile?+
Sí. El trabajo es remoto y colaboramos con empresas en LATAM, Europa y EE.UU. Los informes se entregan en español o inglés, coordinando según tu huso horario.
/08CONTACTO
Solicitá una propuesta
Contanos tu alcance — aplicación, API o infraestructura — y respondemos con un plan y una cotización sin compromiso, normalmente en menos de 24 horas hábiles.