Offensive Security Lab

Cada sistema
deja una huella.
Encontramos
dónde se rompe.

Penetration testing ofensivo y manual para web, APIs y cloud. Cadenas de explotación completas, prueba de impacto real y cero ruido de escáner.

/01SERVICIOS

Seguridad ofensiva enfocada en impacto de negocio

Cada engagement es análisis manual profundo. Los escáneres cubren lo trivial; nosotros encontramos las cadenas que comprometen tus datos.

/01

Web Application Pentest

Auditoría manual completa: control de acceso, IDOR/BOLA, inyecciones, lógica de negocio y toda la superficie que un escaneo automático ignora.

OWASP WSTGAuthzBusiness logic
/02

API & GraphQL Security

REST y GraphQL contra el OWASP API Top 10: BOLA, BFLA, mass assignment, autorización a nivel de objeto y fugas de datos entre clientes.

API Top 10GraphQLMulti-tenant
/03

Cloud & Infrastructure

AWS/GCP/Azure: SSRF a metadata, exposición de credenciales, buckets abiertos, IAM permisivo y superficie de red innecesaria.

AWS/GCP/AzureSSRFIAM
/04

Authentication & SSO

OAuth/OIDC, SAML y JWT: bypass de autenticación, session hijacking, account takeover y errores de integración con el IdP.

OAuth/OIDCSAMLJWT
/05

Attack Surface Assessment

Mapeo del perímetro real: subdominios, activos olvidados, secretos en el front-end, endpoints internos accesibles y shadow IT.

ReconSecretsDiscovery
/06

Continuous Security Testing

Testing recurrente con mentalidad de atacante real. Para equipos con releases frecuentes que necesitan cobertura continua, no una foto anual.

RetestÁgilImpact-driven
/02MÉTODO

Por qué las empresas eligen debsec

La diferencia entre un reporte de escáner y una reducción real de riesgo está en la profundidad del análisis y la calidad del entregable.

01

Análisis 100% manual

Los escáneres encuentran lo evidente. Las brechas reales viven en la lógica de negocio y en cadenas de varios pasos que solo un analista humano descubre.

02

Impacto probado, no teórico

Cada hallazgo se demuestra con un PoC reproducible y evidencia real. Nada de "podría ser explotable": si lo reportamos, lo confirmamos end-to-end.

03

Severidad honesta

Calificación CVSS 3.1 alineada al impacto real. Sin inflar riesgo para justificar el informe — tu equipo prioriza con datos confiables.

04

Mindset de bug bounty

Experiencia probada compitiendo contra los mejores researchers del mundo en programas de primer nivel. El mismo rigor, aplicado a tu organización.

05

Comunicación directa

Trabajás directamente con el investigador que ejecuta el test. Los hallazgos críticos se comunican al momento, no al final.

06

Retest sin costo extra

Verificamos que las correcciones cierran la vulnerabilidad. El engagement no termina hasta confirmar que el riesgo quedó mitigado.

/03PROCESO

Un proceso claro, de inicio a retest

Transparente y colaborativo. Sabés en cada momento qué se prueba, qué se encontró y cómo remediarlo.

01
Scoping

Alcance & reglas

Objetivos, activos en scope, ventanas de prueba y reglas de engagement. NDA y autorización.

02
Testing

Ejecución manual

Recon profundo y explotación manual. Los críticos se escalan de inmediato, no esperan al informe.

03
Reporting

Entregable

Informe ejecutivo + técnico con CVSS, CWE, pasos de reproducción y remediación priorizada.

04
Retest

Verificación

Re-verificamos cada hallazgo tras las correcciones y entregamos un attestation de cierre.

/04ENTREGABLES

Un informe que tu equipo puede accionar

Para dos audiencias: dirección que necesita entender el riesgo, e ingeniería que necesita arreglarlo.

  • +
    Resumen ejecutivo — postura de riesgo en lenguaje de negocio.
  • +
    Detalle técnico por hallazgo — severidad CVSS 3.1, CWE y evidencia real.
  • +
    Pasos de reproducción — copy-paste, para confirmar y corregir sin adivinar.
  • +
    Remediación priorizada — qué arreglar primero y cómo.
  • +
    Retest & attestation — verificación de cierre para auditoría o compliance.
// findings_summary.log
Broken Access Control (IDOR)CRITICAL
SSRF → cloud metadataCRITICAL
Authentication bypassHIGH
Mass assignmentHIGH
Sensitive data in JS bundleMEDIUM
Security headers missingINFO
// cada uno con PoC + remediación:)
/05RESULTADOS

Impacto real, bajo confidencialidad

Cada engagement se realiza bajo NDA. Resultados anonimizados que ilustran el tipo de riesgo que ayudamos a cerrar.

Fintech · SaaS B2B
"Un fallo de control de acceso exponía datos de otros clientes vía la API. Ningún escaneo previo lo detectó. El PoC lo dejó imposible de ignorar."
IDOR
cross-tenant
<72h
fix + retest
E-commerce · Retail
"Un endpoint interno seguía una URL arbitraria y alcanzaba la metadata del cloud. Desde ahí, credenciales temporales de la infraestructura."
SSRF
→ IMDS cloud
Crit
CVSS 9.1
Banca digital
"Un JWT mal validado aceptaba el algoritmo cambiado. Firmamos un token con rol de otro usuario y la sesión lo dio por válido."
JWT
key confusion → ATO
Crit
takeover de cuenta
Marketplace · Gig
"El registro aceptaba un campo que el front nunca enviaba. El backend no lo validaba: creamos una cuenta con privilegios de administrador."
Mass assign
privilege escalation
Admin
acceso total
Telecom · SaaS
"El middleware de auth y el router interpretaban la ruta distinto. Un sufijo bien puesto saltaba el control y exponía el panel interno."
Auth bypass
parser differential
Panel
interno expuesto
Salud · Plataforma
"Comunicación directa con quien ejecutaba el test. El crítico nos llegó el mismo día que lo encontró, no al final. Eso marcó la diferencia."
GraphQL
BOLA → PII
Retest
cierre verificado

// casos anonimizados · referencias verificables bajo NDA a solicitud

/06MODELOS

Contratación flexible según tu necesidad

Desde una evaluación puntual hasta cobertura continua. El precio final depende del alcance — cotización cerrada tras el scoping, sin sorpresas.

 

Assessment puntual

Un pentest completo sobre una aplicación, API o alcance definido.
proyecto cerradoCotización a medida
  • +Testing manual del alcance
  • +Informe ejecutivo + técnico
  • +Escalado inmediato de críticos
  • +1 retest incluido
Solicitar cotización
Más elegido

Testing continuo

Cobertura recurrente para equipos con releases frecuentes.
retainer mensualCotización a medida
  • +Ciclos de testing recurrentes
  • +Cobertura de nuevos releases
  • +Canal directo con el investigador
  • +Retest ilimitado en el periodo
Solicitar cotización
 

Enterprise / a medida

Alcance amplio: múltiples activos o requisitos de compliance.
programa a medidaHablemos
  • +Alcance multi-activo
  • +Attestation para compliance
  • +Coordinación con tu equipo
  • +SLA y reporting a medida
Contactar

Todos los engagements incluyen NDA, autorización formal de scope y comunicación en ES / EN.

/07FAQ

Lo que suelen preguntar antes de contratar

¿Cuánto dura un engagement típico?+
Depende del alcance. Un pentest de una app web de tamaño medio toma de una a dos semanas de testing, más el informe. Tras el scoping entregamos un cronograma concreto con fechas de inicio, entrega y ventana de retest.
¿Qué necesitan de nuestro lado para empezar?+
Definir el alcance, una autorización formal por escrito para probarlo, y según el caso credenciales de prueba o accesos a staging. Firmamos NDA antes de recibir información sensible.
¿Prueban sobre producción o staging?+
Ambos. Preferimos staging cuando existe una réplica fiel, para eliminar riesgo operativo. Si el testing debe ser sobre producción, acordamos ventanas, límites y un canal directo para pausar ante cualquier incidencia.
¿Cómo manejan la confidencialidad?+
Todo bajo NDA. Hallazgos, evidencia y cualquier dato al que se acceda se tratan como confidenciales y se comparten solo por canales seguros. Nunca divulgamos información de un cliente ni la usamos fuera del alcance autorizado.
¿Qué pasa si encuentran algo crítico?+
No esperamos al informe final. Los críticos se comunican de inmediato por el canal directo acordado, con evidencia y recomendaciones iniciales de mitigación, para actuar cuanto antes.
¿El retest tiene costo adicional?+
No. Cada engagement incluye retest: tras las correcciones re-verificamos cada hallazgo y confirmamos el cierre. Entregamos un attestation que sirve para auditoría, clientes o compliance.
¿Trabajan con empresas fuera de Chile?+
Sí. El trabajo es remoto y colaboramos con empresas en LATAM, Europa y EE.UU. Los informes se entregan en español o inglés, coordinando según tu huso horario.
/08CONTACTO

Solicitá una
propuesta

Contanos tu alcance — aplicación, API o infraestructura — y respondemos con un plan y una cotización sin compromiso, normalmente en menos de 24 horas hábiles.

> respuesta en < 24 h hábiles
> NDA y scope autorizado
> reportes ES / EN · remoto LATAM · EU · US
// tus datos se usan solo para responder esta solicitud. no se comparten con terceros.