FAQ

Preguntas frecuentes

Respuestas directas sobre servicios de pentesting, metodología, alcance, entregables y forma de trabajo.

General

Sobre el servicio

Qué hago, para quién y con qué enfoque.

Realizo pentesting web, auditorías de infraestructura, revisiones técnicas orientadas a exposición real y validación manual de hallazgos. El objetivo no es solo detectar vulnerabilidades, sino demostrar impacto, contexto y prioridad de remediación.

Sí. El servicio puede ajustarse tanto a entornos pequeños como a organizaciones con múltiples activos, siempre definiendo antes alcance, profundidad, restricciones, ventanas de pruebas y objetivos técnicos.

Ambas, pero el peso real está en la validación manual. Las herramientas aceleran reconocimiento y cobertura básica, pero el análisis útil está en la interpretación, explotación controlada, correlación y descarte de falsos positivos.
Metodología

Proceso de trabajo

Cómo se organiza una auditoría de principio a fin.

Todo comienza con una fase de definición de alcance: activos incluidos, exclusiones, tipo de prueba, credenciales, horario permitido, contactos de emergencia y criterios de criticidad. Sin ese marco, el resultado pierde precisión y trazabilidad.

Sí. Se puede trabajar en caja negra, caja gris o caja blanca, dependiendo del nivel de acceso, del objetivo de la revisión y del tipo de amenaza que se quiera simular.

La prioridad es minimizar impacto. Las acciones con mayor riesgo operativo se planifican, se limitan y se coordinan. Cuando una prueba puede afectar disponibilidad, se documenta antes y se ejecuta dentro de una ventana autorizada.
Entregables

Resultados e informes

Qué se entrega al finalizar la revisión.

El informe incluye resumen ejecutivo, detalle técnico de hallazgos, evidencia reproducible, impacto, criticidad, activos afectados y recomendaciones priorizadas. La idea es que sirva tanto a perfiles técnicos como a responsables de negocio.

Sí. Cada hallazgo debe ir acompañado de pruebas comprensibles, pasos de reproducción cuando aplique, contexto del riesgo y una propuesta de remediación accionable. Un hallazgo sin evidencia sólida no tiene valor operativo.

Puede incluirse una fase de retest para validar correcciones y confirmar si las medidas aplicadas eliminan o reducen de forma real el riesgo identificado en la auditoría inicial.
Contratación

Plazos y coordinación

Qué necesitas para arrancar y cómo se organiza el trabajo.

Necesito una definición clara de activos, objetivo de la prueba, alcance autorizado, datos de contacto, posibles restricciones y cualquier requisito técnico previo. Con eso se prepara la propuesta de trabajo y la planificación de ejecución.

Depende del alcance real, del número de activos, de la complejidad funcional y del tipo de entorno. No es lo mismo una aplicación concreta que una infraestructura con varios servicios expuestos y segmentación interna.

Sí. La estructura base se adapta al escenario: exposición externa, aplicaciones web, APIs, entornos internos, validación puntual o una revisión más amplia con foco en riesgo real y priorización de esfuerzo.