Quiénes somos

Ayudamos a equipos de producto y desarrollo a lanzar con confianza: realizamos pentesting legal, integramos DevSecOps en CI/CD y reforzamos tu postura cloud, sin frenar el roadmap.

8 años protegiendo +200 infraestructuras críticas en sectores regulados: banca, seguros, salud, fintech y administración pública.

Tabla de contenidos ocultar
1 Lo Que Hacemos
2 Cómo Trabajamos – Metodología Certificada
3 Nuestros Principios
4 El Equipo – Expertos Certificados
5 Política de Pruebas y Protección de Datos
6 Casos y Resultados – Impacto Medible
7 Herramientas y Marcos de Referencia

Lo Que Hacemos

Pentesting de Aplicaciones y APIs

  • Auditorías de seguridad en apps web, móviles y APIs (REST/GraphQL)
  • Pruebas de penetración con PoC (Proof of Concept) reproducibles
  • Retest gratuito tras corrección de vulnerabilidades
  • Metodología OWASP ASVS, OWASP Top 10 y OSSTMM

Integración DevSecOps en CI/CD

  • Implementación de SAST, DAST y SCA en pipelines
  • Quality gates que bloquean vulnerabilidades críticas antes de producción
  • Automatización de escaneos de seguridad en cada commit
  • Reporting de seguridad integrado por sprint

Hardening Cloud (AWS, Azure, GCP)

  • Auditoría de identidades (IAM), redes, WAF y gestión de secretos
  • Configuración segura de infraestructura cloud
  • Validación en staging y producción controlada
  • Cumplimiento de CIS Benchmarks y Well-Architected Framework

Acompañamiento Continuo

  • Priorización de vulnerabilidades por CVSS 3.1
  • Historias de usuario de seguridad para tu backlog
  • Soporte técnico en remediación durante 30 días
  • Consultoría en arquitectura segura

Cómo Trabajamos – Metodología Certificada

1. Definición de Alcance y Permisos

  • Firma de NDA (Acuerdo de Confidencialidad) y autorización legal por escrito
  • Definición clara de ventanas de prueba y entornos (staging/producción)
  • Coordinación con equipos de desarrollo y DevOps

2. Ejecución con Metodología Estándar

  • Frameworks: OWASP ASVS, OWASP Top 10, OSSTMM
  • Mapeo de vulnerabilidades: CWE y MITRE ATT&CK
  • Explotación controlada con evidencias detalladas
  • Captura de tráfico, logs y screenshots como prueba

3. Reporte Ejecutivo y Técnico

  • Reporte ejecutivo: Resumen para dirección con impacto de negocio
  • Reporte técnico: Pasos de reproducción, CVSS, CWE y remediación paso a paso
  • Retest gratuito para validar correcciones
  • Recomendaciones DevSecOps para prevención en CI/CD

4. Seguimiento y Soporte

  • 30 días de soporte técnico post-auditoría
  • Validación de fixes en nueva ventana de pruebas
  • Documentación lista para auditorías ISO 27001 o certificaciones

Nuestros Principios

🔒 Legalidad y Ética Siempre

  • Pruebas 100% autorizadas con permiso por escrito
  • Cumplimiento estricto del Código Penal Español (Art. 197 y 264)
  • Transparencia total en metodología y hallazgos

📊 Transparencia en Entregables

  • Métricas claras: número de vulnerabilidades, severidad (CVSS), tiempo de remediación
  • Trazabilidad completa de evidencias
  • Reportes en español con lenguaje técnico y ejecutivo

⚡ Velocidad sin Sacrificar Seguridad

  • Integramos seguridad en el ciclo de desarrollo, no al final
  • Quality gates que no bloquean features, solo vulnerabilidades críticas
  • Soporte ágil: respuestas en 24h durante remediación

El Equipo – Expertos Certificados

👨‍💻 Pentester Líder (Hacker Ético)

Función:

  • Pruebas manuales profundas en aplicaciones web, móviles y APIs
  • Explotación controlada con PoC reproducibles
  • Coordinación de retest y validación de correcciones

Certificaciones:

  • OSCP (Offensive Security Certified Professional)
  • CEH (Certified Ethical Hacker)
  • eCPPT (eLearnSecurity Certified Professional Penetration Tester)
  • GWAPT (GIAC Web Application Penetration Tester)

⚙️ Especialista DevSecOps

Función:

  • Implementación de pipelines seguros con SAST/DAST/SCA
  • Configuración de quality gates en GitHub Actions, GitLab CI, Jenkins
  • Políticas de protección de ramas y pull request security reviews
  • Reporting automatizado de seguridad por sprint

Certificaciones:

  • GitHub Advanced Security
  • GitLab Security Specialist
  • Certified Kubernetes Security Specialist (CKS)
  • AWS DevOps Engineer – Professional

☁️ Arquitecto/a de Seguridad Cloud

Función:

  • Hardening de identidades (IAM), redes (VPC, NSG), WAF y gestión de secretos
  • Revisión de infraestructura como código (Terraform, CloudFormation)
  • Validación de postura cloud en staging y producción controlada
  • Cumplimiento de CIS Benchmarks y Well-Architected Framework

Certificaciones:

  • AWS Certified Security – Specialty
  • Azure Security Engineer Associate
  • Google Cloud Professional Cloud Security Engineer
  • CISSP (Certified Information Systems Security Professional)

📋 Consultor/a de Cumplimiento (ISO 27001 / RGPD)

Función:

  • Alineación de auditorías con RGPD, ISO 27001, ENS y PCI-DSS
  • Documentación de permisos y evidencias para auditorías externas
  • Formatos de reporte adaptados a certificaciones
  • Gestión de riesgos y planes de tratamiento

Certificaciones:

  • ISO 27001 Lead Implementer
  • ISO 27001 Lead Auditor
  • DPO (Data Protection Officer)
  • Certified Information Privacy Professional/Europe (CIPP/E)

Política de Pruebas y Protección de Datos

Autorización Obligatoria

  • NDA y autorización legal por escrito antes de cualquier prueba
  • Definición clara de sistemas en alcance y fuera de alcance
  • Ventanas de prueba coordinadas con equipos técnicos

Entornos de Prueba

  • Preferencia: Staging o entornos de QA
  • Producción: Solo con límites de tasa, monitorización activa y rollback plan
  • Sin impacto en disponibilidad del servicio

Protección de Evidencias

  • Cifrado AES-256 de todas las evidencias capturadas
  • Almacenamiento en sistemas seguros con acceso restringido
  • Borrado seguro tras entrega y cierre del proyecto
  • Minimización de datos: solo capturas necesarias para demostración

Cumplimiento RGPD

  • No extracción de datos personales reales
  • Uso de datos anonimizados en reportes
  • Registro de actividades de tratamiento disponible

Casos y Resultados – Impacto Medible

Caso 1: API GraphQL en Fintech

Cliente: Plataforma de pagos B2B
Problema: 12 vulnerabilidades críticas (CVSS ≥9.0) incluyendo:

  • Inyección NoSQL en queries de transacciones
  • Autenticación rota en endpoints de administración
  • Fuga de datos sensibles en respuestas de error

Solución:

  • Pentesting exhaustivo de 47 endpoints GraphQL
  • PoC con impacto de negocio demostrado
  • Priorización por CVSS y facilidad de explotación

Resultado:

  • >70% de críticas cerradas en 2 sprints
  • Retest aprobado sin hallazgos residuales
  • Implementación de rate limiting y autenticación JWT reforzada

Caso 2: App Móvil + Backend en Healthtech

Cliente: Startup de telemedicina
Problema:

  • Regresiones de seguridad en cada release
  • Sin visibilidad de vulnerabilidades antes de producción
  • Datos médicos (LOPD-GDD) en riesgo

Solución:

  • Integración de SAST (SonarQube) y DAST (OWASP ZAP) en pipeline
  • Quality gates que bloquean merges con vulnerabilidades críticas
  • Hardening de API REST y almacenamiento cifrado

Resultado:

  • Eliminación de regresiones de seguridad
  • 95% de vulnerabilidades detectadas antes de producción
  • Certificación ISO 27001 obtenida en 6 meses

Caso 3: Infraestructura Cloud AWS en E-commerce

Cliente: Marketplace con 50K usuarios activos
Problema:

  • IAM con permisos sobredimensionados (wildcards *)
  • Buckets S3 públicos con datos de clientes
  • Sin WAF ni protección DDoS

Solución:

  • Auditoría completa de 200+ recursos AWS
  • Implementación de políticas IAM de mínimo privilegio
  • Configuración de AWS WAF + CloudFront + GuardDuty

Resultado:

  • 68% de hallazgos críticos resueltos en 3 semanas
  • Reducción de superficie de ataque en 80%
  • Cumplimiento PCI-DSS Level 1 alcanzado

Herramientas y Marcos de Referencia

Metodologías

  • OWASP ASVS (Application Security Verification Standard)
  • OWASP Top 10 (Web y API)
  • OSSTMM (Open Source Security Testing Methodology Manual)
  • PTES (Penetration Testing Execution Standard)

Clasificación de Vulnerabilidades

  • CVSS 3.1 (Common Vulnerability Scoring System)
  • CWE (Common Weakness Enumeration)
  • MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge)

Herramientas SAST/DAST/SCA

  • SAST: SonarQube, Semgrep, Checkmarx
  • DAST: OWASP ZAP, Burp Suite Professional, Nuclei
  • SCA: Snyk, Dependabot, OWASP Dependency-Check
  • Secrets Scanning: TruffleHog, GitLeaks

Infraestructura y Cloud

  • AWS: Security Hub, GuardDuty, Inspector, Config
  • Azure: Defender for Cloud, Sentinel
  • GCP: Security Command Center
  • IaC Security: Checkov, tfsec, Terrascan