Contacto
Web Hacking (estilo bug bounty)

Hackeamos tus aplicaciones web.

Un único servicio. Ejecutamos un ejercicio ofensivo contra tus sitios web e infraestructura web.

Las pruebas son manuales primero y, opcionalmente, asistidas por IA (siempre controlada por un operador).

Los hallazgos se mapean al OWASP Top 10 , NIST, CVSS con impacto y remediación claros, y después realizamos un retest gratuito.

Aplicaciones web y APIs Perímetro externo Manual + IA OWASP Top 10 Retest gratuito
<48h
inicio
100%
verificación manual
Gratis
retest
Ejecutivo + Técnico
informes
Introducción

¿Qué es el Web Hacking y cuál es su objetivo?

Un ejercicio de Web Hacking se centra en tus aplicaciones web y APIs expuestas a Internet. Empezamos con pruebas manuales (opcionalmente asistidas por IA para la fase de reconocimiento/triage, nunca en piloto automático) para descubrir y validar de forma segura vulnerabilidades: autenticación, gestión de sesión, control de acceso, inyección, SSRF y fallos de lógica de negocio.

Después documentamos exactamente cómo se encontró cada problema, su impacto y la remediación priorizada. El alcance se limita a los activos que autorices (dominios, subdominios, APIs y servicios perimetrales como WAF/CDN); no realizamos ingeniería social ni pruebas de red interna salvo que se añadan explícitamente.

  • Identificar rutas viables para un atacante hacia toma de cuentas, exposición de datos, escalado de privilegios o cualquier tipo daño
  • Validación manual, basada en pruebas, alineada con OWASP Top 10 y abuso de lógica
  • Cubrir stacks modernos: SPAs, APIs REST/GraphQL, OAuth/OIDC, almacenamiento en la nube/CDNs
  • Entregar informes ejecutivos y técnicos con pasos de reproducción, severidad/impacto y un retest gratuito para verificar correcciones
Proceso

Cómo se desarrolla el servicio

Alcance & ROE

Definimos objetivos, accesos, plazos y reglas de enfrentamiento. NDA bajo solicitud.

Hacking

Pruebas manuales primero; usamos IA para reconocimiento/triage cuando aporta valor. Sin ruido automatizado.

Verificación

Reproducimos, desduplicamos y asignamos severidad con impacto y evidencias claras.

Informes

Resumen ejecutivo + detalle técnico: pasos de reproducción, riesgo y correcciones.

Soporte de remediación

Ofrecemos guía práctica de corrección y ejemplos de parches/configuración si hace falta.

Retest

Retest gratuito para confirmar correcciones e informe actualizado para las partes interesadas.

Incluido

Lo que obtienes

Pruebas manuales + IA

  • Explotación manual en profundidad
  • Asistencia de IA para reconocimiento y triage (controlada por operador)
  • Hallazgos sin ruido y basados en pruebas

Entregables claros

  • Resumen ejecutivo + informe técnico
  • Impacto, severidad, evidencias y pasos de reproducción
  • Lista de acciones priorizada con correcciones

Acompañamiento

  • Guía de remediación y ejemplos
  • Retest gratuito para confirmar correcciones
  • Cadencia mensual opcional
Cobertura

OWASP Top 10

A01: Control de acceso roto

IDOR, path traversal, escalado de privilegios.

Ver

A02: Fallos criptográficos

TLS débil, gestión de claves, exposición de datos sensibles.

Ver

A03: Inyección

Inyección SQL/NoSQL, de comandos, de plantillas.

Ver

A04: Diseño inseguro

Fallos de lógica, ausencia de rate limiting, flujos predecibles.

Ver

A05: Configuración de seguridad incorrecta

Errores verbosos, credenciales por defecto, CORS, permisos S3.

Ver

A06: Componentes vulnerables y desactualizados

CVEs conocidos, librerías sin soporte, contenedores.

Ver

A07: Fallos de identificación y autenticación

Autenticación rota, sesiones, problemas con MFA.

Ver

A08: Fallos de integridad de software y datos

Inyección en CI/CD, actualizaciones sin firma, cadena de suministro.

Ver

A09: Fallos de logging y monitorización

Ausencia de trazas de auditoría, brechas en alertas, manipulación.

Ver

A10: SSRF

Acceso a metadatos/nube, validación de egress.

Ver
FAQ

Preguntas frecuentes

Consejo: haz clic en una pregunta para ver la respuesta.

¿Qué es el “Web Hacking” y cuál es su objetivo?

Ejecutamos un ejercicio ofensivo contra tus aplicaciones web y APIs expuestas a Internet para encontrar lo mismo que encontrarían atacantes reales. El objetivo es descubrir rutas viables hacia toma de cuentas, exposición de datos, escalado de privilegios o RCE, ayudarte a corregirlas y verificar las correcciones.

¿Qué entra en alcance y qué queda fuera?

En alcance: los activos que autorices: dominios, subdominios, aplicaciones web, APIs REST/GraphQL y servicios perimetrales (p. ej., WAF/CDN, almacenamiento de objetos). Fuera de alcance por defecto: ingeniería social y pruebas de red interna (pueden añadirse explícitamente si lo deseas). Solo tocamos lo que apruebes por escrito.

¿Cómo realizáis las pruebas: manuales o automatizadas?

Manual primero. Empezamos con pruebas prácticas y usamos asistencia de IA, opcional y controlada por el operador, solo para reconocimiento y triage, nunca en piloto automático. Cada hallazgo se valida manualmente con pruebas e impacto claros.

¿Es seguro ejecutar esto en producción?

Sí. Seguimos reglas de enfrentamiento estrictas: límites de velocidad, allowlists, ventanas de mantenimiento si hace falta y “kill switches”. La explotación es mínima y basada en pruebas: suficiente para demostrar el riesgo sin causar interrupciones ni dañar datos.

¿Qué tipo de vulnerabilidades buscáis?

La cobertura incluye fallos de autenticación y gestión de sesión, problemas de control de acceso (IDOR/BOLA), inyección (SQLi, XSS, comandos/LDAP), SSRF, configuraciones erróneas y abusos de lógica de negocio. Trabajamos con stacks modernos: SPAs, REST/GraphQL, OAuth/OIDC y almacenamiento/CDNs en la nube.

¿Cómo se reportan los hallazgos?

Recibirás una presentación ejecutiva y un informe técnico que mapea cada problema al OWASP Top 10 (cuando aplique) con:

  • Pasos de reproducción y el método exacto usado para encontrar/validar
  • Severidad, impacto claro y remediación priorizada
  • Capturas de pantalla/POCs cuando sea apropiado
¿Realizáis un retest después de que apliquemos correcciones?

Sí. Incluimos un retest gratuito para verificar la remediación y actualizar el informe en consecuencia.

¿Qué necesitáis de nuestra parte para empezar?

Alcance autorizado, ventanas de prueba, cualquier allowlisting en WAF/CDN y al menos una cuenta de prueba por rol (más documentación/keys de API para entornos no productivos si aplica). Si tienes modelos de amenazas o puntos de dolor conocidos, los incorporamos.

¿Explotaréis completamente las vulnerabilidades?

Validamos el impacto de forma segura. Cuando la explotación pueda poner en riesgo la integridad o disponibilidad de los datos, usamos pruebas controladas (p. ej., lecturas/escrituras dirigidas, payloads no destructivos) para demostrar el problema sin daños colaterales.

¿En qué se diferencia esto de un pentest tradicional o un red team?

Es un ejercicio enfocado en aplicaciones web y perímetro, no un red team sobre toda la organización. Frente a los pentests de checklist, es manual primero, basado en pruebas y consciente de la lógica, con hallazgos mapeados al OWASP Top 10 y correcciones prácticas.

Inicia un proyecto

Recibe una propuesta a medida

Cuéntanos tus aplicaciones web y tus plazos. Te responderemos con alcance, enfoque y un presupuesto cerrado.

  • Inicio en < 48 horas
  • NDA bajo solicitud
  • Retest de remediación gratuito