// Metodología

Cómo trabajamos

Seguimos los estándares internacionales de referencia: OWASP WSTG para aplicaciones web y PTES para pruebas de intrusión. Eso significa que sabes exactamente qué se va a revisar antes de empezar.

El proceso, paso a paso

Desde la primera llamada hasta el retest final. Sin sorpresas en ningún punto.

1

Llamada de alcance (gratuita)

30 minutos para entender tu caso: qué aplicación o infraestructura quieres auditar, cuáles son tus preocupaciones concretas, y cuándo necesitas los resultados. Sin compromiso. Firmamos un NDA si el contexto lo requiere.

2

Propuesta y contrato

En menos de 48 horas recibes una propuesta con precio fijo cerrado, alcance definido, metodología concreta y entregables detallados. Nada de "depende de lo que encontremos". Una vez firmada la autorización escrita, empezamos.

3

Ejecución de la auditoría

Realizamos las pruebas siguiendo OWASP WSTG o PTES según el tipo de servicio. Documentamos cada prueba realizada, con o sin hallazgos. El alcance acordado se cubre al completo.

4

Informe de hallazgos

Recibes un informe técnico con vulnerabilidades reproducibles, puntuación CVSSv3, y pasos de remediación específicos. Más un resumen ejecutivo en español pensado para dirección y no técnicos.

5

Retest gratuito

Una vez que tu equipo ha corregido las vulnerabilidades, verificamos que las soluciones son efectivas. Sin coste adicional, dentro de los 30 días siguientes a la entrega del informe (incluido en Esencial y Avanzado).

🕒

Respeto por tu tiempo

Realizamos las pruebas en el horario acordado. Si el cliente necesita que las pruebas sean fuera de horario laboral para evitar impactos, lo hacemos. Nos adaptamos a tu operativa.

🔒

Confidencialidad total

Todo el trabajo está amparado por NDA. Los hallazgos no se comparten con terceros. Los datos de prueba se eliminan al finalizar el proyecto según el proceso acordado en el contrato.

💬

Comunicación directa

Trabajas directamente conmigo, sin intermediarios ni cuentas de gestión. Cualquier duda durante el proyecto tiene respuesta el mismo día.

Estándares que seguimos

Los mismos que usan las grandes consultoras. Sin las tarifas de las grandes consultoras.

OWASP WSTG

Web Security Testing Guide

La guía de referencia para pentesting de aplicaciones web mantenida por OWASP. Cubre más de 90 pruebas en categorías como gestión de sesiones, autenticación, lógica de negocio, y criptografía.

Qué cubrimos

  • Recopilación de información y reconocimiento
  • Pruebas de configuración e infraestructura
  • Autenticación y gestión de sesiones
  • Control de acceso y autorización
  • Validación de datos de entrada (XSS, SQLi, etc.)
  • Criptografía y manejo de errores
  • Lógica de negocio
  • Testing del lado cliente

PTES

Penetration Testing Execution Standard

Estándar que define las fases de un pentest completo, desde la inteligencia previa hasta la post-explotación y documentación. Se aplica principalmente en auditorías de red e infraestructura.

Qué cubrimos

  • Interacciones previas: alcance, autorizaciones, reglas de enfrentamiento
  • Recopilación de inteligencia (OSINT, reconocimiento técnico)
  • Modelado de amenazas específico para el negocio
  • Análisis de vulnerabilidades
  • Explotación: verificación de impacto real, no solo teórico
  • Post-explotación: evaluación del alcance real de un compromiso
  • Reporting detallado y orientado a remediación

Qué recibes al final

Un informe limpio, sin paja. Priorizamos que sea útil sobre que sea voluminoso.

🔍

Informe técnico

Cada vulnerabilidad documentada con: descripción, pasos de reproducción, evidencia (capturas, peticiones HTTP), puntuación CVSSv3, y referencia a CWE/CVE cuando aplica.

📊

Resumen ejecutivo

En español, pensado para dirección y no técnicos. Incluye el contexto del encargo, una visión general del nivel de seguridad y los riesgos de negocio asociados a los hallazgos.

📋

Plan de remediación

Lista priorizada por criticidad y esfuerzo estimado de corrección. No solo "qué arreglar" sino "por dónde empezar" para equipos con tiempo y recursos limitados.

Marco legal y autorización

Todas las auditorías se realizan con autorización escrita previa, NDA firmado, y dentro del alcance definido contractualmente. Nunca realizamos pruebas fuera del perímetro acordado.

Operamos en cumplimiento del Código Penal español (artículos 197-bis y 264, relativos al acceso no autorizado a sistemas informáticos y los daños informáticos). La autorización expresa y por escrito es un requisito no negociable antes de iniciar cualquier trabajo.

El tratamiento de datos personales que puedan aparecer durante la auditoría se rige por lo establecido en el contrato de encargo de tratamiento, en cumplimiento del Reglamento General de Protección de Datos (RGPD) y la LOPDGDD.

¿Tienes dudas sobre el proceso?

En la llamada gratuita de 30 minutos puedes preguntarnos todo lo que necesites sobre metodología, alcance, entregables o plazos antes de comprometerte con nada.

Reservar llamada gratuita