Pentest.

Cada engagement empieza con alcance claro, autorización por escrito y ventana definida. Siempre. Sin eso, no hay test.

• Web Application Pentest — OWASP Top 10, lógica de negocio, autenticación, autorización, inyecciones, deserialización.
• API Security Testing — REST y GraphQL, BOLA, mass assignment, rate limiting, abuso de tokens.
• Network Pentest — perímetro externo, redes internas, segmentación, AD, escalación de privilegios.
• Mobile — análisis estático y dinámico de iOS/Android, certificate pinning, almacenamiento local, comunicación.
• Hardening & Code Review — revisión de código con foco en seguridad, recomendaciones de configuración e infra.

Sigo OWASP Testing Guide y PTES como base, complementando con automatización donde acelera y explotación manual donde la automatización falla (que es donde vive la mayoría de las fallas reales).

Recibes un reporte ejecutivo (una página, para gerencia) y un reporte técnico detallado con cada vulnerabilidad, prueba de concepto reproducible, severidad CVSS y paso a paso de remediación.

Incluye sesión de readout con el equipo técnico para resolver dudas, y re-test de las correcciones dentro de 30 días — solo para confirmar que está realmente resuelto.

Trabajo solo con autorización explícita por escrito y dentro del alcance acordado. Nada de "mira qué genial esta vulnerabilidad que encontré sin avisarte". Confidencialidad y responsabilidad están en el contrato — y en la práctica.