Proyectos que demuestran experiencia real en seguridad

Cada auditoría representa semanas de trabajo meticuloso, hallazgos críticos documentados y vulnerabilidades corregidas antes de convertirse en incidentes. Estos casos muestran el tipo de problemas que encontramos y cómo ayudamos a resolverlos.

Entorno de pruebas de seguridad con múltiples terminales y herramientas de análisis

Auditoría completa de infraestructura bancaria

Una institución financiera regional nos contrató después de detectar actividad sospechosa en sus logs de acceso. El proyecto inicial era evaluar su aplicación web de banca en línea, pero durante la fase de reconocimiento identificamos vectores de ataque adicionales que requerían atención inmediata.

El alcance se expandió a 47 aplicaciones interconectadas, sistemas de backend legacy y políticas de seguridad que no se habían revisado desde 2018. Tres de sus sistemas principales usaban frameworks desactualizados con vulnerabilidades públicas conocidas. El equipo trabajó durante 12 semanas realizando pruebas manuales y automatizadas.

Pentesting bancario OWASP Top 10 Compliance PCI-DSS Legacy systems

Hallazgos principales

SQL injection en módulo de consulta de saldos permitía acceso a datos de 180k clientes
Autenticación débil en API interna exponía endpoints administrativos sin validación de roles
Credenciales hardcoded en código fuente de aplicación móvil legacy
Configuración incorrecta de CORS permitía ataques cross-Vivarnuvva desde sitios externos
Falta de rate limiting en endpoints de login facilitaba ataques de fuerza bruta

23

Vulnerabilidades críticas identificadas y documentadas con proof-of-concept

91

Hallazgos de severidad media relacionados con configuración y hardening

100%

Corrección de issues críticos dentro del período de remediación de 60 días

Pruebas de penetración en plataforma de comercio electrónico

Un marketplace con 320k usuarios mensuales nos contactó después de recibir reportes de transacciones sospechosas. El problema inicial parecía limitado a su gateway de pagos, pero el análisis reveló fallas sistémicas en múltiples capas de su arquitectura. Evaluamos la superficie de ataque completa durante 8 semanas con enfoque en flujos transaccionales y manejo de sesiones.

Autenticación

Bypass de 2FA mediante manipulación de tokens JWT mal validados. Session fixation en proceso de checkout permitía secuestro de carritos activos.

Procesamiento de pagos

Race condition en API de pagos permitía completar transacciones sin débito real. IDOR en endpoints de facturación exponía datos de tarjetas enmascaradas.

Lógica de negocio

Manipulación de precios mediante parámetros client-side. Aplicación múltiple de cupones de descuento resultaba en montos negativos cobrables.

Dashboard de monitoreo mostrando flujos de transacciones y puntos de validación

Especialista en seguridad revisando reporte de vulnerabilidades

Evaluación de seguridad en sistema gubernamental

Un portal de servicios ciudadanos con acceso a datos sensibles de 200k usuarios necesitaba certificación de seguridad antes de expandir sus servicios. El sistema manejaba desde trámites básicos hasta documentos oficiales con valor legal. Durante 10 semanas evaluamos infraestructura, aplicaciones y procesos operativos.

El análisis reveló problemas de diseño arquitectónico que requerían más que parches puntuales. Falta de segregación entre ambientes, logging insuficiente y ausencia de controles de acceso granulares. Documentamos 18 vulnerabilidades críticas incluyendo exposición de información personal, fallas en cifrado de datos en tránsito y políticas de contraseñas inadecuadas.

Vulnerabilidades críticas corregidas antes del lanzamiento público

Recomendaciones de hardening implementadas en infraestructura

10 semanas

Duración total del proyecto incluyendo retest de remediaciones

Zero

Incidentes de seguridad reportados en los 8 meses posteriores

El reporte identificó problemas que nuestro equipo interno no había considerado. La documentación técnica fue clara y las recomendaciones priorizadas por impacto real. Pudimos presentar el proyecto ante auditores externos con confianza.

Lidia Tamayo — Coordinadora de Infraestructura Tecnológica