Capacidad Técnica

Evaluación de Vulnerabilidades y Pentesting

Identificación proactiva de brechas de seguridad mediante la simulación de ataques controlados, evaluando la resistencia de los sistemas públicos ante amenazas reales.

6–10 semanas
3–5 especialistas
Alineado a: NIST SP 800-115PTESOWASP WSTGMITRE ATT&CKCVSS v4.0
Metodología

Cómo ejecutamos este servicio

1

Fase 1: Inteligencia y Reconocimiento

Mapeo de la superficie de ataque utilizando OSINT y escaneo de activos expuestos en la infraestructura gubernamental.

2

Fase 2: Modelado de Amenazas

Identificación de vectores de ataque alineados a los marcos NIST SP 800-115 y MITRE ATT&CK.

3

Fase 3: Explotación Controlada

Pruebas de penetración manuales y automatizadas para validar vulnerabilidades sin afectar la disponibilidad de los servicios.

4

Fase 4: Análisis Post-Explotación

Evaluación del impacto potencial: pivotes laterales, escalamiento de privilegios, exfiltración simulada.

5

Fase 5: Reporte y Remediación

Reporte ejecutivo, técnico detallado con CVSS v4.0, plan de remediación priorizado y sesión de retroalimentación.

Productos Finales

Entregables Oficiales

Todos los entregables son firmados, trazables y aptos para auditoría de órganos internos de control y entes fiscalizadores.

Reporte Ejecutivo de Riesgos

Matriz Técnica de Vulnerabilidades (CVSS v4.0)

Plan de Remediación Táctica

Repositorio Cifrado de Evidencia

Bitácora Horaria Completa

Casos Típicos

Escenarios donde aplica

Ejemplos representativos de implementaciones de este servicio. Los nombres están anonimizados conforme a nuestros NDAs.

Portal transaccional federal

Pentesting de aplicación web con servicios al ciudadano de alto volumen y autenticación con e-firma.

Red interna estatal

Auditoría de red interna posterior a phishing exitoso, con simulación de adversario persistente.

API de interoperabilidad municipal

Pentesting de APIs REST que conectan sistemas catastrales con tesorería municipal.

Preguntas Frecuentes

Sobre este servicio en particular

¿El pentesting puede afectar la operación normal?

Se ejecuta en ventanas de mantenimiento acordadas con criterios de paro explícitos. Para sistemas críticos se ofrece la opción de pentesting en entorno espejo.

¿Quién recibe el reporte final?

El reporte se entrega al enlace institucional designado, con presentación ejecutiva al titular y sesión técnica detallada al CSIRT o área de TI.

¿Incluye retesteo de las remediaciones?

Sí. El precio incluye una ronda de retesteo dentro de los 90 días posteriores a la entrega, para validar que las remediaciones cierran efectivamente los hallazgos.
Siguiente Paso

¿Su dependencia requiere evaluación de vulnerabilidades y pentesting?

Nuestros procesos garantizan absoluta confidencialidad y estricto apego normativo. La sesión de alcance inicial se realiza sin costo y bajo NDA.

Agendar Sesión de Alcance Ver Otros Servicios