top of page

Soluciones PENSANTES

CLIENTE
INDUSTRIAS

- Gobierno

- Cuidado de la salud

- TI/Ciberseguridad

- VIP

- Hospitalidad

- Educación

- Militar

CYBERSECURITY MEXICAN LAW

Mexico presented to the Committee against Drugs and Crime, of the United Nations (UN), the text and process of elaboration of its first Cybersecurity Law, which seeks to protect the citizens of this country with four lines of action

 

1) Ensure national security by defending the digital space

2) Create a legal framework that allows sanctioning or typifying cyberattacks

3) Carry out annual penetration tests or "pentesting" to public and private institutions every quarter at least for financial institutions or with a payment system in place

4) Create a National Cybersecurity Agency controlled by the Executive Branch

This is why your company has to perform at least once a year a Penetration test, otherwise, the fine can reach up to 9 Million Mexican pesos.

We invite you to choose us as your Penetration Test Company for the years to come!

President & CEO

ELIGE TU SERVICIO

CYBER THREAT INTEL

INTELIGENCIA DE AMENAZAS CIBERNÉTICAS

DarkWebMonitoring1

Buscaremos en lo profundo de las tres capas de internet para encontrar información de su empresa, individual o grupal

CloudSecurityPostureManagement

Verificamos cualquier configuración incorrecta o servicios en la nube expuestos en Internet

3Perks1

LISTA DE PRECIOS

CyberThreatIntelligencePriceList1.png

Elige el plan que mejor se adapte a ti.Contacto nuestros expertos para cualquier pregunta que pueda tener.

WEB APP PEN

PENTEST DE APLICACIÓN WEB

CONTAINER PEN

PRUEBA DE CONTENEDOR

CLOUD PEN

PRUEBA DE NUBE

Web application penetration testing

LISTA DE PRECIOS

WebAppCloudContPriceList1.png

AMAZON AWS CLOUD SECURITY (OFFENSIVE)

PENTESTING

  • Identifying the AWS Accounts IDs from a Public S3 Bucket : This is a technique that can find an AWS account ID given a public S3 bucket, and how this can be leveraged.

  • AWS IAM Enumeration : This is a technique of AWS CLI as well as IAM user, role, group, and policy enumeration.

  • AWS S3 Enumeration : This techniques demonstrated one of the most popular AWS services - S3 (Simple Storage Service), and show how attackers can use it to get a foothold and escalate privileges in a cloud environment.

  • Pillage Exposed RDS Instances : This technique demonstrates the danger of publicly accessible Amazon Relational Database Service (RDS) instances, and how this can be leveraged by an attacker. Advice on remediation and detection is also included.

  • SSRF : This technique showcase how a Server Side Request Forgery (SSRF) vulnerability can potentially be much more severe, when the website is hosted on an EC2 instance.

  • Path Traversal to AWS credentials to S3 : This technique showcase how a path traversal vulnerability can result in gaining a foothold in a cloud environment. Path, or directory traversal is also known as a dot-dot-slash attack.

  • Loot Public EBS Snapshots : This technique shows about the dangers of public EBS snapshots, and how this can be leveraged by an attacker. Advice on remediation and detection is also included.

  • Plunder Public RDS Snapshots : This technique shows about the danger of public Amazon Relational Database Service (RDS) snapshots, and how this can be leveraged by an attacker. Advice on remediation and detection is also included.

  • Access Secrets with S3 Bucket Versioning : This technique shows about the potential dangers of S3 bucket versioning, if the admins have not sufficiently restricted who can access them, and about the dangers of inadequate data segregation and storing secrets in plain text fields. Advice on remediation is also included.

  • Execute and Identify Credential Abuse in AWS : This technique showcase variety of credential abuse techniques and how they can be detected and mitigated.

  • Assume Privileged Role with External ID : This technique showcase the real-world danger of exposed configuration files, and how using production accounts for testing policies can be leveraged to assume a role that has access to secret information.

  • Leverage Insecure Storage and Backups for Profit : This technique howcase how backup files on accessible storage can be used to further access within a cloud environment and domain.

  • Uncover Secrets in CodeCommit and Docker : This technique howcase a common issue, leaked credentials in Docker images.

  • S3 Bucket Brute Force to Breach : This technique shows about the dangers of sensitive data stored on public S3 buckets, and how threat actors can discover them, and gain information that allows them to move laterally and vertically in a cloud environment. Advice on remediation and detection is also included.

  • Abuse Cognito User and Identity Pools : This technique showcase how Cognito User and Identity Pool configurations can allow malicious actors to gain a foothold in cloud infrastructure. Also shows how Lambda can be abused to move laterally and vertically in an environment.

  • Leverage Leaked Credentials : This technique showcase how leaked secrets can result in a malicious actor pwning a cloud environment and accessing personally identifiable information (PII).

  • Secrets in Git Repos : This technique showcase a common issue, leaked credentials in git repositories.

  • Secure S3 with Amazon Macie : This technique shows about Amazon Macie, and how to discover sensitive data as well as highlighting buckets that are world-readable and world-writable.

MICROSOFT AZURE CLOUD SECURITY (OFFENSIVE)

PENTESTING

  • Azure Blob Container to Initial Access : This demonstrates show how attackers can use it to access secrets and get a foothold in a cloud environment.

  • Unlock Access with Azure Key Vault : This showcase how attackers can leverage common services to move laterally in an Azure environment.

Elige el plan que mejor se adapte a ti.Contacto nuestros expertos para cualquier pregunta que pueda tener.

Pruebas de penetración automatizadas por IA -La tecnología AI Learning acelera y automatiza de forma inteligente más de 10 000 comprobaciones de la seguridad de su aplicación web, que generalmente requieren trabajo humano y no pueden ser realizadas por los escáneres de vulnerabilidad tradicionales debido a la complejidad.

Cero falsos positivos SLA -Nuestros Términos de Condiciones brindan devolución de dinero contractual para ese hallazgo específico. La devolución del dinero se dividirá entre todos los hallazgos. Por ejemplo, si se encontraron 17 vulnerabilidades y una de ellas dio como resultado un falso positivo, el precio pagado se dividirá entre los 9 servicios principales, dividido entre el número de hallazgos. P.ej. 200.000/9 = 22.222/17 = 1.307.

Acuerdo de nivel de servicio de entrega rápida:Nuestros Términos de Condiciones garantizan la entrega en el tiempo especificado por el SLA

Aplicación de parches virtuales WAF -Si está disponible, podemos proporcionar conjuntos de reglas WAF listos para usar con su informe de prueba de penetración para mitigar automáticamente las vulnerabilidades detectadas.

Escaneos ilimitados de verificación de parches -Los escaneos de verificación de parches ilimitados están disponibles durante 30 días después de la entrega de sus informes de prueba de penetración para verificar que todas las vulnerabilidades detectadas hayan sido reparadas correctamente por los desarrolladores de su software.

Evaluación de privacidad del sitio web -Nuestros escaneos encontrarán problemas de privacidad y cumplimiento que su equipo de seguridad puede solucionar.

Reconocimiento de la Dark Web -Nuestros escaneos encontrarán la exposición de su organización en Dark Web, como credenciales robadas, y aprovecharán estos datos durante el Pentest.

Certificado Pentest -Al completar el Pentest, obtendrá un certificado firmado para fines normativos o de cumplimiento.

 

NOTA: Solo este servicio tiene la opción de devolución de dinero de falso positivo.

MOBILE PEN

PENTEST MÓVIL

MobilePentestInfo

Preguntas frecuentes

¿Necesito dos paquetes para las versiones iOS y Android de la misma aplicación?

Sí.

 

¿Puede probar aplicaciones móviles creadas con Xamarin o Flutter?

Sí, podemos probar aplicaciones creadas con cualquier marco o tecnología móvil. Sin embargo, los marcos multiplataforma complicados, como Xamarin y Flutter, imponen desafíos adicionales que generalmente requieren recursos adicionales y tiempo humano para realizar pruebas exhaustivas de la aplicación. Por lo tanto, el paquete mínimo requerido para esos marcos es MobileSuite Corporate.

Web application penetration testing

LISTA DE PRECIOS

MobilePriceList1.png

Elige el plan que mejor se adapte a ti.Contacto nuestros expertos para cualquier pregunta que pueda tener.

Pruebas de penetración automatizadas por IA -La tecnología AI Learning acelera y automatiza de forma inteligente más de 10 000 comprobaciones de la seguridad de su aplicación web, que generalmente requieren trabajo humano y no pueden ser realizadas por los escáneres de vulnerabilidad tradicionales debido a la complejidad.

Cero falsos positivos SLA -Nuestros Términos de Condiciones brindan devolución de dinero contractual para ese hallazgo específico. La devolución del dinero se dividirá entre todos los hallazgos. Por ejemplo, si se encontraron 17 vulnerabilidades y una de ellas dio como resultado un falso positivo, el precio pagado se dividirá entre los 9 servicios principales, dividido entre el número de hallazgos. P.ej. 200.000/9 = 22.222/17 = 1.307.

Acuerdo de nivel de servicio de entrega rápida -Nuestros Términos de Condiciones garantizan la entrega en el tiempo especificado por el SLA

Aplicación de parches virtuales WAF -Si está disponible, podemos proporcionar conjuntos de reglas WAF listos para usar con su informe de prueba de penetración para mitigar automáticamente las vulnerabilidades detectadas.

Escaneos de verificación de parches ilimitados: los escaneos de verificación de parches ilimitados están disponibles durante 30 días después de la entrega de sus informes de prueba de penetración para verificar que todas las vulnerabilidades detectadas hayan sido reparadas correctamente por los desarrolladores de software.

Evaluación de privacidad del sitio web -Nuestros escaneos encontrarán problemas de privacidad y cumplimiento que su equipo de seguridad puede solucionar.

Reconocimiento de la Dark Web -Nuestros escaneos encontrarán la exposición de su organización en Dark Web, como credenciales robadas, y aprovecharán estos datos durante el Pentest.

Certificado Pentest -Al completar el Pentest, obtendrá un certificado firmado para fines normativos o de cumplimiento.

Pruebas de aplicaciones multiplataforma -Algunas aplicaciones requerían más recursos y tiempo, por lo que este análisis hace el trabajo.

Bypass de detección de raíz o Jailbreak -Puede detectar si algún dispositivo tiene privilegios de root o ha sido liberado.

Bypass de detección del emulador -Detecta si algún dispositivo impide ejecutarse en un emulador o requiere ser probado en un dispositivo real.

Omisión de asignación de certificados -Si los dispositivos utilizan tecnología de fijación de certificados SSL, se detectará.

Omisión de ofuscación de código -Detectará si algún dispositivo utiliza algún código ofuscado para evitar la ingeniería inversa.

IOT PEN

PENTEST IOT

IoTWhatWeLookFor
IoTDiagram
IoTStepsHacking

Los dispositivos IoT se fabrican para satisfacer las necesidades generales de una organización; por lo tanto, carecen de estrictos protocolos de seguridad. Los atacantes han estado usando esta ventaja para ingresar al sistema de una organización a través de cualquiera de los dispositivos IoT débiles.

Los ataques IoT son ataques cibernéticos que obtienen acceso a los datos confidenciales de los usuarios con la ayuda de cualquier dispositivo IoT. Los atacantes suelen instalar malware en el dispositivo, dañarlo u obtener acceso a más datos personales de la empresa.

 

Proceso VAPT

Pruebas de seguridad de red IOT

Pruebas de seguridad de dispositivos IOT

Pruebas de seguridad de protocolos inalámbricos

Pruebas de seguridad de firmware de dispositivos IOT

Pruebas de seguridad de aplicaciones de dispositivos IOT

Pruebas de seguridad de API en la nube de IOT

LISTA DE PRECIOS

IoTPriceList1.png

Elige el plan que mejor se adapte a ti.Contacto nuestros expertos para cualquier pregunta que pueda tener.

FACILITIES PEN

INSTALACIONES PENTEST

Una prueba de penetración física evalúa todos los controles de seguridad físicos, incluidos candados, cercas, guardias de seguridad, cámaras y otras medidas de seguridad. Durante una prueba de penetración física, los intentos de frustrar estos controles para obtener acceso físico a áreas restringidas, identificar datos confidenciales y obtener acceso a una red.

 

 

Beneficios de realizar una prueba de penetración física

Hay dos beneficios principales para realizar un Pentest físico:

 

- Exponer barreras físicas débiles: Pentesters evaluará y expondrá las vulnerabilidades de seguridad física, como brechas en las cercas, puertas que no están bien colocadas y procedimientos que no se siguen.

 

- Comprender los riesgos: Como parte de la evaluación de vulnerabilidades, Pentesters realizará ataques simulados contra barreras físicas, lo que proporcionará una idea del tipo de daño al que cualquier debilidad de seguridad podría exponer a su negocio. Cuando las empresas saben el grado de daño que podrían enfrentar, pueden priorizar las acciones de remediación.

PhysicalPentest
Physical3SectorsPentest
PhysicalAccess1

LISTA DE PRECIOS

PyisicalPriceList1.png

Elige el plan que mejor se adapte a ti.Contacto nuestros expertos para cualquier pregunta que pueda tener.

¿Qué está incluido?
- Factura fiscal
- Soporte 24/7 durante el mes
- Informes Ejecutivos (Técnicos/Regulares)

IMPORTANTE
Hay un pago inicial del 50%** al firmar contrato y el resto, al terminar el PENTEST.
*** SIN EXCEPCIONES

TestingMethodologies
ReportingStandardsInfo
CoveredVulnerabilitiesBar

PCI-DSS (6.5.1-6.5.10)

PCIDSSinfo

TOP 10 DE OWASP

OWASPTOP10info

API DE OWASP TOP 10

OWASPAPITOP10info

CLIENTE
INDUSTRIAS

- Gobierno

- Cuidado de la salud

- TI/Ciberseguridad

- VIP

- Hospitalidad

- Educación

- Militar

bottom of page