Pentesting · Auditoría AD · Phishing simulado · OWASP · NIS2

Pentesting para empresas

No sabes si tu red es segura
hasta que alguien intenta entrar.

Simulamos un ataque real contra tu infraestructura antes de que lo haga un atacante — test de intrusión en red interna y externa, aplicaciones web y Active Directory, con un informe ejecutivo y técnico que prioriza las vulnerabilidades por impacto real en el negocio.

Solicitar propuesta de pentesting → Ver tipos de auditoría

Informe ejecutivo + técnico CVSS · OWASP · MITRE Retest incluido

pentest@aodatacloud ~ external-recon

$nmap -sV --script vuln 192.168.1.0/24

Starting Nmap scan — 254 hosts...

[+] 443/tcp open — Apache 2.4.49 (CVE-2021-41773)

[!] CRÍTICO — Path traversal / RCE sin autenticación

────────────────────────────────────────

$crackmapexec smb 192.168.1.0/24 -u '' -p ''

[!] SMB null session — SRV-FILE01 (acceso anónimo)

[!] MS17-010 EternalBlue — SRV-LEGACY02 vulnerable

────────────────────────────────────────

$bloodhound-python -u pentest -p *** -d corp.local

Enumerating AD objects...

[!] Path to Domain Admin found — 3 hops

[!] 14 cuentas con Kerberoasting habilitado

Hallazgos identificados — resumen parcial

CRÍTICO RCE sin autenticación — Apache 2.4.49 CVSS 9.8

CRÍTICO EternalBlue MS17-010 — SRV-LEGACY02 CVSS 9.3

ALTO Path to Domain Admin — BloodHound (3 hops) CVSS 8.1

ALTO Kerberoasting — 14 cuentas de servicio CVSS 7.5

MEDIO SMB null session — acceso anónimo compartidos CVSS 5.3

Críticos

Altos

Medios

Bajos

Tipos de pentesting

Cada test de intrusión ataca una superficie de exposición diferente.

Los tests de pentesting se diseñan según el alcance, la modalidad (black box, grey box, white box) y las superficies prioritarias — red, aplicaciones web, identidades o personas.

Red · Infraestructura

Pentesting de red interna y externa

Simulación de ataque desde fuera del perímetro (external) y desde dentro de la red corporativa (internal) — identificando vulnerabilidades en servicios expuestos, configuraciones incorrectas y vías de escalada de privilegios.

External: reconocimiento, enumeración de servicios y explotación Internal: movimiento lateral, escalada de privilegios y acceso a DC Segmentación de red — verificación de que las VLANs aíslan correctamente Análisis de firewall — reglas permisivas, servicios expuestos innecesariamente

Black box · Grey box · White box

Aplicaciones · API

Auditoría de aplicaciones web y API

Análisis de seguridad de aplicaciones web, portales B2B, e-commerce y APIs — siguiendo metodología OWASP Top 10 para identificar inyecciones, problemas de autenticación, exposición de datos y fallos en la lógica de negocio.

OWASP Top 10 — SQLi, XSS, IDOR, SSRF, XXE, broken auth... Auditoría de API REST/GraphQL — autenticación, autorización y exposición Lógica de negocio — bypass de pagos, escalada de roles, acceso no autorizado Test de autenticación — MFA bypass, brute force, session fixation

OWASP Top 10 · API Security

Personas · Ingeniería social

Phishing simulado y concienciación

Campaña de phishing controlada contra los empleados — simulando ataques reales personalizados para medir la tasa de éxito actual y obtener una línea base de vulnerabilidad humana antes de la formación.

Campaña de phishing personalizada con dominios similares al cliente Spear-phishing dirigido a perfiles de alto valor (dirección, finanzas) Métricas: tasa de apertura, clic en enlace, entrega de credenciales Informe por departamento + recomendaciones de formación específicas

Medición · Formación · Retest

Alcance completo

Auditoría de seguridad informática más allá del pentesting de red.

Algunas de las vulnerabilidades más críticas no están en el firewall ni en las aplicaciones web — están en Active Directory, en la configuración de M365 o en los procesos internos.

Identidades

Auditoría de Active Directory

Análisis exhaustivo del Active Directory — el componente más atacado en entornos Windows — buscando rutas de escalada de privilegios, configuraciones peligrosas y cuentas comprometibles con herramientas como BloodHound y PowerView.

BloodHound — mapeo de rutas al Domain Admin Kerberoasting, AS-REP Roasting, Pass-the-Hash Cuentas con permisos excesivos, delegación no restringida GPO peligrosas, ACLs incorrectas y privilegios heredados

BloodHoundPowerViewMimikatz

Cloud · M365

Auditoría de Microsoft 365 y Azure

Revisión de la configuración de seguridad de Microsoft 365 y Azure — permisos de aplicaciones, políticas de acceso condicional, configuración de Exchange Online, SharePoint y la postura general de seguridad del tenant.

Microsoft Secure Score — análisis y plan de mejora Permisos OAuth de aplicaciones de terceros — riesgo de acceso excesivo Acceso condicional — gaps en la política de MFA y acceso por riesgo Azure RBAC — roles privilegiados sin MFA, cuentas de servicio expuestas

Secure ScoreEntra IDRBAC

Normativa

Auditoría de cumplimiento normativo

Evaluación de la postura de seguridad frente a los controles exigidos por ENS, ISO 27001, NIS2 o RGPD — identificando gaps entre los controles implementados y los requeridos, con un plan de remediación priorizado.

Gap analysis ENS — categorías básica, media y alta Análisis de brechas ISO 27001 — Anexo A controles NIS2 — evaluación de medidas técnicas y organizativas exigidas Plan de remediación con roadmap y priorización por riesgo

ENSISO 27001NIS2RGPD

Informe de resultados — Muestra Confidencial · Cliente demo

Críticos

Altos

Medios

Bajos

Top vulnerabilidades por impacto

RCE sin autenticación — Apache 2.4.49

CVSS 9.8

EternalBlue MS17-010 — SRV-LEGACY02

CVSS 9.3

Domain Admin path — 3 hops (BloodHound)

CVSS 8.1

SQLi — portal proveedores /api/search

CVSS 7.6

Kerberoasting — 14 cuentas de servicio

CVSS 7.5

Acceso condicional sin MFA — 23 usuarios

CVSS 5.4

Qué entregamos

Un informe de pentesting que el equipo técnico y la dirección pueden usar por igual.

No solo una lista de CVEs — un documento que explica el riesgo en términos de negocio, prioriza por impacto real y da pasos de remediación concretos y accionables.

Informe ejecutivo

Resumen para dirección — riesgo global, hallazgos críticos y recomendaciones estratégicas sin tecnicismos. Apto para presentar al consejo o al seguro cibernético.

Informe técnico detallado

Cada vulnerabilidad con evidencia (capturas, PoC), CVSS, vector de ataque, impacto potencial y pasos de remediación paso a paso para el equipo técnico.

Retest de vulnerabilidades críticas

Una vez remediadas las vulnerabilidades críticas y altas, realizamos un retest sin coste adicional para verificar que la corrección es efectiva.

Sesión de presentación de resultados

Reunión con el equipo técnico y dirección para revisar los hallazgos, resolver dudas y priorizar el plan de remediación según recursos y urgencia.

Cómo trabajamos

Un proceso de pentesting estructurado, acordado y documentado — sin sorpresas ni impacto en la operación.

Antes de ejecutar cualquier test de intrusión, definimos el alcance exacto con el cliente — qué sistemas se incluyen, qué está fuera de límites, y cuándo se realizan las pruebas.

Definición de alcance

Acuerdo de alcance, sistemas incluidos, exclusiones, ventanas de ejecución y reglas de engagement. Firma de autorización previa al inicio de cualquier prueba.

Entregable: rules of engagement

Reconocimiento y enumeración

Recopilación de información sobre el objetivo — OSINT, enumeración de servicios, identificación de tecnologías, versiones y superficie de ataque antes de cualquier explotación.

Sin impacto en producción

Explotación controlada

Explotación de vulnerabilidades identificadas de forma controlada — demostrando el impacto real sin causar daño ni interrupción del servicio, documentando cada paso con evidencias.

Controlado · Documentado

Post-explotación y pivoting

Una vez dentro, simulamos lo que haría un atacante real — movimiento lateral, escalada de privilegios, acceso a datos críticos y evaluación del alcance máximo del compromiso.

Alcance máximo real

Informe y retest

Entrega del informe ejecutivo y técnico, sesión de presentación de resultados con el equipo, soporte durante la remediación y retest gratuito de hallazgos críticos y altos.

Retest incluido

Lo que encuentran nuestros tests

En el 100% de los pentesting encontramos vulnerabilidades críticas o altas que el cliente desconocía.

Datos de los proyectos de pentesting realizados en entornos de empresa mediana (50–500 empleados) en los últimos 24 meses.

100%

De los pentesting encuentran al menos una vulnerabilidad crítica o alta

No existe el entorno perfectamente seguro. En todos los proyectos realizados en empresas de 50 a 500 empleados hemos encontrado al menos una vulnerabilidad que permitía comprometer sistemas críticos o datos sensibles.

Antes: "no tenemos vulnerabilidades, llevamos años sin incidentes"

3,2

Media de vulnerabilidades críticas por pentesting en entornos sin hardening previo

La media de hallazgos críticos por proyecto es de 3,2 en entornos sin un programa de gestión de vulnerabilidades activo — y la mayoría son explotables sin credenciales desde internet o desde cualquier equipo de la red interna.

Antes: sin visibilidad del estado real de exposición de la infraestructura

−87%

Reducción de superficie de ataque tras remediación guiada post-pentest

Los clientes que implementan el plan de remediación incluido en el informe reducen drásticamente su superficie de ataque. El retest posterior confirma el cierre de los vectores identificados y mide la mejora.

Antes: vulnerabilidades abiertas durante meses o años sin saber

Preguntas frecuentes

Preguntas frecuentes sobre pentesting y auditoría de seguridad informática.

¿El pentesting puede tumbar sistemas o interrumpir la operación?

En un pentesting profesional, la explotación se realiza de forma controlada y documentada. Antes de ejecutar cualquier prueba se acuerda un alcance exacto y ventanas de ejecución — normalmente fuera del horario de producción para las pruebas más intrusivas. Los exploits se usan solo para demostrar el impacto, no para causar daño. Si detectamos algo que puede ser disruptivo, lo comunicamos al cliente antes de explotar y acordamos cómo proceder.

¿Qué diferencia hay entre black box, grey box y white box?

Black box: el pentester no recibe ninguna información sobre el objetivo — simula un atacante externo que empieza desde cero. Grey box: se proporciona información parcial (credenciales de usuario estándar, diagrama de red básico) — el equilibrio más habitual en proyectos corporativos. White box: acceso total a la documentación, código fuente y configuraciones — máxima cobertura técnica, ideal para auditorías de aplicaciones o revisiones de código.

¿Con qué frecuencia debería hacerse un pentesting?

La recomendación estándar para empresas con infraestructura activa es realizar un pentesting completo al menos una vez al año. Adicionalmente, es recomendable hacer un test tras cualquier cambio significativo en la infraestructura — despliegue de una aplicación nueva, migración a cloud, ampliación de la red o cambios importantes en el perímetro. Marcos como ISO 27001 y NIS2 exigen pruebas periódicas de seguridad como parte de la evaluación de riesgos.

¿Es legal contratar un pentesting? ¿Necesitamos alguna autorización?

Sí, es completamente legal cuando el cliente es el propietario o tiene autorización explícita sobre los sistemas analizados. Antes de empezar cualquier proyecto firmamos un acuerdo de autorización que define el alcance exacto — esto protege tanto al cliente como a nuestro equipo. Si los sistemas incluyen infraestructura de terceros (hosting, cloud compartido, servicios SaaS), es necesario obtener autorización del proveedor antes de incluirlos en el alcance.

¿El informe del pentesting vale para cumplir con ISO 27001, ENS o NIS2?

Sí. El informe de pentesting constituye evidencia de la evaluación técnica de vulnerabilidades requerida por ISO 27001 (control A.12.6), por el ENS (categorías media y alta) y por NIS2. El informe está estructurado para ser presentable a auditores externos y certifica que la organización ha realizado una prueba de seguridad independiente con el resultado documentado.

¿Qué es OSINT y cómo se usa en un pentest?

OSINT (Open Source Intelligence) es la recolección de información sobre el objetivo usando únicamente fuentes públicas: registros DNS, certificados SSL, LinkedIn, GitHub, Shodan, foros técnicos. En un pentest, la fase OSINT revela qué información sensible está expuesta públicamente antes de tocar ningún sistema — versiones de software visibles en cabeceras HTTP, emails corporativos publicados, subdominios olvidados, o código fuente con credenciales en repositorios públicos.

¿Cuándo fue la última vez que alguien intentó entrar en tu red de verdad?

Hacemos una propuesta de pentesting adaptada a tu infraestructura, sector y perfil de riesgo — con alcance definido, precio cerrado y retest incluido. Sin sorpresas.

He leído y acepto la Política de Privacidad y autorizo el tratamiento de mis datos. Acepto recibir comunicaciones comerciales de AO Data Cloud.

Propuesta en 48h · Precio cerrado · Retest incluido