Empresas que confían en BrownPipe
Seguridad Ofensiva
Identifique vulnerabilidades en su red con modalidades que se adaptan a sus necesidades y presupuesto.
Empresas que confían en BrownPipe
Para su empresa
Su red es la base de toda la operación. Servidores, servicios, integraciones y accesos deben estar protegidos contra amenazas que evolucionan constantemente.
Un pentest de infraestructura muestra dónde su entorno está expuesto y qué necesita ser corregido. Las empresas buscan este servicio cuando necesitan:
Saber dónde están expuestas antes de que un atacante lo descubra
Cumplir requisitos de compliance (PCI-DSS, ISO 27001, SOC 2, RGPD)
Validar la seguridad tras cambios en la red o migración a la nube
Verificar si la segmentación de red realmente funciona
Evaluar la seguridad de Active Directory
Presentar evidencias de diligencia a clientes, socios o aseguradoras
Modalidades
Ofrecemos tres modalidades de evaluación de infraestructura. La elección depende del objetivo, presupuesto y nivel de profundidad que su empresa necesita.
Evaluación automatizada utilizando herramientas especializadas del mercado. Ejecutamos el escaneo contra su entorno y entregamos el resultado generado por la herramienta, sin filtros ni análisis adicional.
Empresas que necesitan una visión rápida del entorno, cuentan con equipo técnico interno para interpretar los resultados o quieren un primer diagnóstico con inversión reducida.
Tarifa fija por la ejecución del escaneo, más un valor por cada informe de severidad incluido. Usted decide qué desea recibir.
Importante: Los resultados se entregan tal como los genera la herramienta, sin validación manual. Esto significa que pueden contener falsos positivos e información que requiere interpretación técnica.
El mismo escaneo automatizado de la modalidad anterior, pero con una capa de revisión humana. Un especialista de BrownPipe analiza los resultados, elimina ruido y falsos positivos, y entrega un informe que tiene sentido para su contexto.
Empresas que necesitan un informe utilizable, sin tener que invertir tiempo filtrando cientos de alertas irrelevantes. Ideal para quienes desean visibilidad del entorno con calidad de análisis, pero aún no necesitan explotación manual.
Tarifa de escaneo más un valor por el análisis técnico.
Obtendrá informes más precisos, revisados por el equipo de BrownPipe.
Prueba de intrusión completa, realizada manualmente por el equipo técnico de BrownPipe. Identificamos vulnerabilidades, explotamos las fallas de forma controlada, verificamos movimiento lateral y documentamos exactamente el nivel de exposición de su entorno.
Empresas que necesitan conocer el riesgo real, no solo una lista de CVEs. Organizaciones que exigen evidencias concretas de impacto, quieren verificar la efectividad de los controles de seguridad o necesitan cumplir requisitos de compliance que exigen pentest (PCI-DSS, auditorías, contratos con clientes).
Valor base que incluye una cantidad de hosts. Los hosts adicionales se cobran según el nivel de complejidad.
No solo recibe un informe. Tiene un equipo de especialistas a su lado de principio a fin, hasta la validación de que los problemas fueron resueltos.
Pentest completo
Comenzamos definiendo el alcance junto con usted: qué redes, hosts y servicios serán evaluados, ventanas de prueba, contactos de emergencia y reglas de compromiso.
La identificación de vulnerabilidades combina escaneo automatizado con análisis manual. No nos limitamos a lo que la herramienta indica: investigamos configuraciones, permisos, integraciones y comportamientos que pueden representar un riesgo.
Cuando obtenemos un acceso inicial, verificamos las posibilidades de expansión: escalar privilegios, acceder a otros sistemas, alcanzar activos críticos. Todo el proceso se documenta con evidencias: capturas, comandos ejecutados, pruebas de concepto.
Hablar con un especialistaDefinimos junto con usted qué redes, hosts y servicios serán evaluados, ventanas de prueba, contactos de emergencia y reglas de compromiso.
Nuestro equipo mapea la superficie de ataque del entorno, identificando hosts, servicios, versiones y configuraciones expuestas.
Combinamos escaneo automatizado con análisis manual. No nos limitamos a lo que la herramienta indica: investigamos configuraciones, permisos, integraciones y comportamientos que pueden representar un riesgo.
Cada vulnerabilidad relevante es verificada y explotada de forma controlada para validar si es realmente explotable y cuál es el impacto en su contexto.
Cuando obtenemos un acceso inicial, verificamos las posibilidades de expansión: escalar privilegios, acceder a otros sistemas, alcanzar activos críticos.
Todo el proceso se registra con evidencias: capturas, comandos ejecutados, pruebas de concepto. Usted ve exactamente qué hicimos y qué logramos.
Entregamos un informe técnico completo con vulnerabilidades, clasificación de severidad contextualizada y recomendaciones priorizadas de corrección.
Permanecemos disponibles para aclarar dudas durante la remediación.
Después de que usted corrija las vulnerabilidades críticas y altas, realizamos una nueva prueba para validar que las correcciones fueron efectivas.
Estándares
Nuestras pruebas siguen metodologías reconocidas internacionalmente, adaptadas a la realidad de cada entorno.
La elección y combinación de las metodologías depende del alcance y los objetivos del proyecto. Esto garantiza que la prueba cumpla requisitos de compliance (PCI-DSS, ISO 27001, auditorías) y al mismo tiempo sea relevante para el contexto específico de su organización.
NIST SP 800-115
Guía técnica del NIST para pruebas de seguridad en redes y sistemas
OSSTMM
Metodología con enfoque en métricas y cobertura de superficie de ataque
PTES
Estándar que define fases y entregables para pruebas de intrusión profesionales
MITRE ATT&CK
Framework para mapear técnicas de movimiento lateral y escalación de privilegios en Active Directory
Comparativo
| Escaneo | Escaneo + Análisis | Pentest Completo | |
|---|---|---|---|
| Ejecución automatizada | |||
| Análisis por especialista | - | ||
| Eliminación de falsos positivos | - | ||
| Explotación manual | - | - | |
| Prueba de impacto real | - | - | |
| Movimiento lateral | - | - | |
| Informe técnico detallado | Básico | Contextualizado | Completo |
| Recomendaciones de corrección | Genéricas | Ajustadas | Priorizadas |
| Soporte post-entrega | - | - | |
| Reprueba tras corrección | - | - |
Preguntas frecuentes
Es una prueba de intrusión que evalúa redes, servidores, dispositivos y servicios de la organización, tanto expuestos a internet como internos. A diferencia de un escaneo automatizado que solo lista CVEs conocidos, el pentest involucra explotación manual de las fallas, validación de impacto real y demostración de rutas de ataque completas. El resultado es un informe técnico que muestra exactamente lo que un atacante podría lograr en su entorno, con evidencias, clasificación de riesgo y orientaciones claras para la corrección.
El escaneo automatizado lista vulnerabilidades conocidas usando firmas. Entrega resultados rápidos, pero genera falsos positivos y no valida si las fallas son realmente explotables. El pentest usa el escaneo como punto de partida, pero el trabajo es manual: explotar fallas, encadenar ataques y demostrar lo que un atacante realmente podría lograr.
Si necesita visibilidad rápida y tiene equipo técnico para interpretar resultados en bruto, el Escaneo es suficiente. Si quiere un informe limpio y utilizable, elija Escaneo con Análisis. Si necesita conocer el riesgo real, con explotación y soporte hasta la corrección, el Pentest Completo es la elección correcta.
Escaneo: 1 a 3 días hábiles. Escaneo con Análisis: 3 a 7 días hábiles. Pentest Completo: 5 a 20 días hábiles, dependiendo del alcance y complejidad.
Trabajamos con una metodología controlada. Las pruebas de denegación de servicio (DoS) y exploits potencialmente destructivos solo se ejecutan con autorización explícita y en ventanas acordadas. La mayoría de las pruebas no causan impacto en producción.
Sí. En el Escaneo, identificamos configuraciones inseguras y vulnerabilidades conocidas. En el Pentest Completo, empleamos técnicas como Kerberoasting, AS-REP Roasting, DCSync, movimiento lateral y mapeamos rutas de ataque hacia Domain Admin.
Sí. Evaluamos configuraciones de seguridad, IAM, storage, redes virtuales e integración con entornos on-premises. El alcance se define previamente respetando los términos de uso de cada proveedor.
Sí. El Requisito 11.3 de PCI-DSS exige pentest anual y tras cambios significativos. Nuestras pruebas siguen metodologías aceptadas por el estándar (NIST SP 800-115, OSSTMM, PTES) y los informes cumplen los requisitos de documentación exigidos por los auditores.
Después de que usted corrija las vulnerabilidades, realizamos una nueva prueba de los puntos críticos y altos para validar que las correcciones fueron efectivas. El plazo para solicitar la reprueba se define en la propuesta.
La comunicamos inmediatamente para que se puedan tomar medidas de emergencia. No esperamos al informe final para alertar sobre riesgos graves.
Identificar y corregir vulnerabilidades antes de un incidente cuesta una fracción del perjuicio de una intrusión real. Un pentest bien ejecutado muestra exactamente dónde están los riesgos y cómo priorizarlos.
Contáctenos