Pentesting ofensivo tradicional

Pruebas de penetración ejecutadas por operadores senior, con alcance congelado e informes listos para decisión.

Fortress Offensive Security es una firma de seguridad ofensiva: planificación disciplinada, explotación controlada donde corresponde, evidencia reproducible y lectura dual para dirección y equipos técnicos — sin ruido de catálogos genéricos.

Solo con autorización explícita · NDA y alcance por escrito antes de pruebas invasivas

evidence — read-only

Secuencia de consola actualizada.
[2026-05-14T09:41:02Z] scope_status=approved
engagement_id=REDACTED-8f2a · environment=staging
fortress@engagement:~$ ./validate_scope --frozen
PASS scope_frozen (SOW hash verified)
fortress@engagement:~$ run_chain --module web_auth --safe
finding: CRITICAL · CWE-287 (auth bypass class)
exploit_attempt=skipped (client_ack=pending)
report: draft_ready · retest_window=SOW

Salida simulada · sin datos reales de clientes

Marco de compromiso

Transparencia comercial sin prometer plazos que dependan del alcance cerrado.

Propuesta5–10 días hábiles tras recibir información de alcance completa
Ventana típica2–4 semanas en pentests web/API acotados; deep dives según superficie
EntregablesInforme técnico + resumen ejecutivo; readout (opcional) y retest bajo SOW

Confianza operativa

Trabajamos con equipos que ya toman el riesgo en serio — sin marketing de logos inventados.

  • Discreción por defecto

    Sin cartera pública de clientes en la web. Los casos y logos solo con autorización explícita.

  • Alcance siempre por escrito

    Activos, ventanas, exclusiones y reglas de engagement acordadas antes de actividad invasiva.

  • Credenciales bajo control

    Certificaciones y CVs de operadores se comparten en fase comercial avanzada o bajo NDA, según el proceso de compra.

Líneas de servicio

Seis áreas de trabajo con pruebas ofensivas como eje central

Pentesting manual por operadores senior es nuestra línea bandera. AppSec, cloud, defensa, gestión de vulnerabilidades y acompañamiento operativo la complementan con el mismo marco de alcance congelado.

Línea bandera

Pruebas ofensivas

Pentesting manual por superficie con modalidad negra, gris o blanca según el SOW.

Evaluación de superficie de ataque (ASM)

Inventario y priorización de lo expuesto a Internet antes o en paralelo al pentest.

AppSec y stack moderno

Web, APIs REST/GraphQL y móvil iOS/Android con foco en lógica de negocio.

Línea frecuente

Infraestructura enterprise

Red interna/externa, AD y movimiento lateral bajo reglas firmadas.

Cloud

IAM, configuración y exposición en AWS, Azure y GCP.

Tecnologías emergentes

IA en apps, biometría y MFA donde el marco legal lo permita.

Especializado

Reversión, phishing controlado y escenarios de alta criticidad.

Y cuando necesite reforzar el ciclo, el diseño o la operación:

Ciclo de vida

Un marco común para todo compromiso

Tres etapas conectan lo comercial, la entrega y el cierre. Pentest, asesorías, cloud y gestión de vulnerabilidades comparten el mismo ciclo con alcance congelado.

1
Etapa 1

Pre-contrato

Llamada de descubrimiento, alineación de objetivos y alcance por escrito. Toda línea — pentest, asesoría, cloud, gestión de vulns — empieza aquí con alcance congelado y marco firmado antes de trabajo técnico.

2
Etapa 2

Ejecución

Kickoff, entrega según SOW y readout formal. Workshops, pruebas, revisiones de postura y acompañamiento operativo comparten las mismas reglas de trazabilidad y escalada.

3
Etapa 3

Post-entrega

Remediación en su perímetro, validación cuando esté en alcance y cierre documentado. Acompañamiento operativo y ciclos de seguimiento cierran el loop cuando aplique.

Formación y certificaciones

Validación técnica del equipo

Certificaciones prácticas en pentesting web, móvil, cloud y red — las mismas manos que ejecutan la campaña.

Siguiente paso

¿Listo para evaluar su superficie de ataque?

Respondemos en 2–3 días hábiles con una ficha breve o una llamada de descubrimiento. Sin compromiso técnico hasta que haya NDA y alcance firmado.

Solo con autorización explícita · NDA y alcance por escrito antes de pruebas invasivas