Servicios / Ciberseguridad
PCI DSS, pentesting y compliance para empresas que ya no pueden improvisar
Cumplimiento PCI DSS v4.0, pruebas de penetración en aplicaciones, APIs y cloud, documentación de compliance (ISO 27001, SOC 2, LFPDPPP) y hardening AWS. Ingeniería de seguridad aplicada, sin teatro ni powerpoints de 200 páginas.
El panorama de amenazas
Los números que deberían quitarte el sueño
$4.88M USD
Costo promedio global de una brecha de datos en 2024 (IBM)
277 días
Tiempo promedio para detectar y contener una brecha
68%
De las brechas involucran un elemento humano (phishing, error, credenciales)
< 24h
Tiempo típico entre la publicación de un CVE crítico y su explotación masiva
Vectores de ataque
Por dónde entra un atacante hoy
No son amenazas teóricas: son los vectores que vemos repetidos cada trimestre en engagements reales con empresas en México.
Robo y abuso de credenciales
Credential stuffing, tokens expuestos en repos públicos, claves AWS filtradas. La puerta de entrada #1 en brechas reales.
Ataques a aplicaciones web y APIs
OWASP Top 10, IDOR, SSRF, inyección, broken object level authorization. Tu API pública es tu nueva superficie de ataque.
Configuraciones de nube expuestas
Buckets S3 abiertos, security groups 0.0.0.0/0, roles IAM sobreprivilegiados, metadata IMDSv1 en EC2. Errores caros.
Ingeniería social y phishing
Spear phishing ejecutivo, BEC (Business Email Compromise), vishing con IA generativa. El eslabón humano sigue siendo objetivo prioritario.
Ransomware y extorsión
Cifrado de servidores, doble extorsión (filtrar + cifrar), ataques a respaldos. La recuperación depende de un BCP real, no de un documento en PDF.
Cadena de suministro y terceros
Dependencias npm comprometidas, SaaS con acceso excesivo, proveedores sin controles. Tu seguridad se extiende a cada integración.
Qué resolvemos
Situaciones de seguridad que no se resuelven solas
Procesas pagos y PCI te pide pruebas
Bancos, adquirentes o Stripe te exigen evidencia de cumplimiento PCI DSS v4.0. No sabes qué SAQ aplica, qué controles te faltan ni cómo documentar lo que ya haces.
Nunca te han hecho un pentest formal
Tu aplicación y tu infraestructura AWS nunca pasaron por manos de un atacante controlado. No sabes si tus APIs, tu login o tu bucket S3 están expuestos.
Un cliente grande te pide políticas y no tienes
Enterprise te manda un cuestionario de 300 renglones (SOC 2, ISO 27001, due diligence). No tienes políticas, matriz de riesgos, ni plan de respuesta a incidentes escrito.
Operas en la nube sin baseline de seguridad
Credenciales en el repo, IAM sin MFA, puertos abiertos, logs que no se revisan. Vives con la certeza de que 'algo va a pasar' pero sin saber por dónde entrará.
Líneas de servicio
6 capacidades que cubren tu postura de seguridad
Puedes contratarlas de forma puntual o como programa continuo. La mayoría de nuestros clientes empieza con una y escala hacia un modelo integral.
Cumplimiento PCI DSS v4.0
Determinamos el SAQ aplicable (A, A-EP, D, etc.), gap assessment contra los 12 requerimientos, remediación de hallazgos y entrega lista para ROC o SAQ firmado. Segmentación de red, gestión de llaves, escaneos ASV trimestrales y pentest anual.
- Scoping PCI y definición de CDE (Cardholder Data Environment)
- Gap assessment y remediación de los 12 requerimientos
- Escaneos ASV trimestrales con proveedor aprobado
- Pentest anual de aplicación e infraestructura
- Soporte al QSA durante la auditoría formal
Pentesting ofensivo
Pruebas de penetración en aplicaciones web, APIs REST/GraphQL, infraestructura, cloud AWS, mobile y lógica de negocio. Reporte ejecutivo + técnico con CVSS, PoC reproducible y re-test de hallazgos cerrados.
- Web App Pentest (OWASP ASVS L1/L2)
- API Pentest (OWASP API Security Top 10)
- Cloud Pentest (AWS / Azure / GCP)
- Network & Infrastructure Pentest (interno y externo)
- Mobile Pentest (iOS / Android)
- Red Team engagements con TTPs de MITRE ATT&CK
Compliance documental
Políticas de seguridad, matriz de riesgos, SoA (Statement of Applicability), plan de respuesta a incidentes, BCP/DRP, clasificación de datos y gestión de proveedores. Alineado a ISO 27001:2022, SOC 2 Type II y LFPDPPP.
- Política de seguridad y 20+ políticas complementarias
- Matriz de riesgos y tratamiento (ISO 31000)
- Statement of Applicability (ISO 27001 Anexo A)
- Plan de respuesta a incidentes (IRP) operable
- BCP/DRP con RPO/RTO por servicio crítico
- Aviso de privacidad y ARCO (LFPDPPP)
Hardening de nube y aplicaciones
Endurecimiento de AWS con baseline como código, secret management, CI/CD seguro, SAST/DAST en pipeline, configuración segura de Next.js, webhooks firmados y gestión de dependencias.
- Baseline AWS con Terraform / CDK (CIS Benchmark)
- IAM Least Privilege y SCPs de Organizations
- Detección con GuardDuty, Security Hub, CloudTrail
- Secret management (Secrets Manager, Parameter Store)
- SAST + SCA + escaneo de contenedores en CI
- WAF, rate limiting, bot detection (BotID / Cloudflare)
Monitoreo y respuesta (SOC-lite)
Detección y respuesta a incidentes sin contratar un SOC dedicado. Alertas accionables, runbooks vinculados, retención de logs conforme y guardia on-call para eventos críticos.
- Detección en CloudWatch / Datadog / Sentry
- Playbooks de respuesta por tipo de incidente
- On-call rotation con rotación y compensación clara
- Retención de logs conforme (12 meses mínimo)
- Reportes mensuales ejecutivos y técnicos
Awareness y capacitación
Cultura de seguridad aplicada: capacitación a desarrolladores, directivos y personal general. Simulaciones de phishing controladas y talleres de secure coding para el equipo de ingeniería.
- Secure coding para el equipo de desarrollo
- Simulaciones de phishing y métricas de mejora
- Onboarding de seguridad para nuevos ingresos
- Talleres ejecutivos sobre riesgo cibernético
- Tabletop exercises de respuesta a incidentes
Tipos de pentest
Cobertura ofensiva por superficie de ataque
Web Application
OWASP Top 10 + ASVS L1/L2, autenticación, autorización, lógica de negocio, SSRF, IDOR, inyección, XSS.
API REST / GraphQL
OWASP API Top 10, BOLA/BFLA, mass assignment, rate limiting, introspection, validación de esquema.
Cloud (AWS / Azure / GCP)
IAM, buckets, funciones, redes, servicios administrados, secret management y control plane review.
Infrastructure
Pentest interno y externo, Active Directory, segmentación, VPN, servicios expuestos, servicios legacy.
Mobile iOS / Android
OWASP MASVS, storage local, comunicaciones, anti-tampering, certificate pinning, reversing selectivo.
Red Team
Engagement con objetivos de negocio y TTPs de MITRE ATT&CK. Evaluamos detección y respuesta end-to-end.
Frameworks y normativas
Alineados a los estándares que tus clientes te piden
PCI DSS v4.0
Pagos con tarjeta
ISO/IEC 27001:2022
Gestión de seguridad
SOC 2 Type II
Servicios SaaS
NIST CSF 2.0
Marco de referencia
OWASP ASVS / MASVS
Seguridad de aplicaciones
CIS Controls v8
Controles técnicos
LFPDPPP
Datos personales en México
MITRE ATT&CK
Adversario y detección
Metodología
Cómo ejecutamos un engagement de seguridad
Proceso claro, con entregables por fase y comunicación diaria. Sin scope creep, sin sorpresas, sin facturación escondida.
Scoping y reglas de enfrentamiento
Definimos alcance técnico, activos, ventana de pruebas, contactos de emergencia, niveles de ruido y criterios de severidad. Se firma NDA y carta de autorización antes de cualquier prueba.
Assessment y gap analysis
Revisión técnica y documental contra el framework aplicable (PCI, ISO, SOC 2). Resultado: lista priorizada de hallazgos con riesgo, esfuerzo y dependencia.
Pruebas ofensivas
Pentest manual asistido por herramientas, con PoC reproducible de cada vulnerabilidad explotable. Comunicación diaria de hallazgos críticos para remediación inmediata.
Remediación acompañada
No dejamos el reporte y nos vamos: acompañamos al equipo en la remediación, revisamos los fixes y re-testeamos lo cerrado. Entregables técnicos y ejecutivos por separado.
Transferencia y programa continuo
Capacitación al equipo, plantillas de políticas, tablero de cumplimiento y plan de revisión trimestral. La seguridad deja de ser un proyecto puntual y se vuelve un proceso.
Industrias
Experiencia por sector
Fintech y pagos
PCI DSS, prevención de fraude, KYC/AML, integración segura con Stripe y adquirentes.
SaaS B2B
SOC 2 Type II, multi-tenant isolation, pentest previo a contratos enterprise.
E-commerce y retail
PCI SAQ A/A-EP, protección del checkout, detección de bots, fraude de pagos.
Healthtech
Protección de datos sensibles, LFPDPPP, control de accesos y auditoría completa.
Industria y logística
Segmentación OT/IT, protección de ERP, continuidad operativa y ransomware readiness.
Legal y profesional
Confidencialidad, control documental, cifrado de extremo a extremo y due diligence.
Casos típicos
Ejemplos reales (anonimizados)
Procesadora de pagos con volumen medio completó PCI DSS SAQ D en 14 semanas: segmentación de red, rotación de llaves y escaneo ASV trimestral en marcha; auditor externo firmó sin no-conformidades mayores.
SaaS B2B recibió un pentest externo previo al contrato con una aseguradora: encontramos 2 críticas (IDOR en endpoint de facturación y SSRF en integración interna), ambas cerradas en menos de una semana y el contrato se firmó el trimestre.
Empresa fintech armó su paquete de compliance (políticas + matriz de riesgos + plan de respuesta) desde cero en 6 semanas y pasó el cuestionario de seguridad de un cliente corporativo sin bloqueos legales.
Retailer online redujo fraude de tarjeta en 62% con una combinación de 3DS2, reglas anti-fraude en Stripe Radar, BotID de Vercel y tokenización end-to-end.
Paquetes
Modelos de engagement
Tres puntos de entrada según madurez y necesidad. Todo es ajustable al alcance real de tu empresa.
Essentials
Ciberseguridad mínima viable
Desde $150,000 MXN
Para empresas que nunca han formalizado su postura de seguridad y necesitan un baseline defendible.
- Assessment de seguridad en 3 semanas
- Pentest externo de aplicación web
- 10 políticas base (acceso, datos, incidentes)
- Baseline de hardening AWS
- 1 sesión de capacitación ejecutiva
Compliance
Lo más solicitado
Desde $420,000 MXN
Para empresas que necesitan cerrar PCI, pasar un due diligence de cliente grande o prepararse para ISO/SOC 2.
- Todo lo de Essentials
- Gap assessment PCI DSS v4.0 completo
- Paquete completo ISO 27001 / SOC 2 (políticas + SoA + IRP)
- Pentest web + API + cloud
- 3 meses de acompañamiento en remediación
- Re-test de hallazgos cerrados
Continuous
Seguridad como práctica
Desde $85,000 MXN / mes
Para empresas que ya son compliant y quieren operar un programa continuo sin contratar un CISO interno.
- vCISO fraccional
- Pentest trimestral rotativo
- Monitoreo y respuesta SOC-lite
- Revisión mensual de controles
- Tabletop exercises semestrales
- Reportes ejecutivos y al consejo
Stack
Herramientas que usamos
Lo que entregamos
Entregables concretos
Reporte ejecutivo y reporte técnico de pentest con severidad CVSS v4.0
SAQ o ROC listo para firma (según scope PCI DSS)
Matriz de riesgos, SoA y políticas alineadas a ISO 27001:2022 / SOC 2
Plan de respuesta a incidentes y BCP/DRP operables
Baseline de hardening AWS con IaC (Terraform / CDK)
Pipeline CI/CD con SAST, SCA y escaneo de contenedores
Aviso de privacidad y procedimiento ARCO (LFPDPPP)
Capacitación al equipo técnico, legal y directivo
Tablero de cumplimiento con evidencia versionada
Revisiones trimestrales y re-test de hallazgos
Preguntas frecuentes
FAQ
¿Qué SAQ de PCI DSS necesita mi empresa?+
Depende de cómo manejas los datos de tarjeta. Si solo rediriges al checkout de Stripe u otro procesador certificado (sin pasar datos por tus servidores), suele aplicar SAQ A. Si tus servidores tocan el PAN en cualquier punto, probablemente SAQ D. Lo definimos en la primera sesión de scoping.
¿Un pentest es lo mismo que un escaneo de vulnerabilidades?+
No. El escaneo (ASV, Nessus, Qualys) es automatizado y detecta configuraciones conocidas. El pentest es manual: simula un atacante real buscando cadenas de explotación, abusos de lógica de negocio e IDOR que ningún escáner detecta. PCI DSS exige ambos.
¿Necesito ISO 27001 o SOC 2 certificados?+
Certificarse cuesta tiempo y dinero. Muchos clientes enterprise aceptan evidencia de un programa formal (políticas, matriz de riesgos, controles vigentes) aunque no tengas el certificado. Empezamos por ahí; si más adelante requieres la certificación, el 80% del trabajo ya estará hecho.
¿Puedes firmar NDAs y acuerdos de pentest legales?+
Sí. Todo pentest se ejecuta bajo contrato con NDA, carta de autorización (rules of engagement), ventanas acordadas y alcance firmado. Sin autorización por escrito no empezamos: es requisito legal y ético.
¿En cuánto tiempo quedo compliant?+
Depende del punto de partida. Un cliente con infraestructura moderna en AWS y buenas prácticas mínimas suele cerrar un SAQ D en 10-16 semanas. ISO 27001 documental sin certificación toma 6-10 semanas. Un pentest puntual se entrega en 2-4 semanas.
¿Qué pasa si encuentran una vulnerabilidad crítica durante el pentest?+
Comunicación inmediata al punto de contacto acordado. No esperamos al reporte final: si hay algo explotable con impacto real (RCE, fuga masiva de datos, takeover de cuentas), lo reportamos el mismo día y te acompañamos en la mitigación antes de seguir probando.
¿Trabajan solo con empresas grandes?+
No. Trabajamos con startups en Serie A hasta corporativos. El alcance se ajusta al tamaño y riesgo real del negocio. Un pentest útil para una startup de 20 personas se ve distinto a uno para un corporativo, pero ambos son posibles y accesibles.
¿Qué pasa con LFPDPPP y datos personales en México?+
La ley exige aviso de privacidad, procedimiento ARCO, medidas de seguridad razonables y notificación de brechas. Te ayudamos a cumplir estos puntos con políticas, procedimientos operables y la documentación requerida, alineado a la reforma 2025 de la nueva Ley Federal.
¿Tu empresa aguanta un pentest mañana?
Cuéntanos qué te están pidiendo: PCI, un cuestionario de cliente, un pentest, o todo a la vez. Te regresamos un plan de trabajo con alcance y tiempos reales en menos de una semana.