Question 1

¿Qué incluye un pentest con ITERRUPTIVO?

Accepted Answer

Un pentest completo incluye: reconocimiento y enumeración de superficie de ataque, pruebas de vulnerabilidades OWASP Top 10, pruebas de autenticación y autorización, análisis de configuración de infraestructura, prueba de APIs y endpoints, y si aplica, pruebas de ingeniería social. El resultado es un reporte ejecutivo (para el CEO/CTO) y un reporte técnico detallado (para el equipo de desarrollo) con severidad, evidencia y pasos de remediación priorizados.

Question 2

¿Qué es OWASP SAMM y por qué importa?

Accepted Answer

OWASP SAMM (Software Assurance Maturity Model) es el framework estándar de la industria para medir y mejorar la madurez de seguridad en equipos de desarrollo de software. Evalúa 15 prácticas de seguridad en 5 funciones de negocio en una escala de 0 a 3. El promedio global es 1.44 — la mayoría de las empresas son reactivas ante vulnerabilidades en lugar de prevenirlas. Un assessment SAMM con ITERRUPTIVO identifica exactamente dónde está tu equipo y qué cambiar primero para reducir riesgo real.

Question 3

¿Qué es Robin Hood?

Accepted Answer

Robin Hood es el sistema de pentesting autónomo de ITERRUPTIVO — una plataforma multi-agente de IA que ejecuta pruebas de seguridad de forma autónoma sobre aplicaciones web, APIs, y redes. Cristian Luciano (CISO) diseñó Robin Hood para combinar velocidad de IA con el criterio de un pentester senior. Los resultados son validados manualmente antes de reportar para eliminar falsos positivos.

Question 4

¿Qué es Leakint?

Accepted Answer

Leakint es nuestra plataforma de inteligencia de credenciales filtradas. Monitorea bases de datos de leaks y dark web en tiempo real para detectar si credenciales de tu organización — emails corporativos, contraseñas, tokens — han sido comprometidas y están circulando. Para empresas, es una herramienta crítica de detección temprana antes de que una credencial filtrada se convierta en un breach.

Question 5

¿Qué certificaciones tiene el equipo de seguridad?

Accepted Answer

Cristian Luciano, CISO y co-fundador, lidera todos los servicios de seguridad. Sus credenciales específicas están disponibles en su perfil en https://iterruptivo.com/es/nosotros. El equipo de seguridad tiene experiencia práctica en pentesting de aplicaciones web, análisis de infraestructura cloud, y evaluaciones de madurez de seguridad para startups y empresas medianas.

Question 6

¿Cuánto tiempo toma un pentest?

Accepted Answer

Un pentest de aplicación web estándar toma entre 5 y 10 días hábiles, dependiendo de la complejidad de la aplicación (número de endpoints, flujos de autenticación, integraciones). Un assessment OWASP SAMM completo toma entre 2 y 4 días de trabajo, incluidos entrevistas con el equipo de desarrollo. Los reportes se entregan dentro de los 3 días hábiles post-ejecución.

Question 7

¿Hacen pruebas de seguridad continuas o solo proyectos puntuales?

Accepted Answer

Ambos. Ofrecemos pentesting como proyecto puntual (antes de un lanzamiento, antes de una auditoría de cumplimiento, o como ejercicio anual) y como servicio continuo en retainer mensual. El modelo continuo incluye monitoreo con Leakint, escaneo automatizado periódico con Robin Hood, y un assessment SAMM de seguimiento trimestral para medir progreso.

Question 8

¿El reporte de pentest incluye soporte para remediación?

Accepted Answer

Sí. Cada hallazgo en el reporte técnico incluye: descripción técnica de la vulnerabilidad, evidencia (capturas, payloads, logs), severidad CVSS, y pasos de remediación específicos para el stack del cliente. Adicionalmente ofrecemos sesiones de revisión con el equipo de desarrollo para resolver dudas sobre la remediación, y una prueba de verificación post-remediación a tarifa reducida.

Question 9

¿Pueden ayudar con cumplimiento SOC2 o ISO 27001?

Accepted Answer

Sí. No somos certificadores, pero preparamos a equipos para auditorías SOC2 Type II e ISO 27001. Esto incluye gap assessment contra los controles requeridos, implementación de controles técnicos (pipelines DevSecOps, gestión de secretos, logging de auditoría), documentación de políticas y procedimientos, y simulacros de auditoría antes del examen real.

Question 10

¿Con qué frecuencia debería hacer un pentest?

Accepted Answer

La práctica estándar para aplicaciones web en producción es: pentest completo antes del primer lanzamiento, pentest de seguimiento después de cambios mayores de arquitectura (nuevas integraciones, nuevos módulos), y pentest anual de mantenimiento. Para aplicaciones que manejan datos sensibles (fintech, healthtech, SaaS B2B) o que están bajo marcos de cumplimiento, los pentests semestrales son la norma del mercado.

Seguridad Ofensiva. Defensiva. Inteligente.

Pentesting Autónomo con IA

Reconocimiento Automatizado

Explotación Controlada

Reportes SOC 2 / ISO 27001

9 Agentes en Paralelo

Inteligencia de Credenciales Filtradas

Dark Web Indexing

Búsqueda Instantánea

Alertas en Tiempo Real

Actualización Diaria

Seguridad en Cada Commit

Compliance-Ready desde día 1