Nivel 2 · Automatizado
Escaneo de vulnerabilidades.
Escáner profesional sobre tu web o API con cada hallazgo revisado y triado a mano. Detecta vulnerabilidades comunes sin el ruido de los falsos positivos.
Qué incluye
Detecta lo evidente sin falsos positivos.
Cobertura OWASP Top 10
Inyecciones, control de acceso roto, configuración insegura, componentes con CVE conocidos, etc.
Triaje manual de cada hallazgo
Descartamos ruido y falsos positivos antes de enviarte nada. Tu informe solo contiene hallazgos verificados.
Informe priorizado por criticidad
CVSS + contexto de tu aplicación. Sabes exactamente qué arreglar primero y por qué.
Reunión breve de resultados
30 minutos. Te explicamos los hallazgos, resolvemos dudas técnicas y aclaramos los pasos de remediación.
Qué NO cubre este nivel
- —Explotación encadenada de vulnerabilidades
- —Fallos de lógica de negocio (esos son del pentest)
- —Control de acceso fino entre roles personalizados
- —Bypass complejos de autenticación o autorización
Si necesitas todo eso, lo tuyo es el pentest manual completo.
Qué recibes
- Escáner profesional de vulnerabilidades (OWASP Top 10)
- Triaje manual: descartamos ruido y falsos positivos
- Informe priorizado por criticidad
- Reunión breve de resultados
Cuándo elegirlo
- Diagnóstico periódico de tu aplicación.
- Antes de un release importante.
- Cuando un cliente o auditoría te pide evidencias.
- Para validar el nivel base antes de invertir en pentest.
Preguntas rápidas
Lo que se suele preguntar sobre este servicio.
¿En qué se diferencia del pentest?+
El escaneo detecta vulnerabilidades comunes con un escáner profesional, y nosotros validamos cada hallazgo a mano para que no haya falsos positivos. Pero no explotamos cadenas de vulnerabilidades ni buscamos fallos de lógica de negocio. Para eso está el pentest manual.
¿Afecta a producción?+
El objetivo es no impactar el servicio. Acordamos contigo la ventana de pruebas y el nivel de intrusión. Las pruebas que podrían afectar a la disponibilidad solo se hacen con tu permiso explícito o en staging si lo prefieres.
¿Cuántas URLs/endpoints cubre el precio?+
El precio cerrado lo definimos tras una llamada de alcance. Para una web típica o una API de tamaño medio, una sola unidad de escaneo cubre todo. Si tu aplicación es más grande te lo decimos antes de empezar — nunca facturamos sorpresas.
¿Empezamos con el escaneo?
Te respondemos en menos de 24h con propuesta de alcance y fecha de inicio.