Pentest web avanzado

Atacamos tu aplicación web con BurpSuite antes que lo hagan otros.

No es solo un escáner automático: es un pentest manual, guiado por casos reales y ejecutado por profesional con certificación en BurpSuite. Tú eliges qué flujos son críticos y nosotros intentamos romperlos.

Testing manual con BurpSuite
Foco en lógica de negocio
Flujos definidos contigo
Informe con evidencia de explotación
Quiero un pentest con BurpSuite
Ver cómo trabajamos

Ideal para e-commerce, portales de clientes, intranets expuestas, sistemas de matrícula, reservas, pagos en línea y cualquier aplicación web crítica.

Ejemplo de resultados de un pentest

Testing manual completado
Flujos críticos probados
5
Login, pagos, perfil, API, admin
Hallazgos críticos
2
Compras gratis + escalamiento

Horas de testing manual

16h
BurpSuite full
 
Riesgo global
Alto
Se recomiendan cambios urgentes
 

IDOR en API de órdenes (acceso a pedidos de otros usuarios)

Crítica

Bypass de validación de descuentos (aplicar cupones infinitos)

Crítica

CSRF en cambio de correo del usuario

Media
¿Qué es este servicio?

Un pentest web centrado en lo que más te duele

No se trata de lanzar un escáner y exportar un PDF. Se trata de definir contigo qué es lo más crítico de tu aplicación y probarlo a fondo con BurpSuite: lógica de negocio, flujos, APIs y todo lo que no ve un escáner tradicional.

En qué se diferencia de un escaneo automático

Los escáneres automáticos encuentran muchas cosas, pero rara vez entienden el negocio. Con BurpSuite trabajamos sobre los casos que realmente importan. Probamos escenarios completos, no solo URL sueltas. Buscamos bypass de validaciones y controles de negocio. Intentamos reproducir fraudes reales (compras, pagos, permisos). Validamos qué hallazgos son explotables de verdad. Menos ruido, más foco en lo que realmente podría hacerte perder datos o dinero.

Qué obtienes al finalizar

Un informe que puedes usar tanto con tu equipo técnico como con dirección. Listado de hallazgos clasificados por criticidad Evidencia de explotación (capturas, requests, payloads) Descripción de impacto técnicamente y en negocio Recomendaciones concretas de corrección Resumen ejecutivo en lenguaje simple
Alcance y flexibilidad

Tú eliges qué quieres que intentemos romper

El alcance se arma contigo. Tú conoces el negocio, nosotros sabemos cómo atacarlo de forma controlada.

Flujos sugeridos

Puedes partir con flujos clásicos que casi siempre importan: Login, registro y recuperación de contraseña Flujo de pago y checkout en e-commerce Gestión de perfil de usuario (datos personales, direcciones) Módulo de administración / backoffice Subida y descarga de archivos APIs críticas que exponen datos o acciones sensibles Podemos sugerirte flujos según tu tipo de negocio, o tú nos dices: “rompe específicamente esto”.

Alcance personalizado

Este servicio está pensado para adaptarse a tu realidad: Elegimos juntos los flujos que más te preocupan. Podemos incluir uno o varios entornos (test, staging, producción). Definimos ventanas de prueba para no afectar operación. Podemos complementar con escaneo previo (Acunetix) si lo deseas. Aquí analizamos lo que tú quieras revisar, siempre con autorización formal y alcance claro.
Casos típicos

Ejemplos de pruebas que hacemos con BurpSuite

Algunos de los tipos de ataques controlados que podemos realizar sobre tus flujos.

Lógica de negocio y fraude

Aplicar descuentos indebidos o ilimitados Modificar montos de pago en el formulario Realizar compras sin pagar o a costo 0 Evitar pasos obligatorios en flujos de aprobación
E-commerce
Pagos online

Control de acceso y permisos

Escalamiento horizontal (ver datos de otros usuarios) Escalamiento vertical (funciones de admin desde cuenta normal) IDOR en APIs (modificar IDs en requests) Bypass de controles de interfaz
Portales de clientes
Paneles internos

Flujos técnicos avanzados

Manipulación de JWT, tokens y sesiones Pruebas de CSRF en acciones sensibles Abuso de APIs REST/GraphQL Encadenamiento de vulnerabilidades menores
APIs
SaaS
Cómo trabajamos

Proceso de pentest web con BurpSuite

Transparente, controlado y enfocado en minimizar riesgos para tu operación.

PASO 1

Reunión y definición de alcance

Conversamos contigo para entender la aplicación, flujos críticos y restricciones. Dejamos por escrito qué se prueba, dónde y cuándo.
PASO 2

NDA y autorizaciones

Firmamos acuerdo de confidencialidad (NDA) y documento de autorización de pruebas para que todo quede formalmente autorizado.
PASO 3

Pentest con BurpSuite

Ejecutamos las pruebas en la ventana acordada, registrando evidencias, payloads y resultados. Si algo es muy crítico, te avisamos de inmediato.
PASO 4

Informe y sesión de cierre

Te entregamos el informe técnico + resumen ejecutivo y realizamos una sesión de revisión donde explicamos hallazgos y priorizamos acciones.
Planes de referencia

Planes de pentest web con BurpSuite

Los valores dependen del tamaño y complejidad de la aplicación, y de cuántos flujos quieras probar. Estos son ejemplos para orientarte.

Plan foco único

1 flujo crítico + login
Desde $180.000 CLP

Para una app pequeña o un flujo muy específico Definimos 1 flujo crítico (ej: pago, alta de usuario, etc.) Incluye login/registro asociado al flujo Testing manual con BurpSuite Informe técnico + resumen ejecutivo
Cotizar plan foco único

Plan negocio

E-commerce / portal mediano
Desde $320.000 CLP

Recomendado para sitios donde se mueve plata o datos sensibles 3–5 flujos críticos (login, pago, perfil, API, etc.) Testing manual intensivo con BurpSuite Comunicación temprana de hallazgos críticos Informe completo + sesión de revisión con tu equipo
Cotizar plan negocio

Plan a medida

Sistemas grandes / entornos públicos
A convenir

Para plataformas complejas, municipales o con alta exposición Definimos alcance a medida (flujos, APIs, entornos) Puede incluir varios ciclos de prueba y revalidación Informes alineados a auditoría / compliance Posibilidad de trabajo por hitos o por horas
Conversar un proyecto a medida

¿Agendamos un pentest con BurpSuite?

Cuéntanos qué aplicación quieres revisar y qué flujos te preocupan. Te proponemos un alcance, plazos y valor acorde a tu realidad.

Email: contacto@techfort.cl
WhatsApp: +569 8439 1670
Sitio web: www.techfort.cl

Al enviar este formulario declaras que eres propietario o cuentas con autorización formal para realizar pruebas de seguridad sobre la aplicación indicada. Todas las pruebas se ejecutan bajo un alcance acordado por escrito y con técnicas de hacking ético.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

We Are The Best

Building Confidence Through Security

/00 – 1

June 25th, 2006.
Design and Interaction for The Wall

/00 – 2

June 25th, 2018.
Design and Interaction for The Wall
/00 – 3
June 25th, 2025.
Design and Interaction for The Wall
Our Services

Comprehensive Cyber Defense and Risk Management

Cybersecurity

Cloud Security

Control Systems

Forensics Support

Breach Recovery

IoT Device

Loss Prevention

Cloud Infrastructure
Testimonials

Cybersecurity That Delivers Results

4.9/5.0

We’ve delivered 150+ projects that help companies generate real results.

Michael Lee

  • Customer

Cabby

  • Customer

Selena

  • Customer

Taylor

  • Customer
Explore Our Blog

Building Stronger Network Security Systems