El punto de partida
El grupo operaba tres aplicaciones expuestas a Internet: el portal de la red de concesionarios, el área de clientes (citas de taller, historial de vehículo, financiación) y las APIs que las conectaban con el ERP. Un fabricante con el que iban a integrarse exigía una prueba de seguridad reciente firmada por un tercero, y el grupo llevaba años sin hacer ninguna: el desarrollo estaba externalizado en dos proveedores distintos y nadie tenía la foto completa.
Cómo lo abordamos
Pentest en caja gris — con credenciales de los distintos roles, sin acceso al código — sobre metodología OWASP (WSTG para las webs, API Security Top 10 para los servicios), en entorno de producción con ventanas acordadas y canal directo con los dos proveedores de desarrollo.
Los dos hallazgos críticos, contados sin detalle explotable:
- Referencias directas inseguras (IDOR) en el área de clientes — manipulando identificadores era posible acceder a datos personales y de financiación de otros clientes. Sin registro que hubiera permitido detectar un abuso previo: imposible saber cuánto tiempo llevaba expuesto.
- Subida de ficheros sin validación efectiva en el portal de concesionarios — encadenada con una mala configuración del servidor, permitía ejecución de código en el entorno. Probado de forma controlada y documentado con evidencias reproducibles.
Cada hallazgo se entregó con impacto de negocio, evidencia reproducible y remediación concreta dirigida al proveedor responsable — no un volcado de escáner, sino un informe que los dos equipos de desarrollo pudieron ejecutar sin idas y vueltas. Las críticas se comunicaron el mismo día de su confirmación, sin esperar al informe final.
Resultados
14
vulnerabilidades documentadas: 2 críticas, 3 altas, 6 medias, 3 bajas
72 h
desde la comunicación de las críticas hasta su mitigación en producción
100 %
de críticas y altas cerradas, verificado en la revalidación a las seis semanas
El informe ejecutivo sirvió como evidencia ante el fabricante y la integración siguió adelante en plazo. El grupo incorporó además dos cambios de fondo que salieron del pentest: registro de accesos con alertas en el área de clientes y requisitos de seguridad contractuales para sus proveedores de desarrollo.
Claves del caso
- Con desarrollo externalizado, el pentest independiente es la única foto objetiva: ningún proveedor audita bien su propio código.
- Comunicar las críticas en caliente — no en el informe final — recortó semanas de exposición real.
- La revalidación convierte el pentest en reducción de riesgo demostrable, no en un PDF que envejece en un cajón.
Servicios relacionados
¿Cuándo fue tu último pentest?
Si tus aplicaciones tratan datos de clientes y llevan años sin una prueba seria, probablemente hay hallazgos esperando. Alcance claro, informe accionable y revalidación incluida.