Pentesting de aplicaciones web
Revisión de aplicaciones web y portales corporativos contra OWASP Top 10 y OWASP ASVS, con foco en lógica de negocio, control de acceso, gestión de sesiones y exposición de datos sensibles.
OWASP · ASVS · PTES · MITRE ATT&CK · NIS2 · ENS
Pentesting en Barcelona auditoría técnica con criterio regulatorio
Hard2bit presta servicios de pentesting a empresas con actividad en Barcelona y resto de Cataluña: aplicaciones web, APIs, cloud, infraestructura externa e interna, Microsoft 365, WiFi y revisión móvil cuando aplica. El servicio se diseña para validar impacto real, priorizar el riesgo explotable y entregar un plan de remediación útil para los equipos técnicos y para la dirección, alineado con NIS2, ENS, ISO 27001 y DORA.
Empresa fundada en 2013. El servicio de auditoría de seguridad está dentro del alcance certificado de Hard2bit en ENS Categoría Alta (Real Decreto 311/2022) e ISO/IEC 27001:2022, auditado por entidad acreditada por ENAC. Aplicamos marcos reales — OWASP Top 10, OWASP ASVS, OWASP API Security Top 10, OWASP MASVS, PTES, NIST SP 800-115 y MITRE ATT&CK — y conectamos los hallazgos con el marco normativo que aplica a cada cliente.
Un pentest ben fet no es limita a llançar eines automàtiques. Valida l'impacte real, prioritza el risc explotable i lliura un pla de remediació útil tant per a l'equip tècnic com per a la direcció. Aquesta és la pràctica que apliquem a les empreses catalanes que han de demostrar maduresa davant de clients, asseguradores i reguladors.
Aplicaciones web y APIsCloud (AWS, Azure, GCP)Infraestructura externa e internaMicrosoft 365 y Entra IDWiFi corporativaMobile (iOS/Android) bajo demandaCumplimiento NIS2 · ENS · ISO 27001 · DORA
13 años en ciberseguridad
ENS Alta + ISO 27001 certificación propia
OWASP · PTES · MITRE marcos aplicados
Retest incluido de críticos y altos
Tipos de pentesting
Modalidades que cubrimos
No todas las empresas necesitan el mismo alcance. La elección depende de la arquitectura, el riesgo aceptado y el marco regulatorio. Este es el catálogo de modalidades habituales y cuándo aplican. Para profundizar en la metodología puedes ver también la página pilar de pentesting.
Pentesting de APIs
Auditoría de APIs REST, GraphQL y gRPC siguiendo OWASP API Security Top 10. Validación de autenticación, autorización por objeto, rate limiting, manejo de errores y exposición indebida.
Pentesting cloud (AWS, Azure, GCP)
Revisión de configuración cloud, IAM, segmentación de red, gestión de secretos, exposición de buckets/objetos y postura general (CSPM). Alineado con benchmarks CIS y guías del fabricante.
Infraestructura externa
Identificación de superficie de ataque expuesta a internet: servicios, vulnerabilidades, certificados, exposición de paneles de gestión, servicios shadow IT y dependencias de terceros.
Infraestructura interna
Pentesting desde un punto interno (assumed breach): segmentación efectiva, exposición de Active Directory, escalado de privilegios, movimiento lateral y rutas hacia activos críticos.
Microsoft 365 y Entra ID
Revisión de configuración de identidad, MFA y políticas condicionales, Exchange Online, SharePoint, Teams, Defender y Purview. Detección de configuraciones por defecto inseguras.
WiFi corporativa
Auditoría de WPA2/WPA3 Enterprise, segmentación de redes invitadas, captive portals, EAP y exposición de credenciales. Validación de aislamiento entre red corporativa y red invitados.
Mobile (iOS/Android) bajo demanda
Análisis estático y dinámico de aplicaciones móviles propias siguiendo OWASP MASVS y MSTG: comunicaciones, almacenamiento local, criptografía, autenticación y ofuscación.
Per què Barcelona
Per què les empreses a Barcelona necessiten pentesting
Barcelona concentra empreses tecnològiques, SaaS, e-commerce, indústria, sanitat, educació i serveis professionals amb una exposició digital que no para de créixer. El 22@, Pier01, Tech Barcelona i la xarxa de hubs corporatius han posat la ciutat al mapa europeu del programari, però han elevat també el nivell d'amenaça: els atacants saben que la concentració de talent i facturació atreu objectius valuosos. Un pentesting rigorós, amb metodologia auditable, és el filtre que separa una postura de seguretat correcta d'una vulnerabilitat documentada al següent incident.
La diferència entre un pentest que aporta valor i un altre que es queda al calaix és el rigor metodològic, la validació humana de cada troballa i la qualitat del pla de remediació. És el que avaluem cada any a la nostra pròpia auditoria d'ENS Categoria Alta i el que apliquem a cada projecte.
Por qué Hard2bit
Lo que nos hace competentes para pentesting
Empresa con ENS categoría Alta + ISO 27001 propios
El servicio de auditoría de seguridad forma parte del alcance certificado de Hard2bit en ENS Categoría Alta (Real Decreto 311/2022) e ISO/IEC 27001:2022, auditado por entidad acreditada por ENAC. La metodología que aplicamos a clientes nosotros mismos la pasamos cada año.
Mismo equipo para pentesting, auditoría y respuesta
Pentesting, gestión de vulnerabilidades, respuesta a incidentes y forense digital los presta el mismo equipo. Eso evita la transferencia entre proveedores y permite que un hallazgo crítico se contenga en horas, no en semanas.
Marcos reales, no marketing
OWASP Top 10, OWASP ASVS, OWASP API Security Top 10, OWASP MASVS, PTES, MITRE ATT&CK y NIST SP 800-115. Conectados con NIS2, ENS, ISO 27001 y DORA cuando aplica. Documentamos qué controles validamos y cómo.
Servei a empreses de tot Catalunya
Prestem pentesting a empreses amb activitat a Barcelona i a la resta del territori català, amb la mateixa metodologia i els mateixos lliurables que apliquem a clients regulats a escala nacional.
Metodología
Cómo ejecutamos un proyecto
Definición de alcance y reglas de juego
Inventario de activos en alcance, ventanas de prueba, contactos técnicos y de escalado, datos sensibles que no se pueden tocar, criterios de éxito y nivel de profundidad (caja negra, gris o blanca).
Reconocimiento y análisis pasivo
OSINT, descubrimiento de superficie de ataque, identificación de tecnologías, dependencias y exposición previa al test activo. Reduce ruido y enfoca el esfuerzo en lo que tiene impacto real.
Explotación y validación de impacto
Pruebas técnicas con marcos OWASP, ASVS, MASVS y MITRE ATT&CK. Cada hallazgo se valida en profundidad para distinguir vulnerabilidad teórica de riesgo explotable real, evitando los falsos positivos típicos del escaneo automático.
Informe técnico, ejecutivo y plan de remediación
Informe técnico con evidencias, informe ejecutivo para dirección y plan de remediación priorizado por impacto, esfuerzo y dependencias técnicas. Sesión de cierre online o presencial para alinear acciones con el equipo del cliente.
Revalidación tras correcciones
Retest gratuito de los hallazgos críticos y altos tras la remediación, dentro de la ventana acordada. Cierre formal cuando los riesgos quedan dentro del apetito definido por la dirección.
Pentesting frente a escaneo: el escaneo es una herramienta automática que produce listas largas con falsos positivos altos. El pentesting es un servicio profesional con validación humana, priorización por impacto real y plan accionable. Uno es punto de partida; el otro es la evaluación seria.
Marcos y referencias
Estándares aplicados
El servicio se apoya en marcos internacionales con peso real ante auditor o regulador. Esa base metodológica es lo que hace que el informe sea defendible y el plan resista la siguiente inspección NIS2, auditoría ISO o supervisión DORA.
OWASP Top 10 y OWASP ASVS
Referencias internacionales para auditoría de aplicaciones web. Top 10 marca los vectores críticos; ASVS define niveles de verificación L1/L2/L3 con requisitos auditables.
OWASP API Security Top 10 (2023)
Marco específico para auditar APIs REST, GraphQL y gRPC. Aborda riesgos típicos de autorización por objeto, mass assignment, rate limiting y exposición masiva de datos.
OWASP MASVS y MSTG
Mobile Application Security Verification Standard y Testing Guide. Estándar de referencia para auditoría de apps iOS/Android, cubre comunicaciones, almacenamiento local y criptografía.
PTES y NIST SP 800-115
Penetration Testing Execution Standard y guía del NIST para evaluación técnica de seguridad. Definen las fases del proceso (reconocimiento, modelado, explotación, post-explotación, reporte).
MITRE ATT&CK
Matriz de tácticas y técnicas adversarias. Sirve para modelar amenazas realistas, justificar la profundidad del test y mapear hallazgos a comportamientos atacantes conocidos.
NIS2 · ENS · ISO 27001 · DORA
Marcos regulatorios que exigen pruebas técnicas periódicas para entidades esenciales, sistemas públicos categorizados, organizaciones certificadas y entidades financieras europeas.
Sectors
Sectors amb presència a Barcelona on apliquem pentesting
Aquests són els verticals amb més concentració a Catalunya i on la demanda de proves tècniques és més explícita per marc regulatori, pressió del client o exposició operativa.
SaaS i tecnologia
Empreses de producte SaaS, plataformes B2B, fintech i startups amb base de clients corporativa que han de demostrar maduresa mitjançant pentest contractual amb abast auditable. El nucli del 22@ i la xarxa de hubs corporatius concentren bona part d'aquest teixit a Catalunya.
E-commerce i retail
Plataformes de comerç electrònic, marketplaces i retail omnicanal amb exposició massiva de dades de client, passarel·les de pagament i dependència operativa de la disponibilitat contínua. La concentració de marques amb seu o operació rellevant a Catalunya converteix aquest vertical en un objectiu freqüent.
Indústria i manufactura
Plantes industrials amb convergència IT/OT, sistemes de control connectats al corporatiu i obligacions NIS2 per a sectors manufacturers classificats com a essencials o importants.
Sanitat i salut privada
Hospitals, grups sanitaris privats, centres de diagnòstic i recerca clínica amb categoria especial de dades personals i exposició creixent al ransomware sectorial.
Educació superior i recerca
Universitats i centres de recerca amb superfície d'exposició complexa, gestió federada d'identitats i dades sensibles de recerca o expedients acadèmics.
Financer i fintech
Entitats subjectes a DORA, fintechs amb passaport europeu, neobancs i plataformes de pagament amb obligacions específiques de proves tècniques (TLPT quan aplica) i resiliència operativa.
Cuándo tiene sentido
Escenarios típicos
- Antes de poner una aplicación o API en producción
- Después de cambios mayores en la arquitectura
- Como ejercicio anual de aseguramiento
- Tras un incidente, para confirmar contención
- Cuando un cliente, auditor o regulador exige evidencia
- Para cumplir NIS2, ENS, ISO 27001 o DORA
Servicios relacionados
Enlaces internos útiles
Preguntas frecuentes
FAQ sobre pentesting en Barcelona
¿Qué es un pentesting y cuándo conviene encargarlo?
Un pentesting es una prueba técnica controlada en la que profesionales reproducen las acciones de un atacante real para identificar vulnerabilidades explotables, validar el impacto y entregar un plan de remediación. Conviene encargarlo antes de poner una aplicación en producción, después de cambios mayores en la arquitectura, como ejercicio anual de aseguramiento, tras un incidente, o cuando un cliente, auditor o regulador exige evidencia de pruebas técnicas.
¿Es lo mismo un pentesting que un escaneo de vulnerabilidades?
No. El escaneo de vulnerabilidades es una herramienta automática que produce listas largas de hallazgos sin validar impacto, con tasa de falsos positivos elevada. El pentesting es un servicio profesional donde un equipo humano valida cada vulnerabilidad, encadena fallos, prioriza por riesgo explotable real y entrega un plan accionable. El escaneo es punto de partida; el pentest es la evaluación seria.
¿Hard2bit presta servicios a empresas en Barcelona y resto de Cataluña?
Sí. Prestamos pentesting y el resto de servicios de ciberseguridad a empresas con actividad en Barcelona y en todo el territorio catalán, con la misma metodología, alcance documental y entregables que aplicamos a clientes regulados a nivel nacional. El servicio combina trabajo remoto y sesiones de cierre online o presenciales según necesidades del proyecto.
Tinc una empresa a Catalunya, què hauria d'esperar d'un pentesting professional?
Hauries d'esperar tres coses: una fase prèvia clara amb abast, regles de joc i contactes definits per escrit; una execució tècnica amb metodologia auditable (OWASP, ASVS, PTES, MITRE ATT&CK) on cada vulnerabilitat es valida amb evidència i no només es declara; i un lliurable doble — informe tècnic per a l'equip d'enginyeria i informe executiu per a la direcció — amb un pla de remediació prioritzat. Si el proveïdor no t'ofereix això, no és un pentest seriós.
¿Cuánto dura un proyecto de pentesting?
Depende del alcance. Una aplicación web puntual suele estar entre 2 y 4 semanas, incluyendo trabajo de campo, validación, reporte y sesión de cierre. Un pentest amplio que combine externa, interna, web, APIs y M365 puede ocupar 6 a 10 semanas. El alcance se acota con el cliente antes de firmar para que el calendario sea realista, no comercial.
¿Sirve el informe como evidencia para NIS2, ENS, ISO 27001 o DORA?
Sí. El informe documenta alcance, metodología (OWASP, ASVS, PTES, NIST SP 800-115, MITRE ATT&CK), evidencias técnicas recopiladas, hallazgos priorizados y plan de remediación. Está diseñado para integrarse con el sistema de gestión existente (ISO 27001, ENS) y servir como evidencia de pruebas técnicas exigidas por NIS2 (Art. 21), ENS (medida MP.SW.1 y siguientes), DORA (Art. 24-27, incluido TLPT cuando aplica).
¿Hay riesgo de afectar la disponibilidad del servicio durante el pentest?
Mínimo cuando se planifica bien. Las pruebas más invasivas (denegación de servicio, fuerza bruta agresiva) se ejecutan en ventanas pactadas o entornos preproductivos. Existe un canal directo de contacto durante la ventana de prueba para parar al instante si aparece un comportamiento inesperado. La política por defecto es no romper, validar.
¿Cuál es la diferencia entre caja negra, gris y blanca?
Caja negra: el equipo no recibe información previa, simula un atacante externo sin credenciales. Caja gris: dispone de credenciales de usuario y documentación parcial, simula un atacante con acceso limitado o un empleado curioso. Caja blanca: recibe credenciales privilegiadas, código fuente y arquitectura, maximiza la profundidad técnica. La elección depende del objetivo: cobertura externa, validación post-acceso o auditoría en profundidad.
¿En qué se diferencia un pentest de un Red Team?
El pentest se centra en encontrar y validar vulnerabilidades técnicas dentro de un alcance acotado, con cobertura amplia y reporte exhaustivo. El Red Team simula un ataque dirigido con objetivos específicos (exfiltrar datos concretos, comprometer un dominio) durante semanas o meses, midiendo la capacidad de detección y respuesta del equipo defensivo (Blue Team). Hard2bit presta ambos servicios y los combina cuando el cliente necesita ambas perspectivas.
¿Se retesta tras corregir los hallazgos?
Sí. Incluimos retest gratuito de los hallazgos críticos y altos tras la remediación dentro de la ventana acordada en contrato. El objetivo es cerrar formalmente las vulnerabilidades de mayor impacto antes de archivar el proyecto, dejando evidencia firmada de que los riesgos mitigados están efectivamente mitigados.
Què passa amb les dades sensibles que es trobin durant el pentest?
Tota la informació sensible identificada durant el projecte es tracta sota un acord de confidencialitat (NDA) signat abans de començar. Les credencials, dades personals i secrets que apareguin queden documentats al nivell mínim necessari per a evidenciar el risc, sense reproduir-ne el contingut íntegre. Al lliurament final s'eliminen les còpies operatives i només es conserva l'informe encriptat segons la política de gestió documental certificada amb ISO 27001 i ENS Categoria Alta.
Siguiente paso
Habla con Hard2bit sobre tu proyecto de pentesting
Si necesitas auditar una aplicación, una API, una nube o un perímetro completo en Barcelona o el resto de Cataluña, revisamos tu contexto y proponemos un alcance proporcionado al riesgo y al marco regulatorio que aplique.
Si la teva empresa té activitat a Catalunya i necessita pentesting amb criteri tècnic i marc regulatori, parlem-ne sense compromís.