Penetration Testing Manual Premium

La seguridad que necesitás para escalar tranquilo.

Penetration testing manual que satisface auditores, cierra due diligences y te saca de encima los cuestionarios de seguridad. Sin scanners, sin humo.

Agendar Demo

Reportes mapeados a 15+ estándares, entre ellos

ISO 27001 PCI DSS SOC 2 NIST CSF HIPAA GDPR

La mayoría de los pentests son scans automatizados disfrazados.

Un scanner con logo encima

Proveedores corren herramientas automatizadas y te lo venden como "penetration test". Los equipos de seguridad y los auditores se avivan al toque.

Hallazgos genéricos, cero contexto

Las herramientas automatizadas no entienden tu lógica de negocio, cómo fluyen tus datos ni qué es lo que realmente importa. Te llega una lista de CVEs, no inteligencia de seguridad.

Compliance para la foto, no seguridad real

Un test hecho solo para cumplir no refleja cómo opera un atacante de verdad. Cuando tenés que demostrar madurez de seguridad en serio, se nota.

Qué hacemos

Seguridad ofensiva hecha por expertos.

Cada proyecto sigue la metodología PTES y lo ejecutan profesionales de seguridad ofensiva. La automatización acompaña — nunca reemplaza — el criterio humano.

Red Externa

Testing de perímetro para encontrar vulnerabilidades explotables en tu infraestructura expuesta a internet antes de que las encuentre otro.

Red Interna

Escenarios de assume breach: mapeamos rutas de movimiento lateral y oportunidades de escalamiento de privilegios dentro de tu red.

Aplicaciones Web

Testing manual a fondo de lógica de negocio, autenticación y fallas de autorización que ningún scanner detecta.

Seguridad de APIs

Evaluación de APIs REST, GraphQL y SOAP contra OWASP API Top 10 y fallas de implementación.

Seguridad Cloud

Revisión de configuración y pentesting en AWS, Azure y GCP con foco en IAM y exposición de datos.

Verificación de Remediación

Retest después de cada fix para confirmar que las vulnerabilidades quedaron bien cerradas, con reportes actualizados para tus auditores.

Cómo trabajamos

Del alcance a la remediación.

Metodología rigurosa pensada para equipos de seguridad exigentes y áreas de compliance.

Alcance

Definimos objetivos, escenarios de ataque y criterios de éxito alineados con tus necesidades de compliance.

Ejecución

Explotación manual de cadenas de ataque reales. Demostramos impacto concreto en el negocio, no riesgo teórico.

Reporte

Reportes ejecutivos y técnicos con scoring CVSS, análisis de riesgo y mapeo contra 15+ frameworks de compliance.

Verificación

Retest post-remediación para confirmar que los fixes quedaron bien, con documentación actualizada para tus registros.

Para industrias que no pueden improvisar.

Fintech

PCI DSS, regulaciones BCRA/CNV, seguridad en medios de pago y due diligence para inversores.

Salud

Evaluaciones HIPAA y protección de datos de pacientes.

SaaS

Preparación SOC 2, respuestas a cuestionarios de seguridad y habilitación de ventas enterprise.

Enterprise

Compliance multi-framework y programas de seguridad a nivel global.

Lo que dicen nuestros clientes

Trabajar con Merlano Defense fue una experiencia excelente de punta a punta. Desde el primer día se manejaron con muchísima responsabilidad, comunicación clara y un nivel técnico muy alto.

Durante el pentesting no solo se enfocaron en "encontrar vulnerabilidades", sino que realmente nos acompañaron en el proceso completo: nos entregaron informes intermedios, mantuvimos reuniones periódicas para revisar hallazgos en detalle, y algo que valoro mucho es que no se quedaron en el diagnóstico, sino que nos ayudaron activamente con recomendaciones concretas y accionables para corregir cada punto, priorizando por impacto y riesgo.

El proceso fue muy ordenado y transparente, lo cual para nosotros fue clave, especialmente porque queríamos avanzar rápido con las remediaciones sin perder calidad ni contexto técnico.

Hoy estamos en la etapa de retest de todo lo encontrado y el acompañamiento sigue siendo impecable. Sin dudas, es un equipo al que volveríamos a elegir y que recomendamos totalmente para cualquier empresa que quiera mejorar su postura de seguridad de manera seria y profesional.

Marcelo Sanchez

CTO & Founder @

Preguntas frecuentes.

¿Cuál es la diferencia entre un pentest y un vulnerability scan?

Un vulnerability scan es automatizado y detecta debilidades conocidas. Un pentest va mucho más allá: explotamos vulnerabilidades de forma manual para demostrar impacto real en el negocio, encadenamos ataques y ponemos a prueba tus defensas como lo haría un atacante de verdad. Un scan te tira CVEs; nosotros te mostramos cómo alguien podría usarlos para comprometerte.

¿Cuánto dura un pentest?

La mayoría de los proyectos llevan entre 1 y 4 semanas según el alcance, aunque ambientes complejos pueden requerir más. Un test enfocado en una aplicación web suele tomar 1-2 semanas. Una evaluación integral que cubra red externa, red interna y varias aplicaciones típicamente lleva 3-4+ semanas. Definimos los tiempos en la llamada de scoping en base a tu ambiente concreto.

¿El testing puede afectar nuestros sistemas en producción?

Planificamos cada proyecto para minimizar el impacto operativo. Coordinamos todo con tu equipo y evitamos técnicas destructivas salvo que nos autoricen explícitamente. Para sistemas sensibles, podemos programar las pruebas de mayor riesgo en ventanas de mantenimiento. En años de trabajo, nunca generamos downtime no planificado.

¿Qué recibimos cuando termina el proyecto?

Dos entregables: un reporte ejecutivo para presentar a liderazgo y directorio, y un reporte técnico completo con cada hallazgo en detalle. Cada vulnerabilidad incluye scoring CVSS, análisis de riesgo en contexto y mapeo contra 15+ estándares (NIST, OWASP, MITRE ATT&CK, CIS, PCI DSS, SOC 2, ISO 27001, y más). Además, coordinamos una call de revisión para repasar los hallazgos con tu equipo técnico.

¿Cada cuánto conviene hacer un pentest?

Como mínimo, una vez al año — la mayoría de los frameworks de compliance lo exigen. Pero también conviene testear después de cambios grandes en infraestructura, releases importantes o adquisiciones. Las empresas con ciclos de desarrollo rápidos suelen pasar a modelos trimestrales o continuos para atrapar vulnerabilidades antes de que lleguen a producción.

¿Necesitás compliance de punta a punta, no solo el pentest?

Merlano Compliance te acompaña desde el gap analysis hasta la certificación ISO 27001, SOC 2 o ISO 9001 — con un pentest de Merlano Defense incluido en cada proyecto.

Conocé Merlano Compliance

Empezá ahora

La pregunta no es si
te van a atacar. Es cuándo.

Agendá una demo y contanos qué necesitás. Propuesta detallada en 48 horas.