Define el scope, autoriza el engagement y nuestro equipo ejecuta el análisis completo. Informe entregado en 48h.
🔒 Sin hallazgos = Sin coste. Si tu auditoría Screening no encuentra vulnerabilidades de severidad media o superior, te devolvemos el 100%. Sin letra pequeña.
Findings confirmados — últimas auditorías
—
Critical
—
High
—
Medium
—
Low
—
Info
——
🔍
Reconocimiento
Identificamos tecnologías, puertos abiertos y superficie de ataque expuesta.
⚡
Pipeline Automatizado
Agentes ejecutan reconocimiento, escaneo y análisis en paralelo. Lo que tarda días en un pentest manual, en horas.
📊
Informe CVSS / MITRE
Cada hallazgo con evidencia real, severidad y mapeo con técnicas de ataque conocidas.
✅
Validación por operador
Cada hallazgo pasa por revisión humana antes del informe. Sin falsos positivos no verificados. Inferencia local — sin APIs externas.
🛡️
100% Legal — Zero Data Exfiltration
NDA + Rules of Engagement firmadas antes de cualquier prueba. Si encontramos datos personales, solo documentamos la estructura, nunca el contenido real. Destrucción de evidencia en 30 días.
📋
Evidencia de cumplimiento
Tu informe documentado con CVSS + MITRE ATT&CK demuestra diligencia debida ante RGPD, NIS2 y PCI DSS. Lo que exigen los reguladores.
📋 Alcance y limitaciones de una auditoría de seguridad
Una auditoría de seguridad es una evaluación puntual que identifica
vulnerabilidades conocidas en el momento del análisis. No es una garantía
de seguridad absoluta: pueden existir amenazas no detectadas, vectores de ataque aún no
descubiertos (zero-days) o vulnerabilidades que surjan después del análisis.
Lo que sí obtienes es evidencia documentada de diligencia debida
— el estándar que exigen normativas como RGPD (Art. 32), NIS2 (Art. 21) y PCI DSS (Req. 11.4)
para demostrar que has evaluado activamente tus riesgos de seguridad.
Cuéntanos sobre tu proyecto
No es obligatorio, pero cuanto más sepamos, más precisa será la auditoría.
🏗️ Contexto del proyecto
Stripe
Auth0 / Clerk
Supabase
Firebase
SendGrid / Resend
AWS S3
Cloudinary
OpenAI / LLM API
Webhooks externos
Otro
PII / datos personales
Pagos / tarjetas
Datos de salud
Documentos legales
Ninguno en especial
🎯 ¿Qué te preocupa?
Selecciona lo que te interesa saber. Si no seleccionas nada, haremos un chequeo general.
¿Tengo servicios o puertos expuestos?
¿Mi sistema de login es seguro?
¿Mis APIs devuelven datos de más?
¿Mis dependencias tienen vulnerabilidades?
¿Alguien puede ver datos de otros usuarios?
¿Hay secretos o API keys en mi código?
¿Mi CDN / WAF está bien configurado?
¿Mi CORS está bien puesto?
¿Mi app generada con IA tiene agujeros?
Revisión general de seguridad
¿Qué quieres auditar?
Añade uno o más artefactos. Cada artefacto adicional lleva un 10% de descuento acumulable sobre el total (máximo 50%).
Stack tecnológico
Selecciona todo lo que aplique. Esto nos permite preparar los módulos correctos.
React / Next.js
Vue / Nuxt
Angular
Vanilla JS
Solo API (sin frontend)
Node / Express
Python (FastAPI/Django)
PHP / Laravel
Ruby on Rails
Supabase (BaaS)
Firebase (BaaS)
PostgreSQL
MySQL / MariaDB
MongoDB
SQLite
No tengo BBDD propia
OpenAI (GPT)
Anthropic (Claude)
Gemini
Otro LLM
No usa IA
Lovable
v0 (Vercel)
Bolt
Cursor
No, manual
Cloudflare
AWS WAF
Ninguno
No sé
⚠️ EU AI Act —
Si tu aplicación usa IA para procesar, filtrar o recomendar contenido a usuarios,
puede clasificarse como sistema de IA de alto riesgo
bajo el Reglamento 2024/1689. Esto exige una evaluación de ciberseguridad documentada
(Art. 15). Un informe de auditoría cubre este requisito.
Acceso y alcance
¿Qué podemos tocar y qué no? ¿Hay login que necesitemos probar?
Sin login (pública)
User + Password propio
Google OAuth
Magic Link
⚠️ OBLIGATORIO — 2FA / MFA Las cuentas de prueba deben tener el 2FA/MFA completamente desactivado. Si no es posible, el alcance quedará limitado a funcionalidades públicas.
Opcional. No proporciones tokens de producción reales — genera uno específico para la auditoría.
Escaneo de vulnerabilidades
Inyección de datos (SQLi/XSS)
Pruebas de autenticación
Lógica de negocio
Todo (cobertura completa)
Cualquier día y hora
Solo días laborables
Fuera de horario de negocio
Autorización legal
Este paso es obligatorio. Sin autorización firmada, no iniciamos ninguna prueba.
Rules of Engagement (RoE) — Resumen
Al aceptar este documento, el cliente confirma que:
1. Es la persona legalmente responsable del sistema indicado o cuenta con autorización expresa del
propietario.
2. Autoriza la ejecución de pruebas de seguridad sobre el target indicado, dentro del alcance definido en los
pasos anteriores.
3. Entiende que las pruebas pueden generar tráfico de red inusual y activar alertas en sistemas de
monitorización (WAF, SOC).
4. Los resultados de la auditoría son estrictamente confidenciales.
5. El Auditor aplica política de No Exfiltración: si se exponen datos personales (PII), solo se
documenta la estructura como evidencia técnica. No se almacenarán datos reales de terceros bajo ningún
concepto.
6. Toda la evidencia técnica recolectada será destruida de forma segura en un plazo máximo de 30
días tras la entrega del informe final.
Tratamiento de Datos Personales (RGPD)
En cumplimiento del Reglamento General de Protección de Datos (RGPD / GDPR), te informamos:
1. Los datos proporcionados en este formulario (nombre, email, sistema objetivo) son tratados exclusivamente para la prestación del servicio de auditoría de seguridad.
2. No se ceden datos a terceros. Las evidencias técnicas se almacenan en servidores propios ubicados en la UE.
3. Toda la evidencia técnica recolectada será destruida de forma segura en un plazo máximo de 30 días tras la entrega del informe final.
4. El PII (nombre, email) se elimina de nuestros sistemas 30 días después de que la auditoría esté completada y liquidada.
5. Puedes ejercer tus derechos de acceso, rectificación, supresión y portabilidad contactando vía email.
Términos de Servicio, Cancelación y Derecho de Desistimiento
Conforme al Art. 16(m) de la Directiva 2011/83/UE, tienes derecho a desistir del contrato en un plazo de 14 días naturales. Sin embargo, al solicitar que el servicio comience de forma inmediata tras la confirmación del pago, reconoces expresamente que pierdes dicho derecho en el momento en que la auditoría se inicia.
Resolución alternativa de litigios (UE): Si no llegamos a un acuerdo puedes acudir a la plataforma europea ODR: ec.europa.eu/consumers/odr →
Elige tu nivel de servicio
Basándote en la información que has proporcionado, elige el nivel de análisis que necesitas.
Screening
25€
Resumen de hallazgos por severidad. Ideal para una primera validación rápida.
🔒 Sin hallazgos = Gratis
Diagnosis
100€
Detalle técnico completo con CVSS, MITRE ATT&CK y evidencias reales.
Incluye oferta Pack Remediación
🔧 Pack de Remediación — add-on disponible tras el informe Diagnosis.
Plan de acción paso a paso + archivo .yml
para corregir cada vulnerabilidad con ayuda de IA. Precio calculado automáticamente según los hallazgos confirmados.
⚠️ Limitación de responsabilidad
Esta auditoría identifica vulnerabilidades conocidas en el momento del análisis.
No garantiza la detección de todas las amenazas posibles
ni de aquellas que emerjan con posterioridad. AuditLab no asume responsabilidad por
vulnerabilidades no detectadas, explotaciones posteriores a la auditoría, ni por daños
derivados del uso de los informes. La seguridad es un proceso continuo, no un estado.
🛡️ Tu informe sirve como evidencia documentada de:
• RGPD Art. 32 — evaluación periódica de medidas de seguridad
• NIS2 Art. 21 — análisis de riesgos y pruebas de seguridad
• PCI DSS Req. 11.4 — pentesting externo/interno anual
• CRA Art. 10 — evaluación antes de comercializar software
La auditoría es evidencia de diligencia debida — no un certificado de seguridad absoluta.
🔒 Datos de Facturación Corporativa (B2B)
💳 Completa tu solicitud autorizando con PayPal
El pago se retiene en escrow. Si por cualquier motivo rechazamos la auditoría o no encontramos hallazgos (Screening), la retención se anula de inmediato y no pagas nada.
🛡️
¡Solicitud de Auditoría Registrada!
Tu engagement ha sido registrado con el ID:
💳 Pago Pre-Autorizado con Éxito
Los fondos han sido retenidos de forma segura en escrow mediante PayPal. No se realizará ningún cargo real hasta que la auditoría sea aprobada por nuestro equipo técnico y el informe final sea emitido. Si la auditoría no arjeta hallazgos o es cancelada, la retención se liberará de forma automática e íntegra.
🔍 Próximos Pasos & Secuencia de Inicio
Revisión Técnica del Auditor: Un auditor de seguridad experto inspeccionará manualmente tus targets, stack y reglas de engagement en un plazo máximo de 2 horas laborables.
Firma de Contratos: Inmediatamente tras la aprobación del auditor, recibirás un email con los documentos legales firmables adjuntos (NDA, SOW y Hold Harmless).
Verificación de Propiedad del Dominio: También recibirás en ese mismo correo las instrucciones específicas para verificar la propiedad del dominio (archivo HTTP o DNS TXT). Esta verificación es un requisito de seguridad obligatorio antes de que comience el escaneo.
🛡️ Analítica libre de Cookies
Utilizamos analítica propia 100% cookieless para medir el rendimiento de forma anónima. Al usar la pasarela, se pueden aplicar cookies técnicas de PayPal indispensables para procesar tu pago de forma segura. Consulta nuestra Política de Cookies.