InitIA-Sec LogoInitIA-Sec
Solicitar Auditoría →
Tutorial paso a paso

Cómo funciona el proceso

Aprende a configurar tu auditoría de seguridad, definir el alcance adecuado y entender cómo gestionamos los findings.

1. ¿Qué es una auditoría en InitIA-Sec?

Una auditoría de ciberseguridad es una inspección técnica controlada. Nuestro pipeline automático y nuestros analistas simulan las metodologías empleadas por atacantes reales para descubrir fallos en tus aplicaciones web, APIs y puertos expuestos antes de que sean explotados con fines maliciosos.

A diferencia de los escáneres automáticos tradicionales que generan cientos de falsos positivos imposibles de priorizar, en InitIA-Sec combinamos el poder de un pipeline automatizado con la verificación manual de cada finding por auditores certificados.

🔍 Análisis Proactivo

Orientado a la detección temprana de inyecciones SQL, XSS, SSRF, lógica de negocio defectuosa y claves expuestas.

✅ Diligencia Debida

Garantiza cumplimiento normativo frente a regulaciones vigentes como NIS2, DORA o el estándar RGPD.

2. Requisitos previos obligatorios

De acuerdo con el Artículo 197 bis del Código Penal en España, acceder a sistemas informáticos ajenos sin autorización explícita es constitutivo de delito. Por ello, antes de procesar cualquier solicitud exigimos:

  • Autorización escrita (RoE): Deberás rellenar el formulario aceptando las Rules of Engagement y declarando que cuentas con la representación legal del dominio o tienes permiso escrito del propietario.
  • Verificación técnica de propiedad: Al añadir un target (Web, API o Servidor / Host), deberás demostrar la propiedad técnica o autorización sobre la IP o dominio mediante la subida de un archivo de verificación (`/.well-known/initia-sec.txt`) o un registro TXT en tu DNS.

3. Paso a paso del formulario de solicitud

Nuestro wizard de solicitud en la sección Solicitar Auditoría consta de 6 pasos diseñados para definir de forma precisa el alcance técnico y legal.

1

Contexto del proyecto

Describe tu aplicación y stack de servicios externos (ej: Stripe, Supabase). Selecciona tus mayores preocupaciones de seguridad (ej: puertos expuestos, fugas de datos).

2

Objetivos a auditar (Targets)

Especifica qué targets quieres analizar. Puedes añadir múltiples objetivos de tipo Aplicación Web, API Endpoint o Servidor / Host IP. Cada target adicional recibe un 10% de descuento acumulable.

3

Stack Tecnológico

Elige los frameworks y bases de datos que componen tu backend y frontend para adaptar las firmas y puertos del escáner.

4

Acceso y Alcance

Define credenciales de prueba sin 2FA (MFA) si tu aplicación requiere inicio de sesión. Describe exclusiones (ej: qué urls o rutas no auditar, como pasarelas de pago reales).

5

Autorización Legal

Firma digitalmente la autorización, el acuerdo de no exfiltración y los términos legales. Esto nos da la cobertura legal necesaria.

6

Plan de servicio y Facturación

Elige entre el plan Screening (25€ + IVA; reembolsable si no hay vulnerabilidades medias/altas) o Diagnosis (125€ + IVA). Ambos realizan el mismo análisis completo; Screening muestra solo el recuento de fallos y Diagnosis desbloquea los detalles técnicos y PoCs.

4. ¿Qué ocurre después de enviar la solicitud?

Una vez completado el pago pre-autorizado en PayPal, se inicia la secuencia de ejecución:

  1. Aprobación Técnica (2 horas laborables): Un auditor revisa que el target esté accesible, el stack sea compatible y las credenciales aportadas funcionen correctamente.
  2. Ejecución del Pipeline: Se activan los nodos del pipeline correspondientes: reconocimiento, descubrimiento web, escaneo dinámico y análisis de dependencias.
  3. Validación Manual: El auditor analiza cada alerta arrojada por el pipeline, eliminando falsos positivos e intentando explotar manualmente los hallazgos críticos para confirmar su severidad real.
  4. Generación del Informe: Se compila el informe y se firma criptográficamente. Se te notificará vía email en un plazo máximo de 7 días naturales.

5. Leyendo tu informe de seguridad

Cada vulnerabilidad se describe con un desglose técnico riguroso:

  • Identificador de Hallazgo: Código único de registro.
  • Puntuación CVSS v3.1: Vector de severidad estandarizado de 0.0 a 10.0 (Crítica, Alta, Media, Baja, Informativa).
  • Mapeo MITRE ATT&CK: Tácticas y técnicas de ataque asociadas.
  • Evidencia técnica: HTTP requests/responses, logs o capturas de pantalla que demuestran el fallo.
  • Recomendación de remediación: Instrucciones de código exactas para corregir la vulnerabilidad.

6. Remediación y re-verificación

Una vez entregado el informe de Diagnosis, si contratas el plan de **Remediación (T3)**, dispondrás de una guía paso a paso a medida para corregir los fallos, los archivos .yml estructurados para IA y la verificación de los parches aplicados.

Cuando tu equipo aplique los parches siguiendo la guía de remediación, indícanoslo respondiendo al correo del informe. Volveremos a lanzar los nodos específicos para confirmar que las correcciones son efectivas y emitiremos una actualización del informe indicando el estado de Remediado.

🛡️ Compromiso de Confidencialidad y Destrucción

Cumpliendo con la legislación europea de protección de datos, toda la evidencia técnica, credenciales, tokens y borradores generados durante la auditoría se eliminan de forma irreversible e íntegra de nuestros sistemas en un plazo máximo de 30 días naturales tras la entrega del informe.