What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Foster City Declara Emergencia: Ransomware Paraliza Toda una Ciudad

Una Ciudad Entera Offline: El Ataque Ransomware a Foster City

El 19 de marzo de 2026, Foster City — una ciudad de 34,000 habitantes en el corazón del Silicon Valley — se convirtió en la última víctima de una tendencia alarmante: ransomware contra gobiernos municipales. El ataque fue tan severo que las autoridades pausaron todos los servicios públicos excepto las respuestas de emergencia, y están planeando declarar estado de emergencia formal.

Permisos de construcción. Licencias de negocios. Servicios de parques y recreación. Pagos en línea al gobierno. Todo, offline. En una ciudad cuyo código postal colinda con las oficinas de Oracle y Gilead Sciences, la ironía es brutal: una ciudad rodeada de tecnología de clase mundial fue paralizada por un ataque que los expertos llevan años prediciendo.

Y Foster City no es un caso aislado. El mismo día, la agencia de tránsito de Los Ángeles (LA Metro) reportó "actividad no autorizada" en sus sistemas. Dos incidentes, un mismo patrón, un mismo mensaje: los gobiernos locales son el blanco favorito del ransomware en 2026.

Por Qué los Gobiernos Locales Son Presas Fáciles

La lógica de los atacantes es fría y calculada. Los gobiernos municipales tienen tres características que los hacen objetivos perfectos:

Datos críticos e irremplazables: Registros de tierra, historiales tributarios, datos de permisos, información de empleados — si se pierden o cifran, el gobierno no puede funcionar. La presión para pagar es máxima.
Presupuestos de seguridad mínimos: Una ciudad de 34,000 personas tiene recursos de TI limitados. Frecuentemente usan software desactualizado, carecen de equipos de seguridad dedicados, y no tienen SOC (Security Operations Center). El contraste con el sector privado es abismal.
Tolerancia cero a la interrupción: Los ciudadanos no pueden simplemente "hacer pausa" en sus trámites gubernamentales. La presión pública sobre los funcionarios para restaurar servicios rápidamente crea incentivos perversos: pagar para volver online más rápido.

El FBI reportó que en 2025, los gobiernos locales y estatales fueron el segundo sector más atacado por ransomware en Estados Unidos, detrás solo de la salud. Y el costo promedio de un ataque a municipios — contando recuperación, consultores forenses, y contratos de respuesta de emergencia — supera los $2.8 millones.

El Patrón de Ataque: Lo Que Sabemos Hasta Ahora

Foster City no ha confirmado el nombre del grupo ransomware ni el vector de entrada específico. Esto es normal: las organizaciones frecuentemente tardan semanas en completar el análisis forense inicial. Pero basados en los detalles disponibles y patrones de ataques similares, podemos inferir lo siguiente:

Ransomware operado por humanos (HumOR): El nivel de interrupción — todos los servicios offline simultáneamente — sugiere un ataque coordinado, no simplemente malware automatizado. Un operador humano navegó la red interna antes de activar el cifrado.
Acceso inicial probable vía phishing o VPN vulnerable: El 68% de los ataques a gobiernos locales en 2025 comenzaron por credenciales VPN comprometidas o phishing dirigido a empleados municipales, según datos de Recorded Future.
Dwell time significativo: Los atacantes raramente cifran en el primer día. Típicamente tienen acceso durante 7-21 días, durante los cuales roban datos, escalan privilegios, y eliminan backups accesibles antes de activar el ransomware.

Este último punto es crucial: si Foster City tenía backups, la pregunta no es si existían, sino si eran accesibles durante el ataque. Los grupos ransomware modernos — LockBit 4.0, BlackCat, Interlock — buscan y destruyen backups conectados antes de cifrar.

La Declaración de Emergencia: ¿Qué Significa Realmente?

Declarar estado de emergencia puede sonar dramático, pero tiene implicaciones prácticas muy concretas para la respuesta al incidente:

Acceso a fondos de emergencia: Permite al gobierno municipal usar fondos de contingencia sin el proceso normal de aprobación presupuestaria. Esto acelera dramáticamente la contratación de consultores forenses y proveedores de recuperación.
Asistencia estatal y federal: Una declaración de emergencia puede activar recursos del estado de California y potencialmente de CISA (Cybersecurity and Infrastructure Security Agency), la agencia federal de ciberseguridad.
Transparencia forzada: Bajo la ley californiana, una declaración de emergencia requiere informes regulares al consejo municipal y, por extensión, al público. Esto crea presión adicional para resolver rápidamente.

La decisión de declarar emergencia también señala algo importante: Foster City no cree que esto se resuelva en días. Se están preparando para semanas de recuperación.

El Costo Humano que los Titulares No Miden

Detrás de cada ataque ransomware a un gobierno hay ciudadanos afectados que raramente aparecen en los reportes técnicos:

El contratista que no puede obtener el permiso de construcción para un proyecto con fecha límite contractual
La familia que no puede registrar la transferencia de propiedad de una casa recién comprada
El pequeño negocio que no puede renovar su licencia y arriesga multas
Los empleados municipales trabajando en modo crisis, sin sistemas, documentando todo en papel

La paralización de servicios municipales no es un problema técnico abstracto. Es una interrupción concreta en la vida de decenas de miles de personas. Y eso es exactamente lo que los grupos ransomware calculan cuando eligen sus objetivos.

5 Lecciones Inmediatas para Tu Organización

Si eres responsable de la seguridad de una organización — sea empresa, startup, o entidad pública — el ataque a Foster City tiene lecciones directamente aplicables:

Implementa backups inmutables y offline. La regla 3-2-1-1: 3 copias de los datos, en 2 medios diferentes, 1 offsite, 1 completamente offline (air-gapped). Los backups conectados a la red son los primeros en desaparecer durante un ataque ransomware.
Simula un escenario de "cero sistemas". ¿Puede tu organización operar con papel y teléfono durante 72 horas? ¿Sabes cuáles son los procesos críticos que necesitan continuidad? Si no tienes un Business Continuity Plan (BCP) probado, este es el momento de crearlo.
Protege tus credenciales VPN y RDP. Implementa MFA en todas las conexiones remotas. Bloquea acceso RDP directo desde internet. Considera migrar a soluciones Zero Trust Network Access (ZTNA) que no exponen servicios públicamente.
Segmenta tu red. Si los atacantes entran por un vector, la segmentación limita hasta dónde pueden llegar. Un servidor comprometido no debería tener acceso directo a todos los demás sistemas de la organización.
Contrata respuesta a incidentes ANTES de necesitarla. Firmar un contrato de retención (retainer) con una firma de IR como Mandiant, CrowdStrike o una firma LATAM especializada significa que cuando ocurra un incidente, tendrás expertos disponibles en horas, no días.

El Patrón Regional: ¿Está Tu Ciudad En La Lista?

Foster City no es la primera ciudad californiana en ser golpeada por ransomware. En 2019, Baltimore pagó más de $18 millones en costos de recuperación después de un ataque. En 2022, Oakland declaró estado de emergencia por un ataque ransomware que expuso datos de empleados y residentes. En 2025, al menos 12 ciudades californianas reportaron incidentes ransomware.

La tendencia no está desacelerando. Los grupos ransomware han identificado que los gobiernos locales son objetivos de bajo riesgo y alta recompensa. Tienen menos capacidad defensiva que las empresas Fortune 500, pero igual o mayor presión para restaurar operaciones rápidamente.

Si tu ciudad, municipio, o entidad pública no ha realizado una evaluación de seguridad en el último año, el reloj corre. No es cuestión de si ocurrirá un ataque — es cuestión de cuándo, y si estarás preparado para responder.

En nuestro análisis de ataques a infraestructura crítica, documentamos que las organizaciones con planes de respuesta probados recuperan sus sistemas en un promedio de 4.3 días versus 21.8 días para aquellas sin planificación previa. La diferencia es enorme. Y la preparación cuesta significativamente menos que la recuperación.

¿Tu organización tiene un plan de respuesta ransomware documentado y probado? Si no, nuestro equipo en Sable puede ayudarte a construir uno antes de que lo necesites en producción.