What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Breach Intuitive Surgical: Un Email Comprometió Datos Médicos

Un email bastó para comprometer a la empresa detrás del robot quirúrgico más famoso del mundo

El 14 de marzo de 2026, Intuitive Surgical sufrió un breach crítico. La empresa detrás del sistema robótico da Vinci — presente en quirófanos de todo el mundo — confirmó que un phishing dirigido contra uno de sus empleados comprometió datos de clientes, empleados y proveedores de salud.

Lo que hace este caso relevante para founders y CTOs no es el tamaño de la empresa (Intuitive tiene una capitalización de más de $60 mil millones). Es que el ataque empezó exactamente igual que el 94% de los ciberataques exitosos: con un email. Puedes leer más casos similares en nuestro blog de seguridad.

Qué pasó: anatomía del breach

Según el reporte oficial de Intuitive y análisis de Cybersecurity Dive, el ataque siguió este patrón:

Phishing dirigido (spear phishing): Un atacante envió un email convincente a un empleado de Intuitive, haciéndose pasar por una fuente legítima.
Credenciales comprometidas: El empleado entregó sus credenciales de acceso, dando al atacante entrada a sistemas internos administrativos.
Movimiento lateral: Desde el punto de entrada, el atacante accedió a datos de empleados y clientes — incluyendo nombres, información de contacto y datos de proveedores de salud.
Contención tardía: La empresa detectó la actividad sospechosa y contuvo el acceso, pero el daño ya estaba hecho.

La buena noticia: los sistemas robóticos da Vinci no fueron comprometidos. La mala: datos sensibles de miles de personas quedaron expuestos.

Por qué el phishing sigue ganando en 2026

Si el phishing es un ataque conocido desde los años 90, ¿por qué sigue siendo tan efectivo? Los números lo explican:

94% de los ciberataques comienzan con un email malicioso (Verizon DBIR 2025)
3.4 billones de emails de phishing se envían diariamente a nivel global
$4.9 millones es el costo promedio de una brecha causada por phishing (IBM 2025)
74% de las brechas involucran el factor humano — credenciales comprometidas, error humano o ingeniería social

El phishing moderno no es el "príncipe nigeriano" de antes. En 2026, los atacantes usan IA generativa para crear emails indistinguibles de comunicaciones legítimas. Conocen tu nombre, tu empresa, tu jefe, tus proyectos actuales. El ataque a Intuitive fue dirigido — no un envío masivo, sino un email diseñado específicamente para engañar a esa persona.

Errores comunes que vemos en auditorías

En assessments de seguridad a startups y empresas medianas, estos son los fallos más frecuentes relacionados con phishing:

Sin MFA en cuentas críticas: Una contraseña comprometida no debería ser suficiente. El MFA con TOTP o hardware keys (como YubiKey) hubiera bloqueado este ataque incluso con credenciales robadas.
Privilegios excesivos: El empleado afectado tenía acceso a datos que probablemente no necesitaba. El principio de mínimo privilegio es básico pero frecuentemente ignorado.
Falta de entrenamiento real: La mayoría de empresas hace un "curso de phishing" anual de 15 minutos. No funciona. Lo que sí funciona: simulaciones frecuentes con feedback inmediato.
Sin detección de anomalías: Si un empleado accede repentinamente a sistemas que no usa normalmente, eso debería levantar una alerta automática.

Cómo proteger tu empresa hoy: 5 pasos concretos

No necesitas el presupuesto de Intuitive Surgical para implementar protecciones básicas contra phishing:

MFA en absolutamente todo: Email, VPN, sistemas internos, cloud providers. Prioriza MFA resistente a phishing (FIDO2/passkeys) sobre SMS. Los códigos SMS pueden ser interceptados; las llaves de hardware no.
Implementa Zero Trust en tu acceso: Nadie — ni tu CTO — debería tener acceso a todo sin verificación continua. Herramientas como Cloudflare Access, Tailscale o BeyondCorp permiten esto a costo accesible.
Simulaciones de phishing mensuales: Usa herramientas como GoPhish (open source) o KnowBe4 para enviar phishing simulado a tu equipo. Mide las tasas de click y mejora con el tiempo.
Configura DMARC, SPF y DKIM: Estos protocolos de email reducen drásticamente la posibilidad de que atacantes suplanten tu dominio. Son gratis y toman 30 minutos en configurar.
Segmenta tu red: Si un empleado cae en un phishing, el atacante no debería poder moverse libremente por tus sistemas. La segmentación limita el radio de explosión.

La pregunta que todo founder debería hacerse hoy

Si un atacante comprometiera las credenciales de uno de tus empleados ahora mismo, ¿qué datos podría acceder? ¿Cuánto tiempo tardarías en detectarlo? ¿Cuánto tiempo en contenerlo?

Intuitive Surgical tardó días en detectar y contener el breach. Para una startup con equipo reducido y sin SOC 24/7, ese tiempo podría ser semanas.

El phishing no va a desaparecer — va a empeorar con IA. Las defensas básicas siguen siendo efectivas contra la mayoría de ataques. El problema es que la mayoría de empresas no las tiene implementadas correctamente.

Si quieres saber exactamente cuál es la postura de seguridad de tu empresa ante phishing y acceso no autorizado, un assessment de Sable puede darte una respuesta concreta en menos de una semana.