What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Marquis: Cómo un Proveedor Fintech Expuso 672,000 Números de Seguro Social

El Ataque que Nadie Vio Venir: 672,000 SSNs en Manos de Ransomware

En agosto de 2025, hackers penetraron los sistemas de Marquis — una empresa fintech de Plano, Texas, que procesa datos financieros para cientos de bancos estadounidenses. Lo que no supiste entonces, porque la empresa no lo reveló hasta marzo de 2026, es que los atacantes se llevaron los números de Seguro Social, datos de cuentas bancarias e información personal de 672,075 personas.

¿Por qué importa esto más allá de las estadísticas? Porque Marquis no es un banco. Es el proveedor que tu banco usa para analizar los datos de sus clientes. Cuando Marquis fue comprometido, los afectados no lo sabían — y sus bancos tampoco podían protegerlos. Así funciona el ataque de cadena de suministro en el sector financiero.

Más del 50% de los afectados viven en Texas. No es coincidencia: la base de clientes bancarios de Marquis está concentrada regionalmente, lo que convierte una sola brecha en un evento de impacto masivo para comunidades específicas.

¿Quién es Marquis y Por Qué Tenía tus Datos?

Aquí está el punto que más incomoda a los afectados: probablemente nunca escuchaste el nombre de Marquis. Eso es exactamente el problema.

Marquis es un proveedor B2B — su cliente es tu banco, no tú. Venden software de análisis de datos financieros, herramientas de cumplimiento y sistemas de gestión de clientes a instituciones bancarias medianas y pequeñas en Estados Unidos. Para hacer su trabajo, necesitan acceso a los datos reales de los clientes de esos bancos: nombres, SSNs, números de cuenta, historial de transacciones.

Bajo las regulaciones actuales (Gramm-Leach-Bliley Act), los bancos pueden compartir datos de clientes con proveedores de servicios — siempre que tengan "medidas de seguridad apropiadas". La brecha de Marquis plantea la pregunta incómoda: ¿eran suficientes esas medidas?

La respuesta evidente de los hechos: no.

El Cronograma que Más Preocupa: 7 Meses de Silencio

El ataque ransomware ocurrió en agosto de 2025. La divulgación pública llegó en marzo de 2026. Eso es aproximadamente 7 meses entre el incidente y la notificación a los afectados.

Para poner esto en perspectiva de riesgo real:

Durante esos 7 meses, los actores detrás del ataque tenían 672,000 SSNs en su poder
Los SSNs no caducan — son el identificador permanente más valioso del sistema financiero estadounidense
Un SSN robado puede usarse para abrir líneas de crédito, presentar declaraciones de impuestos fraudulentas, o crear identidades sintéticas durante meses o años
Las víctimas no pudieron tomar medidas preventivas (congelar crédito, monitorear cuentas) porque no sabían que estaban en riesgo

La regulación federal en Estados Unidos requiere notificación "sin demora irrazonable" después de una brecha. Siete meses es, para muchos expertos en privacidad, claramente irrazonable. Varios bufetes de abogados ya han iniciado investigaciones de posibles demandas colectivas.

Cómo Funciona el Ransomware Contra Proveedores Fintech

Los grupos ransomware modernos no atacan al azar — tienen metodologías específicas para maximizar el impacto y la probabilidad de pago. Los proveedores fintech son objetivos premium por tres razones:

Datos de alto valor: SSNs y datos financieros tienen precios de mercado estables en foros de cibercriminalidad. Si la víctima no paga el rescate, los datos tienen valor de reventa independiente.
Presión regulatoria: Las empresas que manejan datos financieros enfrentan multas significativas si no reportan brechas. Esto crea presión adicional para pagar el rescate y "resolver" el problema silenciosamente.
Reputación en juego: Un proveedor B2B que pierde datos de sus clientes bancarios puede perder contratos multimillonarios. La amenaza de revelar la brecha públicamente — antes de que la empresa pueda controlar el mensaje — es una palanca de presión poderosa.

El patrón de ataque típico en casos como Marquis incluye: acceso inicial (frecuentemente vía phishing o credenciales VPN robadas), movimiento lateral dentro de la red durante semanas, exfiltración silenciosa de datos antes de activar el cifrado, y luego la demanda de rescate con la amenaza de publicar los datos robados.

El Efecto Dominó: Por Qué Tu Banco No Podía Protegerte

Esta es la realidad estructural que hace tan peligrosas las brechas de proveedores fintech: la cadena de responsabilidad es opaca para el consumidor final.

Tú eres cliente de tu banco → confías en que tu banco protege tus datos
Tu banco comparte tus datos con Marquis → bajo un contrato que tú nunca viste
Marquis sufre un breach → pierde tus datos, pero no tiene relación directa contigo
Resultado: Tus datos están comprometidos, pero ninguna entidad con la que tienes relación directa es responsable operacionalmente de protegerte en tiempo real

Cuando el breach ocurrió, tu banco probablemente no lo supo de inmediato. Y cuando lo supo, dependía de Marquis para la investigación forense — el mismo Marquis que tenía incentivos para minimizar el alcance público del incidente.

Este es el problema estructural del riesgo de terceros en el sector financiero: la regulación exige que los bancos supervisen a sus proveedores, pero la supervisión efectiva en tiempo real de un ataque activo es casi imposible.

Si Eres Una de las 672,000 Personas Afectadas

Si recibiste una notificación de Marquis (o de tu banco), estas son las acciones concretas que debes tomar ahora mismo:

Congela tu crédito en las tres bureaus principales. Equifax, Experian y TransUnion permiten congelar tu crédito gratuitamente online. Un congelamiento impide que se abran nuevas líneas de crédito a tu nombre sin tu autorización explícita. Esto es lo más importante que puedes hacer.
Activa alertas de fraude. Más fácil que un congelamiento completo — una alerta de fraude requiere que los acreedores verifiquen tu identidad antes de abrir nuevas cuentas. Se puede hacer en una sola bureau y aplica automáticamente a las otras dos.
Revisa tus declaraciones de impuestos anticipadamente. Los SSNs robados se usan frecuentemente para presentar declaraciones fraudulentas y reclamar reembolsos. Presenta tu declaración lo antes posible para bloquear este vector.
Monitorea tu crédito activamente. AnnualCreditReport.com permite acceder a tus reportes de crédito gratuitamente. Busca cuentas que no reconoces o consultas de crédito no autorizadas.
Acepta el monitoreo de identidad si te lo ofrecen. Marquis probablemente ofrezca meses de monitoreo de identidad como parte de su respuesta. Úsalo — aunque no es suficiente por sí solo, agrega una capa de detección.

Lo Que Esto Significa Para las Empresas que Usan Proveedores de Datos

Para los equipos de seguridad, CTOs y fundadores que leen esto: el caso Marquis es un recordatorio de que tu superficie de ataque incluye todos tus proveedores. Y cuando ese proveedor maneja datos que son tuyos (o de tus clientes), el riesgo es tuyo también.

Las preguntas que deberías poder responder sobre tus proveedores críticos:

¿Qué datos específicos tiene acceso este proveedor?
¿Cómo me notificará si sufre un breach que afecta mis datos?
¿Qué SLAs de seguridad están contractualmente comprometidos?
¿Cuándo fue su última auditoría de seguridad por terceros (SOC 2 Type II, ISO 27001)?
¿Tienen seguro de responsabilidad por ciberincidentes?

Si no puedes responder estas preguntas para tus proveedores más críticos, tienes un gap de riesgo de terceros que necesita atención. No el próximo trimestre — ahora.

En nuestro análisis de vulnerabilidades en startups, encontramos que el 78% de las empresas auditadas tenían al menos un proveedor con acceso excesivo a datos sensibles y sin acuerdos contractuales claros sobre gestión de incidentes. Marquis es el ejemplo perfecto de por qué esto importa.

¿Tu empresa maneja datos financieros de clientes o trabaja con proveedores que lo hacen? Nuestro equipo puede hacer una evaluación de riesgo de terceros que identifique tus exposiciones antes de que lo haga un grupo ransomware.