What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Navia Benefit Solutions: 2.7 Millones de Registros de Salud Robados en Silencio

24 Días Invisible: Cómo Hackers Robaron Datos de 2.7 Millones de Personas

Del 22 de diciembre de 2025 al 15 de enero de 2026 — 24 días — hackers desconocidos tuvieron acceso completo a los sistemas de Navia Benefit Solutions. Durante ese tiempo, mientras millones de empleados estadounidenses celebraban las fiestas navideñas, sus datos más sensibles estaban siendo exfiltrados: nombres completos, fechas de nacimiento, números de Seguro Social, y en muchos casos información sobre sus beneficios de salud.

Navia Benefit Solutions es un administrador nacional de beneficios de empleados con sede en Renton, Washington. Si tu empleador usa Navia para gestionar tu cuenta FSA (Flexible Spending Account), HSA (Health Savings Account), o beneficios de salud, tus datos probablemente estuvieron expuestos. Los 2,697,540 individuos afectados incluyen empleados del sector privado y, significativamente, empleados del gobierno del Estado de Washington a través de la Washington State Health Care Authority.

La empresa lo descubrió el 23 de enero de 2026. La divulgación pública llegó en marzo. Otra vez, semanas de silencio mientras los datos circulaban.

Por Qué los Administradores de Beneficios Son el Objetivo Perfecto

Si no conocías a Navia antes de esta semana, no estás solo. Ese es exactamente el problema.

Los administradores de beneficios de empleados operan en un espacio peculiar del ecosistema de datos: son custodios de información extremadamente sensible (datos médicos, financieros, e identidad) pero tienen visibilidad pública casi nula. Tus colegas de trabajo no hablan de Navia en el almuerzo. Tu departamento de RRHH menciona el nombre en la orientación de nuevos empleados y luego nunca más.

Para los atacantes, esto crea una oportunidad ideal:

Concentración masiva de datos valiosos: Un solo proveedor de beneficios puede administrar datos de docenas de empleadores y decenas de miles — o millones — de empleados. Una sola brecha multiplica el impacto exponencialmente.
Datos especialmente ricos: Los registros de beneficios incluyen SSNs (para verificación de identidad), información médica (diagnósticos, medicamentos, proveedores de salud), y datos financieros (números de cuenta FSA/HSA). Esta combinación tiene un valor premium en mercados clandestinos.
Menor inversión en seguridad: Los administradores de beneficios medianos frecuentemente no tienen los recursos de seguridad de los grandes aseguradores o bancos, pero manejan volúmenes comparables de datos sensibles.
Bajo perfil = menor escrutinio regulatorio activo: Aunque HIPAA aplica a los datos de salud que manejan, el enforcement activo tiende a concentrarse en hospitales y aseguradoras, no en administradores B2B de beneficios.

El Cronograma: Lo Que Hace Este Caso Especialmente Grave

Reconstruyamos la línea de tiempo para entender el alcance real del riesgo:

22 de diciembre, 2025: Hackers obtienen acceso inicial a los sistemas de Navia. Probablemente vía credenciales comprometidas, phishing, o una vulnerabilidad no parcheada.
22 dic - 15 ene (24 días): Acceso sostenido a la red. Los atacantes tienen tiempo suficiente para mapear la infraestructura, escalar privilegios, identificar los datos más valiosos, y exfiltrarlos metódicamente.
15 de enero, 2026: Los atacantes terminan su operación o son interrumpidos. El cifrado o la detección ocurre en algún punto cercano a esta fecha.
23 de enero, 2026: Navia descubre "actividad sospechosa" en su entorno. Para entonces, los datos llevan días fuera de su control.
Enero - marzo, 2026: Investigación forense. Identificación del alcance. Preparación de notificaciones. Dos meses que los afectados no pudieron protegerse.
20 de marzo, 2026: Divulgación pública. Por primera vez, 2.7 millones de personas saben que sus datos fueron robados hace meses.

Veinticuatro días de acceso sostenido a datos médicos y financieros de millones de personas, seguido de dos meses adicionales antes de notificación. En el mundo real, eso son tres meses durante los cuales tus datos pudieron ser vendidos, usados para fraude de identidad, o utilizados para abrir líneas de crédito a tu nombre.

Qué Datos Específicamente Fueron Expuestos

Según las notificaciones enviadas a los afectados y los reportes regulatorios, los datos robados incluyen:

Nombres completos
Fechas de nacimiento
Números de Seguro Social (SSN)
Información sobre planes de beneficios de salud
Diagnósticos médicos y códigos de condición (en algunos casos)
Información de proveedores de salud
Números de cuenta de FSA/HSA y saldos
Información de empleadores

La combinación de SSN + datos médicos + información financiera es el trifecta del robo de identidad. Un actor malicioso con acceso a este conjunto puede crear identidades sintéticas sofisticadas, cometer fraude médico, solicitar crédito fraudulento, o simplemente vender el paquete completo en mercados de cibercrimen. El precio de mercado para un registro completo de este tipo oscila entre $40 y $200 por individuo.

Washington State Health Care Authority: Cuando el Gobierno es la Víctima

Un detalle que distingue esta brecha de otras similares: entre los clientes afectados de Navia está la Washington State Health Care Authority (HCA), que administra beneficios de salud para empleados del gobierno del estado de Washington.

Esto significa que entre los 2.7 millones de afectados hay un número significativo de empleados gubernamentales: maestros, trabajadores de agencias estatales, empleados de universidades públicas. Personas cuya información, en algunos casos, podría tener implicaciones de seguridad nacional más allá del fraude de identidad convencional.

La Washington State HCA ya notificó a sus empleados afectados y está cooperando con la investigación. Pero el daño a los datos ya está hecho.

Si Eres uno de los 2.7 Millones: Actúa Ahora

Si recibiste una notificación de Navia o sospechas que podrías ser afectado (porque usas FSA/HSA administrada por Navia, o eres empleado de una organización que usa sus servicios), estas son las acciones prioritarias:

Congela tu crédito en las tres bureaus. Equifax (equifax.com), Experian (experian.com), y TransUnion (transunion.com). Es gratuito, puedes hacerlo online, y previene que se abran nuevas cuentas a tu nombre. Hazlo hoy.
Monitorea tu historial médico (sí, el médico). Con datos de salud expuestos, el fraude médico es un riesgo real: alguien puede usar tu identidad para recibir tratamiento, lo que contamina tu historial médico con diagnósticos y tratamientos que no son tuyos. Solicita tu resumen de beneficios a tu aseguradora.
Presenta tu declaración de impuestos cuanto antes. Los SSNs robados son oro para fraude fiscal. Presentar primero bloquea que alguien más reclame un reembolso a tu nombre.
Acepta el monitoreo de identidad ofrecido. Navia típicamente ofrece 12-24 meses de monitoreo. Úsalo, pero no dependas solo de él — es reactivo, no preventivo.
Revisa tus EOBs (Explanation of Benefits). Si tu aseguradora envía resúmenes de beneficios, revísalos cuidadosamente buscando servicios médicos que nunca recibiste.

La Lección Estructural: El Riesgo de Terceros en Beneficios de Empleados

Para los equipos de seguridad y líderes de RRHH que leen esto, el caso Navia ilustra un problema sistémico en cómo las organizaciones gestionan el riesgo de terceros en beneficios de empleados:

Cuando seleccionas un administrador de beneficios, estás transfiriendo la custodia de los datos más sensibles de tus empleados a un tercero. Ese tercero tiene sus propios proveedores, sus propias vulnerabilidades, y sus propias prácticas de seguridad — que puede o no tener el rigor que tus propias políticas de seguridad exigen.

Las preguntas que debes hacer a cualquier administrador de beneficios antes de contratarlo:

¿Tienen certificación SOC 2 Type II actualizada? ¿Puedes ver el reporte?
¿Cuál es su SLA de notificación en caso de incidente de seguridad?
¿Cómo segmentan los datos de diferentes clientes?
¿Qué ocurre con tus datos si terminas la relación comercial?
¿Tienen seguro de responsabilidad por ciberincidentes y cuál es el límite de cobertura?

Si tu administrador actual no puede responder estas preguntas con documentación verificable, tienes un problema de riesgo que necesita atención antes del próximo diciembre.

En el ecosistema de beneficios de empleados, la cadena de custodia de datos es larga y opaca. Los empleados confían en sus empleadores; los empleadores confían en sus proveedores de beneficios; los proveedores de beneficios confían en sus subcontratistas. Cada eslabón es un vector de ataque potencial. Navia es solo el más reciente ejemplo de lo que ocurre cuando ese eslabón falla.

¿Tu empresa maneja datos de salud de empleados a través de terceros? Nuestro equipo puede evaluar el riesgo de tu cadena de proveedores de beneficios — antes de que un actor malicioso lo haga por ti.