What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

BlueLeaks 2.0: Hackers Exponen 8.3 Millones de Tips Anónimos a la Policía

El Anonimato Era una Promesa. Era Mentira.

Cuando alguien llama a Crime Stoppers para reportar un crimen, confía en una promesa fundamental: su identidad permanecerá protegida. Esa promesa —el anonimato— es lo que hace que el sistema funcione. Sin ella, los testigos no hablan, los informantes no cooperan, y los casos no se resuelven.

El 18 de marzo de 2026, esa promesa se rompió para 8.3 millones de personas.

Un hacktivist conocido como "Internet Yiff Machine" publicó haber robado 93 gigabytes de datos de P3 Global Intel, la plataforma tecnológica detrás de miles de programas de tips anónimos en Estados Unidos. Los datos robados abarcan desde 1987 hasta 2025 —casi cuatro décadas— e incluyen información sobre tipsters (quienes enviaron los tips) y sobre las personas que fueron señaladas. Identidades que nunca debieron ser conocidas. Nombres que alguien arriesgó su vida para que no fueran revelados.

La comunidad de ciberseguridad ya lo bautizó: BlueLeaks 2.0.

Qué Es P3 Global Intel y Por Qué Importa

P3 Global Intel es una división de Navigate360, una empresa texana que proporciona tecnología de seguridad a instituciones públicas en todo Estados Unidos. Su plataforma de gestión de tips e inteligencia es usada por:

Programas de Crime Stoppers a nivel local, estatal y federal
Agencias de ley y orden, incluyendo departamentos de policía municipales y agencias federales
Más de 30,000 escuelas públicas que usan la plataforma para reportes de amenazas estudiantiles
El ejército de Estados Unidos para reportes internos de actividad sospechosa

En otras palabras: una sola empresa privada era la custodiana del sistema de tips anónimos de buena parte del aparato de seguridad pública estadounidense. Y esa empresa fue comprometida.

La escala del daño es difícil de exagerar. Los 8.3 millones de registros incluyen no solo los tips en sí mismos, sino la infraestructura completa de inteligencia ciudadana construida durante décadas: quién reportó qué, cuándo, sobre quién, y con qué nivel de detalle.

Qué Datos Específicamente Fueron Expuestos

Según el análisis de los investigadores que revisaron el dump de 93 GB, los datos expuestos incluyen:

Identidades de los tipsters: Aunque la plataforma prometía anonimato, los registros internos asociaban metadatos (IP, dispositivo, timestamp, patrones de comportamiento) que en muchos casos permiten identificar al denunciante.
Contenido completo de los tips: Narrativas detalladas de lo que se reportó, incluyendo descripciones de actividad criminal, nombres, ubicaciones, y en algunos casos fotos adjuntas.
Datos de personas acusadas: Nombres, descripciones, domicilios, y otra información personal de individuos señalados en los reportes — muchos de ellos nunca procesados legalmente.
Tips escolares: Reportes de amenazas estudiantiles, bullying, y situaciones de salud mental de menores enviados a través de la plataforma de Navigate360 para escuelas. Datos de niños.
Reportes militares: Tips internos del sistema militar estadounidense.
Datos históricos desde 1987: Casi cuatro décadas de inteligencia ciudadana que debió mantenerse confidencial permanentemente.

CyberMaterial, que revisó una muestra de los datos, confirmó: "La brecha de 8.3 millones de registros expuso casi cuatro décadas de datos sensibles, comprometiendo las identidades de individuos que reportaron desde actividad de carteles hasta seguridad escolar."

Por Qué Esto Puede Costar Vidas

La mayoría de las brechas de datos tienen consecuencias financieras: fraude de identidad, robo de credenciales, pérdidas económicas. Esta brecha tiene consecuencias que van más allá del dinero.

Las personas que usan plataformas de tips anónimos frecuentemente lo hacen porque tienen miedo. El testigo que reportó actividad de una banda criminal en su vecindario. El empleado que denunció corrupción en su departamento de policía. El estudiante que avisó sobre una amenaza en su escuela. El informante que colaboró con agencias federales durante años.

Para estas personas, la revelación de su identidad no es un inconveniente — puede ser una sentencia. Los carteles tienen recursos para identificar y actuar contra informantes. Las bandas tienen presencia en comunidades donde estos tipsters viven. En el mundo real, el anonimato comprometido puede traducirse en intimidación, violencia, o algo peor.

El FBI y múltiples agencias de ley y orden ya están trabajando para identificar casos de alto riesgo donde la exposición de identidades podría representar un peligro inmediato para los tipsters. Se espera que el Departamento de Justicia abra una investigación formal.

Internet Yiff Machine: ¿Quién Lo Hizo y Por Qué?

El hacktivist que se atribuye el ataque publicó un manifiesto explicando sus motivaciones: una crítica al sistema de vigilancia civil institucionalizada, al rol de las empresas privadas como intermediarios del aparato policial, y a la promesa de anonimato que calificó de "ficción diseñada para extraer información de ciudadanos bajo falsos pretextos".

El nombre "Internet Yiff Machine" es deliberadamente absurdo — una táctica común en círculos hacktivistas para dificultar la construcción de un perfil serio. El manifiesto, sin embargo, demuestra conocimiento técnico y político sofisticado.

Técnicamente, los detalles específicos del vector de ataque no han sido confirmados públicamente. SC Media reportó que la brecha comprometió "más de 8.3 millones de registros" y que Navigate360 fue notificada antes de la publicación. La empresa confirmó estar investigando pero no ha divulgado detalles técnicos del compromiso.

Lo que está claro es que el atacante tuvo acceso suficiente para exfiltrar 93 gigabytes de datos estructurados sin ser detectado — una operación que requiere tiempo, conocimiento del entorno, y la capacidad de moverse lateralmente dentro de la infraestructura comprometida.

El Precedente: BlueLeaks (2020) y la Historia que Se Repite

La comparación con BlueLeaks no es casual. En junio de 2020, el colectivo DDoSecrets publicó 269 GB de datos robados de centros de fusión de inteligencia policial en Estados Unidos —el BlueLeaks original. Fue una de las mayores filtraciones de datos policiales de la historia.

Lo que hace a este caso potencialmente más grave es la naturaleza de los datos: no son comunicaciones internas de policías, sino información de ciudadanos que confiaron en el sistema. Los afectados por BlueLeaks eran, en su mayoría, miembros de las fuerzas del orden. Los afectados por esta brecha son, en su mayoría, ciudadanos ordinarios —muchos de ellos personas vulnerables que se atrevieron a hablar.

El patrón es el mismo: empresas privadas con contratos gubernamentales concentran datos sensibles masivos con estándares de seguridad inadecuados para la criticidad de lo que custodian. Y eventualmente, alguien entra.

Qué Deberían Hacer las Autoridades y Víctimas Ahora

Para agencias de ley y orden que usan P3/Navigate360:

Auditen sus casos activos. Identifiquen tipsters que hayan reportado casos de alto riesgo (crimen organizado, narcotráfico, amenazas internas) y evalúen su seguridad inmediata.
Notifiquen a informantes de alto riesgo proactivamente. No esperen a que sean contactados. Si hay individuos cuya identidad comprometida representa un riesgo físico, actúen antes de que lo haga alguien más.
Congelen o migren las plataformas afectadas. P3/Navigate360 debe considerarse comprometida hasta que se complete una auditoría forense independiente y se implementen controles adicionales.

Para escuelas que usan Navigate360:

Notifiquen a familias de estudiantes menores que hayan usado la plataforma de tips escolares.
Evalúen la exposición de datos de menores en el dump — un problema legal adicional bajo COPPA y leyes estatales de privacidad de menores.
Coordinen con sus DPOs (Data Protection Officers) y asesores legales para evaluar obligaciones de notificación.

Para ciudadanos que alguna vez usaron un sistema de tips anónimos:

Si reportaste actividad de crimen organizado, tráfico de personas, o cualquier situación de alto riesgo a través de Crime Stoppers u otra plataforma similar en los últimos años, evalúa tu exposición.
Si crees estar en riesgo, contacta directamente con la agencia a la que enviaste el tip — tienen la obligación de cooperar con tu seguridad.
Documenta cualquier actividad sospechosa en tu entorno que pudiera ser consecuencia de la exposición de tu identidad.

La Lección Sistémica: El Riesgo de Privatizar la Seguridad Pública

Esta brecha expone una tensión fundamental en cómo los sistemas de seguridad pública operan en la era digital: la externalización de infraestructura crítica a empresas privadas que no están sujetas a los mismos estándares de transparencia, auditoría, y responsabilidad que las instituciones gubernamentales directas.

Navigate360 es una empresa privada. Sus contratos con agencias gubernamentales incluyen cláusulas de confidencialidad. Sus prácticas de seguridad no son públicas. Su infraestructura técnica no está sujeta a auditorías independientes públicas del tipo que se aplicarían a una agencia gubernamental.

Cuando esa empresa falla —como falló aquí— el daño lo absorben los ciudadanos, los informantes, y los menores cuyos datos fueron confiados al sistema.

La promesa del anonimato en sistemas de tips es una promesa de seguridad física. No debería estar en manos de una empresa privada sin los mecanismos de supervisión, auditoría técnica obligatoria, y responsabilidad legal que esa promesa requiere.

Hasta que eso cambie, el BlueLeaks 3.0 es solo cuestión de tiempo.