What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Pay2Key Regresa: El Ransomware Iraní Que Paga el 80% a Sus Afiliados

El Regreso de un Viejo Conocido: Pay2Key Vuelve con Esteroides

En el mundo del ransomware, hay pocas cosas más alarmantes que el regreso de un grupo que ya probó que puede atacar efectivamente. Pay2Key, el grupo ransomware vinculado al gobierno iraní, lleva operativo de nuevo desde mediados de 2025 — y su actividad se disparó en marzo de 2026 en respuesta directa a la escalada de tensiones entre Irán, Israel y Estados Unidos.

No es el mismo Pay2Key de 2020. Es más sofisticado, más agresivo en su modelo de negocios, y tiene un componente que lo hace especialmente peligroso: ideología mezclada con incentivo económico. Una combinación que los investigadores de seguridad califican como excepcionalmente difícil de contener.

¿Qué Es Pay2Key y De Dónde Viene?

Pay2Key emergió originalmente en 2020 como una operación de ransomware dirigida principalmente a empresas israelíes. La atribución a actores iraníes fue establecida por múltiples firmas de inteligencia de amenazas, con vínculos específicos al grupo Fox Kitten (también conocido como UNC757), una unidad APT asociada al Ministerio de Inteligencia iraní.

Entre 2021 y 2024, Pay2Key mantuvo un perfil relativamente bajo. Pero el grupo nunca desapareció del todo — siguió evolucionando su infraestructura, refinando su código, y esperando el momento correcto para escalar.

Ese momento llegó con las tensiones geopolíticas de 2025-2026. Y el grupo regresó con un nombre actualizado: Pay2Key.I2P, operando ahora sobre la red I2P (Invisible Internet Project) para mayor anonimato y resistencia a disrupciones.

El Modelo de Negocio: RaaS con Sabor Ideológico

Aquí está el detalle que hace a Pay2Key.I2P diferente de la mayoría de los grupos RaaS: combina motivaciones financieras con motivaciones geopolíticas. No solo es un negocio de ransomware — es un arma de estado disfrazada de negocio de ransomware.

El modelo de afiliados es agresivamente lucrativo:

80% de las ganancias para los afiliados — arriba del 70% ofrecido en julio de 2025. Para contexto, el promedio de la industria RaaS es 70-75%
Bonus adicionales para afiliados que simpatizan con la causa iraní o participan en ataques con componente político
Soporte técnico activo del grupo central, incluyendo asistencia en negociaciones de rescate
Infraestructura de pagos a través de criptomonedas con mezcla avanzada para dificultar trazabilidad

El resultado: $4 millones en pagos de rescate documentados desde el resurgimiento. Y eso solo incluye pagos confirmados — muchos incidentes nunca se reportan públicamente.

La Técnica: Mimic Ransomware + Fox Kitten TTPs

Técnicamente, Pay2Key.I2P incorpora componentes del ransomware Mimic, una familia conocida por abusar de la API legítima de Windows Search (Everything.exe de Voidtools) para encontrar y cifrar archivos de forma extremadamente eficiente. Esta técnica hace el cifrado más rápido y más difícil de detectar por soluciones EDR que no monitorizan el abuso de herramientas legítimas.

Los TTPs (Tactics, Techniques and Procedures) documentados incluyen:

Acceso inicial: Exploits contra VPNs corporativas vulnerables (Fortinet, Pulse Secure), phishing dirigido y credenciales compradas en mercados de Initial Access Brokers (IABs)
Movimiento lateral: Abuso de protocolos legítimos como SMB y WMI para propagarse internamente sin levantar alertas
Persistencia: Modificación de tareas programadas y registro de Windows para sobrevivir reinicios
Exfiltración previa al cifrado: Double extortion — roban datos antes de cifrar para amenazar con publicación
Cifrado: AES-256 para archivos individuales, RSA-2048 para la clave de cifrado. Sin la clave del atacante, el descifrado es imposible.

¿Quiénes Son Los Objetivos?

Pay2Key.I2P tiene un foco geopolítico claro: organizaciones en Estados Unidos e Israel. Pero dentro de ese marco geográfico, los sectores más atacados son estratégicos:

Healthcare: Beazley Security manejó un incidente de Pay2Key en un sistema de salud estadounidense en las primeras semanas de 2026. Los hospitales son objetivos perfectos — no pueden darse el lujo de días de downtime
Infraestructura crítica: Utilities, transporte, telecomunicaciones
Manufactura de defensa: Contratistas del sector defensa en Israel y EEUU
Servicios financieros: Bancos y aseguradoras, especialmente con exposición en Israel

Si tu organización opera en alguno de estos sectores y tiene presencia en EEUU o Israel, Pay2Key.I2P es una amenaza activa y concreta hoy.

El Factor Geopolítico: ¿Por Qué Ahora?

No es coincidencia que Pay2Key.I2P haya escalado su actividad precisamente en este momento. El resurgimiento sigue un patrón documentado: cuando las tensiones entre Irán y Occidente escalan a nivel diplomático o militar, los grupos cibernéticos vinculados al estado iraní aumentan sus operaciones ofensivas.

Esto sirve múltiples objetivos para el gobierno iraní:

Daño económico a adversarios sin conflicto armado directo
Plausible deniability: "No somos nosotros, son criminales independientes que usan nuestras herramientas"
Financiamiento: Una parte de los rescates podría fluir de vuelta al estado, aunque esto es difícil de probar
Señalización: Demostrar capacidad de causar daño sin cruzar el umbral de un acto de guerra formal

Esta estrategia no es nueva. Rusia ha usado grupos como Evil Corp y Sandworm de manera similar. Lo que hace a Pay2Key.I2P notable es la velocidad con la que escaló su modelo de afiliados en respuesta a las tensiones actuales.

Cómo Detectarlo y Defenderte

La buena noticia: Pay2Key.I2P, como todos los grupos ransomware modernos, deja señales antes de activar el cifrado. La mala noticia: detectar esas señales requiere visibilidad que muchas organizaciones no tienen.

Indicadores de compromiso (IoCs) a monitorizar:

Ejecución inusual de Everything.exe (herramienta legítima de búsqueda de Voidtools) — especialmente si no está instalada en tu entorno
Actividad SMB lateral inusual entre estaciones de trabajo (equipo hablando con equipo, no con servidores)
Acceso masivo a shares de red fuera de horas laborales
Creación o modificación de tareas programadas por cuentas de usuario (no administrador)
Tráfico hacia la red I2P desde hosts corporativos
Uso de herramientas como PsExec, Cobalt Strike o Mimikatz en tu entorno

Pasos de defensa prioritarios:

Parchea tus VPNs ahora. Fortinet y Pulse Secure han tenido vulnerabilidades críticas en los últimos 18 meses. Si no estás en la versión más reciente, eres un objetivo fácil para el acceso inicial.
Implementa EDR con detección de Living-off-the-Land (LotL). Pay2Key.I2P abusa de herramientas legítimas. Tu EDR necesita detectar comportamiento anómalo de herramientas válidas, no solo malware conocido.
Segmenta y reduce la superficie de SMB. Deshabilita SMBv1, bloquea SMB entre workstations, y limita quién puede hacer conexiones laterales.
Implementa privileged access workstations (PAWs). Las credenciales de administrador solo deben usarse desde estaciones de trabajo dedicadas y aisladas.
Backups inmutables y air-gapped. Si los atacantes no pueden alcanzar tus backups, el impacto del ransomware se reduce dramáticamente.
Monitorea threat intel de fuentes iraníes. CISA, FBI y el National Cyber Security Centre (NCSC) del Reino Unido publican advisories regulares sobre amenazas iraníes. Suscríbete y actúa cuando salen.

La Pregunta Que Deberías Hacerte

Pay2Key.I2P representa algo que las organizaciones necesitan entender: el ransomware ya no es solo un negocio criminal. Es un instrumento de política exterior.

Cuando un grupo ransomware tiene el respaldo logístico, técnico y potencialmente financiero de un estado-nación, el modelo de riesgo cambia completamente. No estás solo contra criminales motivados por dinero — estás contra un adversario que tiene objetivos geopolíticos y recursos estatales, y que usa el ransomware como vector de ataque conveniente y rentable.

Esto no significa que la defensa sea imposible. Significa que la barra mínima de seguridad para organizaciones en sectores críticos es más alta de lo que muchos directivos asumen. No basta con un firewall y un antivirus en 2026.

Si quieres evaluar si tu organización está preparada para este tipo de amenaza, el equipo de Sable puede ayudarte a construir un programa de seguridad calibrado para el panorama de amenazas actual — incluyendo actores con apoyo estatal como Pay2Key.I2P.

Y si quieres entender la mecánica técnica de cómo estos grupos entran a las redes, nuestro análisis de vulnerabilidades de ejecución remota de código y el zero-day de Cisco FMC explorado por otro grupo iraní-vinculado te dará contexto valioso.