What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

¿Qué es el Pentesting? Guía Completa 2026 para Startups

Definición: ¿Qué es el Pentesting?

El pentesting (penetration testing o prueba de penetración) consiste en simular un ciberataque controlado contra una aplicación, sistema o red, realizado por un profesional de ciberseguridad con autorización expresa del propietario, para identificar y explotar vulnerabilidades antes de que los atacantes reales las descubran.

El objetivo no es romper el sistema por romperlo — es medir el riesgo real. Un pentest responde preguntas concretas que un escaneo automatizado no puede:

¿Puede un usuario externo acceder a datos de otros usuarios?
¿Existen credenciales o secretos expuestos en el código del cliente?
¿La lógica de negocio permite escenarios de fraude o abuso?
¿Cuánto tiempo tardaría un atacante en comprometer datos críticos?

Diferencia entre Pentesting y Escaneo de Vulnerabilidades

Esta es la confusión más común. Aclarémosla:

Aspecto	Escaneo de Vulnerabilidades	Pentesting
Método	Automatizado	Manual + automatizado
Tiempo	Minutos	Días o semanas
Falsos positivos	Muchos	Mínimos (validados)
Lógica de negocio	No detecta	Sí detecta
Vulnerabilidades encadenadas	No	Sí
Costo	$0 - $500/mes	$29 - $50,000+
Entregable	Lista de findings	Reporte con PoC + remediación

En resumen: el escaneo te dice qué puede ser vulnerable. El pentest te confirma qué es vulnerable y qué impacto real tiene.

Tipos de Pentesting

1. Pentesting de Aplicaciones Web

El más común para startups. Se enfoca en aplicaciones SaaS, APIs REST/GraphQL, paneles de admin, y flujos de autenticación. Cubre el OWASP Top 10: inyecciones SQL, XSS, control de acceso roto (BOLA/IDOR), errores de configuración, etc.

2. Pentesting de APIs

Especializado en endpoints REST, GraphQL, y gRPC. Cubre el OWASP API Top 10: BOLA, autenticación rota, autorización a nivel de objeto, exposición masiva de datos, falta de rate limiting, mass assignment, y configuración insegura.

3. Pentesting de Infraestructura

Evalúa servidores, redes, y servicios expuestos. Cubre puertos abiertos, servicios vulnerables, configuración de firewall, y escalación de privilegios. Más relevante para empresas con infraestructura on-premise o cloud compleja.

4. Pentesting de Aplicaciones Móviles

iOS y Android. Cubre almacenamiento inseguro de datos, transmisión sin cifrado, ingeniería inversa del binario, y APIs móviles expuestas.

5. Red Teaming

El nivel más alto: simulación de ataque real, multi-vector, sin restricciones de scope. Combina ingeniería social, ataques físicos, y exploitation técnico. Reservado para empresas grandes con programas de seguridad maduros.

Las 5 Fases de un Pentest Profesional

Fase 1: Planificación y Scope

Se define qué se va a probar, cómo, y qué NO se va a tocar. Se firma un NDA y un acuerdo de "rules of engagement" que autoriza legalmente el testing. Sin este paso, el pentesting es ilegal.

Fase 2: Reconocimiento

Recolección pasiva y activa de información: subdominios, tecnologías usadas, empleados, repositorios públicos, leaks históricos. Se usan herramientas como amass, subfinder, nuclei, y búsquedas en Shodan, GitHub, y Wayback Machine.

Fase 3: Detección de Vulnerabilidades

Se combinan escaneos automatizados (Burp Suite, OWASP ZAP, nuclei templates) con análisis manual del código y comportamiento de la aplicación. El objetivo es identificar todos los puntos de entrada potenciales.

Fase 4: Explotación

El pentester intenta explotar las vulnerabilidades para confirmar su impacto real. No basta con decir "esta API parece vulnerable a IDOR" — hay que demostrar acceso a datos de otro usuario. Aquí se documenta cada hallazgo con prueba de concepto (PoC).

Fase 5: Reporte y Remediación

El entregable final: un reporte ejecutivo (para fundadores e inversores) más un reporte técnico (para desarrolladores) con cada vulnerabilidad clasificada por severidad CVSS, prueba de concepto, y guía de remediación paso a paso.

Metodologías y Estándares

OWASP Top 10: Las 10 vulnerabilidades web más críticas. Estándar de facto.
OWASP API Top 10: Específico para APIs (BOLA, autenticación rota, etc.)
OWASP LLM Top 10: Para aplicaciones con IA generativa (prompt injection, etc.)
PTES (Penetration Testing Execution Standard): Marco metodológico completo.
NIST SP 800-115: Guía técnica del NIST para pruebas de seguridad.
CVSS v3.1: Sistema estándar para puntuar severidad de vulnerabilidades (0-10).

¿Cuánto Cuesta un Pentest?

Tipo de pentest	Rango de precio	Tiempo
Quick scan automatizado	$29 - $200	24-48h
Pentest web básico	$500 - $3,000	3-5 días
Pentest web completo (firma tradicional)	$8,000 - $25,000	2-4 semanas
Pentest enterprise multi-vector	$25,000 - $100,000+	1-3 meses
Red Team engagement	$50,000 - $250,000+	2-6 meses

Para startups en etapa temprana, los precios tradicionales son prohibitivos. Por eso SableOffensive ofrece pentesting profesional desde $29 con metodología OWASP y entrega en 24-48 horas — pensado específicamente para fundadores que necesitan validar seguridad antes de levantar capital o lanzar al mercado.

¿Cuándo Necesita Pentesting una Startup?

Antes del lanzamiento público: Para no exponer datos de los primeros usuarios.
Antes de levantar capital: Inversores serios piden auditorías de seguridad.
Antes de cerrar clientes enterprise: Procurement requiere reportes recientes.
Después de cambios mayores: Migración de stack, refactor de auth, nueva API.
Anualmente como mínimo: Las amenazas evolucionan, tu testing también.
Para cumplimiento (SOC 2, ISO 27001, GDPR, HIPAA): Pentesting periódico es obligatorio.

Herramientas Más Usadas en Pentesting (2026)

Reconocimiento y enumeración

nmap: Escaneo de puertos y servicios.
amass / subfinder: Enumeración de subdominios.
httpx: Sondeo HTTP rápido.
nuclei: Escaneo de vulnerabilidades basado en templates.

Web app testing

Burp Suite Professional: El proxy de interceptación estándar de la industria.
OWASP ZAP: Alternativa open source.
sqlmap: Detección y explotación automatizada de SQL injection.
ffuf / wfuzz: Fuzzing de endpoints y parámetros.

Análisis de código

Semgrep: SAST (análisis estático) con reglas customizables.
Trufflehog / gitleaks: Detección de secretos en git.
npm audit / Snyk: Vulnerabilidades en dependencias.

Cloud y APIs

ScoutSuite / Prowler: Auditoría de configuración cloud (AWS, GCP, Azure).
Postman + custom scripts: Testing de APIs.

Errores Más Comunes al Contratar Pentesting

Confundir scanner automatizado con pentest manual: Si un proveedor te entrega solo un PDF de Nessus, eso es un escaneo, no un pentest. Pide ver findings con PoC manual.
No definir scope claramente: Sin alcance escrito, terminás pagando por testing que no te interesa o el pentester deja zonas críticas sin probar.
Pentestear en producción sin coordinación: Algunos tests pueden tirar tu app. Coordiná ventanas de testing y hacé backups previos.
No remediar y re-testear: Un pentest sin remediación es papel mojado. Pedí siempre re-test gratuito de los hallazgos críticos.
Pagar por compliance, no por seguridad: Hay firmas que solo emiten el certificado para SOC 2 sin profundizar. Distingue entre "pentest checklist" y "pentest real".

¿Qué Hace SableOffensive Diferente?

SableOffensive es pentesting profesional optimizado para startups y MVPs:

Metodología OWASP completa — no solo escaneo automatizado.
Entrega en 24-48 horas — vs. 2-4 semanas de firmas tradicionales.
Precios desde $29 — vs. $10,000+ del mercado enterprise.
Especialización en stacks de startup: Next.js, Supabase, Vercel, Railway, AI/LLM apps.
Garantía 50% money-back si no encontramos vulnerabilidades.
Re-test gratuito después de remediar hallazgos críticos.
Fundado por investigador con 3 CVEs publicados (CVE-2026-21262, CVE-2026-22778, OpenClaw research).

Próximos Pasos

Si querés validar la seguridad de tu app:

Empezá con el scan gratuito de headers — toma 3 segundos y te da un grado A-F de tus security headers.
Si la app es nueva o estás cerca de lanzar: el plan Pre-Launch Check ($29) cubre lo básico (headers + secretos + auth).
Si ya tienes usuarios o vas a levantar capital: el plan Founder Shield ($79) incluye OWASP Top 10 completo + reporte ejecutivo.
Si manejas datos sensibles o necesitas compliance: el plan Scale Secure ($199) incluye API security + auditoría de código + monitoreo continuo.

Cualquier pregunta sobre pentesting, escribe a [email protected] — respondemos en menos de 24 horas.