What is Agent-as-a-Service pentesting?

Agent-as-a-Service (AaaS) pentesting lets you chat with autonomous pentesting agents that scan your application on demand. Instead of waiting weeks for a manual engagement, you talk to specialized agents — pen-scout (recon and surface mapping), pen-recon (deeper enumeration), pen-triage (validates and prioritizes findings), pen-fixer (remediation guidance), and pen-compliance (OWASP/standards mapping). Findings are validated with proof-of-concept and re-test, not just flagged. You start with 150 free credits, no credit card.

What are credits and how do they work?

Credits are how you run agent scans. Each scan or agent action consumes credits based on its depth. New accounts get 150 free credits with no card required. After that you can buy one-time credit packs ($29, $79, or $199) for pay-as-you-go use, or subscribe to a monthly tier ($49, $149, or $399/mo) for continuous, on-demand pentesting. The agents pen-scout, pen-recon, pen-triage, pen-fixer and pen-compliance all draw from the same credit balance.

Yes. Every new account gets 150 free credits with no credit card required — enough to chat with the pentesting agents and run real scans against your app. There is also a free security headers scan at sable.somoswilab.com/free-scan and a sample report at sable.somoswilab.com/sample-report. The free tier runs on OpenRouter models so you can evaluate the autonomous agents before paying.

What is penetration testing for startups?

Penetration testing (pentesting) is a simulated cyberattack against your application to find security vulnerabilities before real attackers do. For startups, we focus on the issues that matter most at your stage: authentication flaws, data exposure, API security, and common mistakes in modern stacks like Next.js, Supabase, and Firebase.

How much does a pentest cost?

Traditional pentests cost $10,000-$50,000+. SableOffensive starts at $29 for a Pre-Launch Check covering OWASP Top 10 and secrets detection. Founder Shield ($79) adds IDOR testing, auth bypass, and a debrief call. Scale Secure ($199) is a full-scope assessment. Every plan includes a professional report with remediation steps.

How long does a security scan take?

Pre-Launch Check reports are delivered within 24-48 hours. Founder Shield and Scale Secure may take 2-3 business days depending on the complexity of your application.

What do I need to provide?

At minimum, just your application URL. For more comprehensive testing, we may ask for staging credentials, API documentation, or GitHub repository access. We sign NDAs for all engagements.

What is OWASP Top 10?

OWASP Top 10 is the industry standard list of the most critical web application security risks. It includes injection attacks, broken authentication, cross-site scripting (XSS), server-side request forgery (SSRF), and security misconfigurations. Every SableOffensive assessment tests against the full OWASP Top 10.

Do you test AI-generated code?

Yes. Code generated by AI tools like Cursor, GitHub Copilot, and v0 often contains subtle security issues: hardcoded secrets, missing input validation, insecure API patterns, and overly permissive access controls. We have specific testing procedures for AI-generated codebases.

How do you secure Supabase and Firebase apps?

For Supabase, we audit Row Level Security (RLS) policies, test for direct table access, and check for exposed service keys. For Firebase, we review security rules, test Firestore/RTDB access patterns, and check Cloud Functions for vulnerabilities.

What if you find zero vulnerabilities?

50% money back guarantee. If our scan finds zero security issues, you get half your money back.

Is there a free pentesting option?

Yes. SableOffensive offers a free security headers scan at sable.somoswilab.com/free-scan. It instantly checks your website for 8 critical security headers (HSTS, CSP, X-Frame-Options, and more) and gives you an A-F grade with copy-paste fixes. No signup or payment required.

Can I get a free vulnerability scan?

Our free security headers check scans your website instantly and grades your security posture. For a deeper free assessment, contact us — we occasionally offer complimentary scans for early-stage startups and open source projects.

Telus Digital: ShinyHunters robó 1PB y exigió $65M

1 Petabyte: La Mayor Fuga de Datos en la Historia de Canadá

El 12 de marzo de 2026, Telus Digital confirmó lo impensable: el grupo ShinyHunters había robado casi 1 petabyte de datos de sus sistemas. Para entender la magnitud, 1 petabyte equivale a 1,000 terabytes — suficiente para almacenar 500 millones de fotografías en alta resolución o un millón de horas de video HD.

Pero el tamaño del robo no es lo más alarmante. Lo alarmante es cómo lo hicieron: sin explotar un CVE crítico ni usar malware sofisticado. Solo credenciales de Google Cloud Platform encontradas dentro de datos previamente robados de Salesforce.

ShinyHunters exigió $65 millones a cambio de no publicar los datos. Telus Digital provee servicios de soporte al cliente, entrenamiento de IA y moderación de contenido para docenas de empresas globales — incluyendo sus datos de facturación y sistemas de autenticación.

Cómo Ocurrió: El Ataque de Telus en 3 Pasos

Los detalles técnicos revelan un patrón que vemos constantemente en auditorías: el problema no empieza donde crees.

Paso 1 — La brecha inicial: ShinyHunters accedió primero a datos de Salesforce de Telus Digital, posiblemente mediante phishing o una brecha de terceros anterior. Dentro de esa data encontraron credenciales de Google Cloud Platform (GCP) hardcodeadas o almacenadas sin cifrar.
Paso 2 — Acceso legítimo a la nube: Con las credenciales GCP en mano, los atacantes no necesitaron técnicas avanzadas. Simplemente se autenticaron como si fueran empleados legítimos y comenzaron a descargar datos masivamente.
Paso 3 — Meses sin detección: Los expertos señalan un dwell time multi-mes — los atacantes estuvieron dentro de los sistemas de Telus Digital por semanas o meses antes de que la empresa lo detectara. Todo porque el acceso parecía legítimo.

Los datos robados incluyen información personal identificable (PII) de al menos dos docenas de clientes corporativos y grabaciones de centros de llamadas. Si tu empresa usa servicios de BPO (outsourcing de procesos de negocio), este ataque te afecta directamente.

El Problema Real: Tus Proveedores Son Tu Mayor Riesgo

El 62% de las brechas de datos en 2025 involucraron a un tercero o proveedor, según el Data Breach Investigations Report de Verizon. Telus Digital no es un proveedor pequeño — es una empresa con miles de empleados que maneja datos críticos de clientes de Fortune 500.

Las startups y empresas en crecimiento tienen el mismo problema en escala reducida, pero con menos recursos para detectarlo:

¿Sabes qué credenciales tienen tus proveedores de SaaS sobre tu infraestructura?
¿Tus integraciones de Salesforce, HubSpot o Zendesk tienen acceso a datos que no deberían?
¿Cuándo fue la última vez que auditaste los permisos de terceros en tu cuenta de AWS, GCP o Azure?

ShinyHunters no es nuevo en esto. Son el mismo grupo responsable de las brechas de Ticketmaster (2024), AT&T (2024) y docenas de empresas más. Su método favorito: encontrar credenciales expuestas en código, repositorios o datos robados anteriores y usarlas para escalar acceso.

El Costo Real: Más Allá de los $65M de Extorsión

El costo promedio de una brecha de datos en 2025 fue de $4.88 millones según el IBM Cost of a Data Breach Report. Ese número sube exponencialmente cuando hay un largo dwell time del atacante.

Para Telus Digital, el impacto incluye:

Investigación forense y respuesta a incidentes (semanas de trabajo especializado)
Notificaciones legales a clientes y reguladores en múltiples jurisdicciones
Pérdida de contratos corporativos por daño a la reputación
Posibles multas regulatorias bajo PIPEDA en Canadá y GDPR para clientes europeos
La extorsión de $65M — aunque Telus no confirmó si pagó

Para una startup, un incidente similar a escala menor puede ser suficiente para cerrar el negocio. El 60% de las pequeñas empresas que sufren un ciberataque cierran en los siguientes 6 meses.

5 Medidas que Debes Tomar Esta Semana

La buena noticia: el vector de ataque de Telus Digital es 100% prevenible. Estas son las acciones concretas:

Audita tus credenciales en la nube ahora mismo. Usa herramientas como git-secrets o truffleHog para escanear tus repositorios buscando API keys y credenciales hardcodeadas. Si encuentras alguna, revócala inmediatamente y genera nuevas.
Implementa rotación automática de credenciales. AWS Secrets Manager, Google Cloud Secret Manager y HashiCorp Vault pueden rotar credenciales automáticamente. Ninguna credencial debería vivir más de 90 días.
Activa alertas de acceso inusual. Configura alertas cuando se descarguen volúmenes anómalos de datos desde tu nube. Google Cloud tiene Cloud Logging; AWS tiene CloudTrail. Son gratuitos y pueden salvarte.
Aplica el principio de mínimo privilegio a terceros. Revisa qué permisos tienen tus proveedores de SaaS. Muchos tienen acceso completo cuando solo necesitan campos específicos.
Realiza un inventario de tu superficie de ataque de terceros. Lista todos los proveedores con acceso a tus datos. Para cada uno: qué datos tienen, con qué nivel de acceso, y cuándo fue la última auditoría de seguridad.

Lo Que Esta Brecha de Telus Cambia Para Siempre

ShinyHunters demostró que no necesitas atacar directamente a una empresa grande — puedes entrar por la puerta de servicio. Y esa puerta de servicio suele ser un proveedor de outsourcing con credenciales cloud expuestas.

Para los founders y CTOs en LATAM, el mensaje es claro: la seguridad de terceros no es un nice to have de enterprise. Es un requisito básico de supervivencia. Cada SaaS que conectas a tu stack es un vector de ataque potencial.

Si no sabes exactamente qué acceso tienen tus proveedores a tus sistemas, ese es el primer problema que necesitas resolver. En nuestro análisis de vulnerabilidades en startups, documentamos cómo el 78% de las empresas que auditamos tenían al menos un proveedor con acceso excesivo a datos críticos.

¿Quieres saber si tu empresa tiene credenciales expuestas o proveedores con acceso no auditado? Nuestro equipo en Sable puede hacer una evaluación completa de tu superficie de ataque — antes de que lo haga ShinyHunters.