FAQ

90% manual, 10% automatizado. Los escáneres encuentran lo documentado; nuestros pentesters encuentran lo que se está explotando hoy. Lógica de negocio, encadenamiento de fallos y abuso de autorización — el escáner no lo ve.

Externo, Interno, Web/API, Mobile, OT/SCADA, Wi-Fi, Ingeniería Social (phishing/spear), Red Team completo y PTaaS recurrente. Ver /precos para precios y alcances detallados.

Sí. Operamos en Brasil, Portugal, Italia, España, Marruecos, Estados Unidos y Australia. Engagements en USD, BRL o EUR.

Externo simple: 1 semana. Web app: 2-4 semanas. Red Team completo: 6-12 semanas. PTaaS: continuo. Toda propuesta incluye plazo específico.

1) Llenas cotización o agendas reunión. 2) En hasta 48h enviamos propuesta con alcance, plazo y valor. 3) Firma de NDA + Carta de Autorización. 4) Ejecución. 5) Entrega de informe ejecutivo + técnico. 6) Retest opcional.

Ambos. Ejecutivo (3-5 páginas) con nivel de riesgo e impacto de negocio para C-level y board. Técnico (50-150 páginas) con PoC reproducible, mitigación y mapeo a regulación aplicable.

Sí. Nuestros informes son aceptados por auditorías SOC 2 Type II (CC trust services), ISO 27001 (control A.12.6), PCI-DSS 4.0 (req. 11.4) y equivalentes. Mapeamos hallazgos directamente a los requisitos del framework.

No en condiciones normales. Trabajamos en entorno de homologación espejo o ventanas controladas. Para sistemas críticos (SCADA, hospital, banco core), validamos cada etapa antes de ejecutar. Red flags acordadas previamente garantizan parada inmediata si es necesario.

NDA mutuo obligatorio, comunicación por canal cifrado (Signal/Element), entrega vía portal propio, retención cero tras 90 días del informe final con comprobante de destrucción. Ver /legal/privacy.

Solo con tu autorización expresa y por escrito. Confidencialidad es el estándar. Cuando autorizado, podemos listar logo + descripción genérica.

Sí, en Red Team completo. Solo el sponsor (generalmente CISO/CSO) sabe de la operación; el equipo de seguridad opera en la oscuridad como en un ataque real. Mide tiempo de detección, respuesta y contención.

Brasil: PIX, boleto, transferencia. Internacional: SWIFT, USDC/USDT/BTC vía exchange regulado (con KYC). Facturación en BRL, USD o EUR según jurisdicción.

Sí para proyectos sobre R$ 20.000 (o equivalente). Hasta 6 cuotas sin intereses bajo análisis.

No. Cancelación con 30 días de antelación. Renovación automática si no hay cancelación — porque queremos que te quedes por el valor entregado, no por contrato.

Sí. Empresa habilitada para licitación pública, CADIN limpio, certificaciones al día. Atendemos órganos federales, estatales y municipales brasileños.

Pentesters senior con OSCP, CISSP, CRTO, GPEN y CompTIA PenTest+ en promedio. Cada engagement tiene al menos 1 lead y 1 ejecutor, con revisión peer-to-peer antes de la entrega.

Sí. Operamos Cobalt Strike, Mythic, Sliver con payloads personalizados, OPSEC adecuada y cadena TTP mapeada en MITRE ATT&CK. No usamos herramientas commodity en Red Team serio.

Founder y CEO de intrus.io. 15+ años en seguridad ofensiva, con trabajo en Caixa Econômica Federal, Banco BMG, iFood, Polícia Federal, ArcelorMittal, Multibanco, Fórmula 1 y demás clientes regulados.