Pentest Pre-IPO: S-1, B3, NYSE, Nasdaq
Pentest exhaustivo para empresa en fase pre-listamiento. Va a componer el capítulo de cybersecurity risk del prospecto. SEC SK 1.05, B3 IAN, NYSE/Nasdaq cyber disclosure.
Por qué ahora
El dolor real
Banco coordinador, abogado de IPO y auditor PCAOB abren el paquete de riesgo cibernético en el mes 4 del roadshow. Empresa sin pentest serial en los últimos 24 meses se vuelve salvedad en el prospecto y gatillo de descuento en la fijación. SEC pide disclosure de incidente en 4 días hábiles (SK 1.05).
Contexto y regulación
/superficie-de-ataque
Pré-IPO
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Pentest exhaustivo de superficie
Todas las superficies críticas — web, API, mobile, cloud, AD, infra. Sin hueco que se vuelva salvedad en el prospecto.
Red Team mapeado en ATT&CK
Simulación adversarial con objetivo: "comprometer sistema material para la tesis de inversión".
Auditoría de third-party risk
Proveedores críticos, SaaS, servicios tercerizados — cyber due diligence inversa.
Capítulo de cyber risk
Apoyo a la elaboración del capítulo de cybersecurity risk en el prospecto, alineado con SK 1.05.
Tabletop de incident response con C-level
Validación de runbook 4-day disclosure SEC, BACEN, ANPD.
Evidencia objetiva para PCAOB
Reporte técnico + plan de remediación + retest documentado, aceptado por auditor independiente.
Post-listamiento: pentest continuo
Cadencia mensual de retainer para mantener disclosure compliance post-IPO.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Compromisos con empresas brasileñas en fase de listamiento B3 y NYSE. Equipo ya operó cyber due diligence pre-IPO en fintech y healthtech.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — Pré-IPO
¿Cuándo empieza el pentest pre-IPO?
Idealmente 6-12 meses antes del roadshow. En ventana más corta (3-6 meses) es posible pero el scope debe ser priorizado.
¿SEC realmente exige disclosure en 4 días?
Sí, SK 1.05 (vigente desde dic/2023). Empresa listada en NYSE/Nasdaq tiene 4 días hábiles tras determinar materialidad. Sin runbook entrenado, es mortal.
¿Cuánto cuesta?
Compromiso exhaustivo pre-IPO: R$ 200-600k. Incluye pentest + Red Team + tabletop + apoyo al capítulo del prospecto.
¿Trabajan con banco coordinador?
Sí. Frecuentemente el coordinador (BTG, XP, Itaú BBA, Bradesco BBI, Goldman, JPM) pide evidencia específica.
/contacto
Reunión confidencial pre-IPO
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.