Pentest para Bancos y Cooperativas de Crédito
Red Team y pentest de altísima complejidad para instituciones financieras — internet banking, ATM, core bancario y SWIFT.
Por qué ahora
El dolor real
Los bancos no admiten 'un problema'. Un solo hallazgo en producción puede ser noticia, abrir proceso administrativo en BACEN y trabar lanzamientos. Pentest superficial no cabe aquí — es simulación realista de adversario.
Regulación aplicable
/superficie-de-ataque
Vectores que probamos en bancos y cooperativas
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Internet banking PF/PJ
Manipulación de transferencia, fraude en firma digital, bypass de OTP.
Core bancario
Auditoría de integraciones con mainframe, segregación por sucursal y rol.
SWIFT y corresponsales
Hardening de la red SWIFT, segregación de operadores y CSP.
Cajero automático (ATM)
Jackpotting, black box, ataque físico y lógico al Windows del ATM.
Tarjetas y adquirencia
Tokenización, EMV, PIN block, autorización y reverso.
Red Team completo
Simulación adversarial con objetivos definidos: 'transferir R$ X de una cuenta a otra sin ser detectado'.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Caixa Econômica Federal — reconocidos como mejor pentest técnico en evaluación competitiva. Banco BMG.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — Bancos y Cooperativas
¿Hacen Red Team de verdad?
Sí. Operamos con C2 propio (Cobalt Strike, Mythic, Sliver), payloads custom, OPSEC adecuada y cadena de TTPs mapeada en MITRE ATT&CK.
¿Cómo manejan la confidencialidad?
NDA obligatorio, comunicación por canal cifrado (Signal/Element), entrega vía portal propio, retención de datos cero al cierre.
/contacto
¿Listo para un pentest serio en bancos y cooperativas?
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.