Pentest para Energía y Utilities (OT/SCADA)
Seguridad ofensiva en entornos OT, SCADA, smart grid e infraestructura crítica energética.
Por qué ahora
El dolor real
Generadoras, transmisoras y distribuidoras están en la lista de objetivos prioritarios de actores estado-nación. Un ataque a SCADA puede dejar una ciudad sin luz — y la regulación ONS/ANEEL no perdona a quien fue sorprendido sin protección.
Regulación aplicable
/superficie-de-ataque
Vectores que probamos en energía y utilities
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
SCADA / DCS
Auditoría de Modbus, DNP3, IEC 60870-5, OPC-UA. Segmentación Purdue Level 2/3.
RTU y PLC
Análisis de firmware, autenticación débil, default credentials, comunicación en claro.
Smart meter
AMI, comunicación PLC/RF, manipulación de lectura, fraude por fin de medición.
Subestación digital
IEC 61850, GOOSE, Sampled Values, segregación de bus.
Ingeniería social vía OT
Phishing dirigido a operadores e ingenieros de campo.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Equipo con formación en IEC 62443 y SP 800-82.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — Energía y Utilities
¿Tocan producción OT?
No sin entorno de homologación. Trabajamos primero en réplica/simulador y solo tocamos producción con ventana aprobada por ingeniería de operación.
¿Atienden ONS/ANEEL?
Sí. Cubrimos los procedimientos de red y la REH 22/2022 de ANEEL para el sector eléctrico.
/contacto
¿Listo para un pentest serio en energía y utilities?
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.