Pentest para Fintech
Seguridad ofensiva de punta para fintech a escala — desde PSPs hasta billeteras digitales, BaaS e infraestructura PIX.
Por qué ahora
El dolor real
Toda fintech es objetivo. Fraude, ATO, money mule, scraping, abuso de cashback, raspado de saldo — el atacante ya está ejecutando playbooks contra ti. La diferencia está en descubrir el vector antes que él.
Regulación aplicable
/superficie-de-ataque
Vectores que probamos en fintech
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
API PIX y DICT
Auditoría de flujos PIX cobranza, devolución, MED y abuso de clave/QR Code.
Onboarding y KYC
Bypass de prueba de vida, deepfake, OCR de documento y fraudes en PFA.
Billetera digital
Race conditions en retiro, sobregiro inducido, transferencia negativa.
Open Finance
Validación de consentimiento, mTLS, FAPI 1.0 Advanced, ITP/AISP.
App móvil
Reverse engineering, root/jailbreak detection, certificate pinning, secrets en release.
Backoffice y BPO
Acceso indebido por operadores, abuso interno, fraude por colaborador.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Cliente OpenFinance/OpenBanking; experiencia en entornos regulados por BACEN.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — Fintech
¿Hacen pentest FAPI?
Sí. Cubrimos FAPI 1.0 Advanced (Brasil), validación de mTLS, JARM, PAR y validación de consentimiento por scope.
¿Cuánto dura un pentest fintech?
Entre 2 y 6 semanas según alcance. Billetera + API + móvil generalmente 4 semanas con 2 pentesters.
/contacto
¿Listo para un pentest serio en fintech?
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.