Pentest para Aseguradoras de Salud
Auditoría de seguridad en portales de afiliados, integraciones TISS y plataformas de telemedicina.
Por qué ahora
El dolor real
Las aseguradoras manejan datos ultrasensibles (CIE, historial, exámenes) de millones de afiliados. Una fuga puede disparar multas de ANS, LGPD y demandas colectivas — además de pérdida de credibilidad imposible de recuperar.
Regulación aplicable
/superficie-de-ataque
Vectores que probamos en aseguradoras de salud
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Portal del afiliado
Acceso indebido a credencial, exámenes y autorización de procedimientos de otros usuarios.
App móvil
Análisis estático y dinámico del app iOS/Android, certificate pinning, almacenamiento local.
API TISS
Auditoría de integraciones XML/REST con prestadores y validación de firma digital.
Telemedicina
Privacidad de consulta por video, almacenamiento de receta e historia clínica.
Red de prestadores
Pruebas del portal del prestador y segregación de datos entre prestadores.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Experiencia en entornos regulados por ANS y adecuación a normativos de salud suplementaria.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — Aseguradoras de Salud
¿Cubren el estándar TISS?
Sí. Evaluamos las guías TISS, integridad de la firma digital y seguridad de la comunicación operadora-prestador.
¿Es posible hacer pentest sin afectar la operación?
Sí. Trabajamos con entorno de homologación espejado de producción y ventanas acordadas para pruebas que toquen el entorno real.
/contacto
¿Listo para un pentest serio en aseguradoras de salud?
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.