Si no encontramos nada, no pagas
Un pentest con cero riesgo financiero para ti. Auditamos tus sistemas con el mismo rigor que un proyecto tradicional, pero solo pagas por vulnerabilidades confirmadas, según su severidad.
¿Cómo funciona?
Pago por hallazgo es un modelo de pentesting donde solo pagas por las vulnerabilidades que realmente encontramos y confirmamos. No hay coste inicial, no hay precio fijo — solo una tabla de precios transparente basada en la severidad de cada hallazgo.
Definimos el alcance juntos, firmamos un acuerdo con la tabla de precios por severidad, y nos ponemos a trabajar. Si no encontramos nada, no pagas nada. Si encontramos problemas, pagas por hallazgo según las tarifas acordadas. Cada hallazgo viene con los mismos entregables de calidad que un pentest tradicional: pasos de reproducción detallados, evidencias y guía de remediación.
¿Por qué pago por hallazgo?
Cero riesgo para ti
Sin inversión inicial. Si tus sistemas son seguros, no pagas nada y ganas la tranquilidad de saber que han sido probados por profesionales.
Incentivos alineados
Solo cobramos cuando aportamos valor real. Nuestra motivación es encontrar cada vulnerabilidad que importa, no rellenar un informe.
Primer proyecto perfecto
Si nunca has contratado un pentest y no sabes qué esperar, este modelo te permite experimentar testing de seguridad profesional sin compromiso financiero.
Transparente y predecible
Sabes exactamente lo que cuesta cada hallazgo antes de empezar. Sin sorpresas, sin costes ocultos — solo una tabla clara de precio por severidad.
Precios por severidad
Cada vulnerabilidad confirmada se tarifica según su severidad, evaluada con el estándar de la industria CVSS v3.1. Las tarifas exactas se acuerdan antes de empezar el proyecto.
Ejecución remota de código, bypass de autenticación, vectores de brecha de datos completa.
Escalada de privilegios, exposición significativa de datos, fallos de inyección con impacto.
Cross-site scripting, divulgación de información, errores de configuración con impacto limitado.
Fugas de información menores, desviaciones de buenas prácticas, problemas de bajo impacto.
Acordamos un tope máximo antes de empezar, para que siempre sepas tu coste en el peor caso.
Alcance y reglas
- Definimos los sistemas objetivo y los límites juntos antes de empezar — igual que en un pentest tradicional.
- Se firma un acuerdo formal de alcance y tabla de precios antes de cualquier prueba.
- Las pruebas siguen metodologías OWASP, PTES y NIST — sin atajos.
- Los hallazgos duplicados o informativos no se cobran. Solo cuentan vulnerabilidades únicas y confirmadas.
- Recibes los mismos entregables que un pentest tradicional: resumen ejecutivo, informe técnico y soporte de remediación.
Preguntas frecuentes
¿Qué pasa si encontráis muchas vulnerabilidades?
El tope máximo que acordamos antes de empezar te protege. Aunque encontremos muchos problemas, tu coste total no superará el tope. Piensa en ello como el precio de un pentest tradicional al que solo llegas si hay hallazgos significativos.
¿La metodología es diferente a un pentest normal?
No. Aplicamos exactamente la misma metodología, herramientas y rigor. La única diferencia es el modelo de precios — la calidad del testing es idéntica.
¿Qué tipos de sistemas se pueden probar?
Aplicaciones web, APIs, infraestructura y entornos cloud. Acordamos el alcance específico durante la conversación inicial.
¿Quién decide la severidad de un hallazgo?
La severidad se evalúa usando CVSS v3.1, un estándar de la industria. Proporcionamos evidencias completas y pasos de reproducción para que puedas verificar cada evaluación. Si hay desacuerdo, lo discutimos de forma transparente.
¿Listo para probar tus sistemas sin riesgo?
Definamos un alcance y tabla de precios. Si no encontramos nada, no pagas.