Ir al contenido principal

Llamamiento a todos los desarrolladores, diseñadores, especialistas en DevOps y creativos: sus habilidades merecen tarifas del 4%, no del 20%. Clientes: obtengan calidad, paguen lo justo y manténganse protegidos.

Auditoría de seguridad y pruebas de penetración

Professional Security Audit & Penetration Testing services with guaranteed quality and timely delivery. Expert freelancers ready to bring your project to life.

Ciberseguridad
3
Ofertas disponibles
$350.00
Precio inicial
N/A
Días promedio de entrega
Limpiar

Ofertas disponibles (3)

Ольга Петренко
Freelancer

Auditoría Profesional de Seguridad y Pruebas de Penetración

<p>Servicios de auditoría de seguridad y pruebas de penetración de alta calidad con entrega rápida. Años de experiencia en la industria.</p>

Desde $92.00
3 días de entrega
Ver detalles
H
Hans Wagner
Freelancer

Pruebas de penetración (aplicación web)

<p>Identifica vulnerabilidades de seguridad antes de que los hackers hagan pruebas éticas de hacking para las defensas de tu aplicación web. Este trabajo de pruebas de penetración incluye: consulta de definición del alcance que define el alcance de las pruebas, reglas de enfrentamiento, direcciones IP y áreas prohibidas, reconocimiento y rastreo recopilando información sobre el objetivo utilizando técnicas OSINT y pasivas, y documentación del plan de prueba que detalle la metodología, herramientas y calendario de prueba. La evaluación de vulnerabilidades incluye: escaneo automatizado utilizando herramientas como Burp Suite, OWASP ZAP o Nessus identificando vulnerabilidades comunes, pruebas manuales realizando pruebas prácticas de lógica de negocio, autenticación y flujos de autorización, y mapeo de superficies de ataque que documente todos los puntos de entrada (formularios, APIs, subidas de archivos, parámetros) para su prueba. Las pruebas de autenticación y gestión de sesiones incluyen: intentos de fuerza bruta probando formularios de inicio de sesión para limitar la velocidad y protección contra bloqueo de cuentas, bloqueo de credenciales intentando filtrar credenciales por brechas de datos comprobando la reutilización de contraseñas, secuestro de sesiones intentando robar o predecir tokens de sesión, tiempo de espera de sesión verificando que las sesiones expiran tras inactividad evitando accesos no autorizados, y fallos de restablecimiento de contraseña probando el flujo olvidado de contraseña para vulnerabilidades en la toma de control de cuentas. Las pruebas de autorización y control de acceso incluyen: escalada de privilegios intentando acceder a funciones de mayor privilegio desde cuentas de bajo privilegio, referencias directas inseguras de objetos que acceden a datos de otros usuarios manipulando IDs en URLs o solicitudes, navegación forzada accediendo a páginas restringidas adivinando URLs, escalada horizontal de privilegios accediendo a recursos del mismo nivel de privilegio pero con diferentes usuarios, y escalada vertical de privilegios obteniendo acceso de administrador desde la cuenta de usuario. Las pruebas de validación de entrada incluyen: inyección SQL que intenta inyectar comandos SQL en campos de entrada que acceden o modifican la base de datos, scripting cross-site (XSS) que inyecta JavaScript para robar cookies o realizar acciones en nombre del usuario, inyección de comandos ejecutando comandos del sistema mediante entradas vulnerables, inyección XML/XXE que explota parsers XML para leer archivos o realizar ataques SSRF, y pruebas de inyección LDAP/NoSQL en almacenes de datos no SQL para detectar vulnerabilidades de inyección. Las pruebas de lógica de negocio incluyen: eludir flujos de trabajo que eluden los flujos de proceso previstos (por ejemplo, saltarse el paso de pago), condiciones de carrera que explotan problemas de tiempo en solicitudes concurrentes, manipulación de precios que modifica precios o cantidades en el carrito de la compra, enumeración de cuentas que determina nombres de usuario o direcciones de correo electrónico válidos, y abuso de funciones que abusan de funciones legítimas para fines no intencionados. Las vulnerabilidades en la subida de archivos incluyen: subida maliciosa de archivos que intentan subir web shells o archivos ejecutables, eludir la validación de tipos de archivo que elude restricciones de tipo de archivo mediante suplantación de contenido o trucos de extensiones, recorrido de rutas que suben archivos a ubicaciones arbitrarias que pueden sobrescribir archivos críticos, y límites de tamaño de archivo que prueban DoS mediante cargas de archivos grandes. Las pruebas de seguridad de API incluyen: pruebas REST de API que examinan autenticación, autorización y validación de entrada en endpoints API, introspección GraphQL que explota esquemas expuestos descubriendo campos o consultas ocultas, pruebas de limitación de velocidad de API para ausencia de throttling que permiten scraping o DoS, asignación masiva que modifica propiedades de objetos que no están pensadas para ser editables por el usuario, y pruebas de versionado de API obsoletas o antiguas para detectar debilidades. Las vulnerabilidades del lado del cliente incluyen: XSS basado en DOM que explota vulnerabilidades JavaScript en código del lado del cliente, falsificación de solicitudes entre sitios (CSRF) que obliga al usuario a ejecutar acciones no deseadas, clickjacking engañando a los usuarios para que hagan clic en elementos ocultos, redirección abierta explotando redirecciones de URL para phishing, y pruebas de seguridad HTML5 con almacenamiento local, postMessage y CORS para problemas de seguridad. Las pruebas de criptografía incluyen: cifrado débil que identifica el uso de algoritmos obsoletos (MD5, SHA1, DES), pruebas de configuración SSL/TLS para cifrados débiles, problemas de certificados o vulnerabilidades de protocolo, comprobación de datos sensibles para contraseñas, tokens o PII en respuestas o registros, y números aleatorios inseguros que prueban la generación de números aleatorios para garantizar su predictibilidad. Las pruebas de infraestructura incluyen: errores de configuración del servidor que identifican servicios innecesarios, credenciales predeterminadas o divulgación de información, comprobación de cabeceras de seguridad HTTP para CSP, HSTS, implementación de X-Frame-Options, vulnerabilidades de servidores web que prueban Apache, Nginx, IIS para exploits conocidos, y errores de configuración en contenedores/nube si procede, pruebas de Docker, Kubernetes o servicios en la nube para detectar brechas de seguridad. La cobertura Top 10 de OWASP incluye: fallos de inyección SQL, comandos, LDAP, pruebas de inyección de XPath, gestión de sesiones de autenticación fallida, MFA, debilidades en almacenamiento de credenciales, cifrado de exposición de datos sensibles, HTTPS, verificación de protección de datos, ataques XXE de entidades externas XML contra analizadores XML analizadores, autorización de control de acceso y escalada de privilegios fallidos, servidor de configuración incorrecta de seguridad, aplicación, revisión de configuración de bases de datos, XSS reflejado, almacenado, scripting cross-site basado en DOM, desserialización insegura, explotación de la serialización de objetos para RCE, uso de componentes con vulnerabilidades, bibliotecas y dependencias obsoletas, y capacidades insuficientes de monitorización, monitoreo y respuesta. La ingeniería social (opcional) incluye: simulación de phishing, pruebas de susceptibilidad de empleados a correos electrónicos de phishing, pretextuación de intentar extraer información mediante suplantación, seguridad física si está en el lugar, prueba de acceso a la acreditación, seguimiento de seguimientos o búsqueda en contenedores. La presentación de informes incluye: resumen ejecutivo, visión general de alto nivel de los hallazgos y riesgos empresariales para partes interesadas no técnicas, hallazgos técnicos, descripciones detalladas de vulnerabilidades con evidencia (capturas de pantalla, solicitud/respuesta), calificaciones de gravedad, puntuación CVSS y clasificación prioritaria (Crítica, Alta, Media, Baja), orientación de remediación, recomendaciones específicas para corregir cada vulnerabilidad con ejemplos de código si corresponde, y mapeo de cumplimiento relacionado con los hallazgos con PCI DSS. HIPAA, SOC 2 u otros frameworks relevantes. El soporte para la remediación incluye: llamada de consulta con desarrolladores que discute hallazgos con el equipo de desarrollo y responde preguntas, re-prueba tras correcciones para verificar las vulnerabilidades correctamente corregidas en un plazo de 30-60 días, y revisión de código si se solicita, revisión de parches antes del despliegue para asegurar que las correcciones no introduzcan nuevos problemas. Los entregables incluyen: informe de pruebas de penetración, documento completo con hallazgos, pruebas y pasos de remediación, resultados de exportación de bases de datos de vulnerabilidades en CSV o JSON para su importación a sistemas de seguimiento, prueba de concepto de datos de vulnerabilidades que demuestren vulnerabilidades para desarrolladores, y carta de certificado de seguridad que atestigua la finalización de pruebas y postura de seguridad si está limpia. El cumplimiento y la ética incluyen: pruebas autorizadas que realicen todas las actividades con permiso por escrito y alcance definido, divulgación responsable que informe privada de hallazgos tras la divulgación coordinada de vulnerabilidades, protección de datos que no extraiga ni retenga datos sensibles de clientes descubiertos, y cumplimiento legal conforme a CFAA, GDPR y otras leyes aplicables. Perfecto para empresas SaaS que se preparan para auditorías o certificaciones de seguridad (SOC 2, ISO 27001), aplicaciones fintech que gestionan datos financieros que requieren cumplimiento PCI DSS, PHI de procesamiento de aplicaciones sanitarias que requieren validación de seguridad HIPAA, y empresas que realizan evaluaciones anuales de seguridad o diligencia debida previa a la adquisición.</p>

Ver detalles
Анна Морозенко
Freelancer

Auditoría y Endurecimiento de la Seguridad de Sitios Web

<p>Protege tu sitio web de hackers, malware y brechas de datos mediante una evaluación exhaustiva de la seguridad e implementación de las mejores prácticas. Este servicio de seguridad incluye: análisis inicial de seguridad utilizando herramientas automatizadas (Sucuri, Wordfence, Qualys) identificando vulnerabilidades, malware o problemas de seguridad, pruebas manuales de penetración que intentan vectores de ataque comunes (inyección SQL, XSS, CSRF), encontrar debilidades, escaneos automáticos fallan, y evaluación de riesgos priorizar vulnerabilidades por gravedad y posible impacto empresarial. La detección y eliminación de malware incluye: escaneo de integridad de archivos comparando archivos web con versiones limpias, detectando modificaciones no autorizadas, comparación de firmas de malware identificando cepas de malware conocidas o puertas traseras en el código, revisión de código inspeccionando manualmente archivos sospechosos en busca de código ofuscado o vulnerabilidades ocultas, y eliminación de malware limpiando archivos infectados e identificando puntos de entrada que evitan la reinfección. El parche de vulnerabilidades incluye: actualizaciones de CMS actualizando WordPress, Joomla, Drupal u otro CMS a la última versión segura, actualizaciones de plugins/temas que parchean todas las extensiones a versiones actuales que cierran brechas de seguridad conocidas, actualizaciones de dependencias que aseguran que librerías como jQuery, PHP o paquetes Node estén vigentes, y correcciones de código personalizado que corrigen problemas de seguridad en funciones o integraciones desarrolladas a medida. El endurecimiento del control de acceso incluye: política de contraseñas estricta que haga cumplir contraseñas complejas y autenticación multifactor para cuentas de administrador, auditoría de permisos de usuario que revise los roles de usuario que elimine privilegios innecesarios siguiendo el principio de privilegio mínimo, limpieza de cuentas inactivas que deshabilite cuentas antiguas de empleados o contratistas anteriores, y ofuscación de URL de administrador que cambie URLs de inicio de sesión predeterminadas que dificulten los ataques automáticos. La seguridad de servidores y alojamiento incluye: configuración SSL/TLS instalando o actualizando certificados SSL que aseguran HTTPS con cifrado fuerte (TLS 1.2+), configuración de cortafuegos que implemente cortafuegos de aplicaciones web (WAF) bloqueando tráfico malicioso antes de llegar al sitio web, permisos de archivo para establecer permisos correctos que eviten modificaciones no autorizadas y indexación de directorios que deshabilita la navegación de directorios ocultando la estructura de archivos frente a atacantes. El endurecimiento específico de WordPress (si corresponde) incluye: wp-config.php asegurar el archivo de configuración con claves de seguridad, desactivar la edición de archivos y cambiar los prefijos de la base de datos, desactivar el XML-RPC si no es necesario prevenir ataques de fuerza bruta y DDoS a través de este endpoint, protección de inicio de sesión que implemente limitación de velocidad, CAPTCHA o listas blancas de IP para prevenir ataques de fuerza bruta, y restricciones en el área administrativa que limiten el acceso por IP o requieran autenticación adicional. La seguridad de la base de datos incluye: prevención de inyección SQL que valida y sanitiza todas las consultas a la base de datos que impida el acceso no autorizado a datos, seguridad de credenciales de base de datos con contraseñas únicas fuertes almacenadas fuera de la raíz web, prefijo de base de datos que cambia el prefijo de tabla desde el predeterminado que dificulta los ataques automáticos, y cifrado de respaldo que cifra respaldos de bases de datos que protege datos sensibles de los clientes. La implementación de copias de seguridad incluye: copias de seguridad automatizadas que configuran copias de seguridad diarias o semanales en ubicaciones externas (almacenamiento en la nube, servidor remoto), pruebas de respaldo que restauran periódicamente copias de seguridad en el entorno de staging para verificar la integridad, política de retención que establece rotaciones de respaldo para mantener entre 30 y 60 días asegurando opciones de recuperación, y plan de recuperación ante desastres que documenta los procedimientos de restauración para una recuperación rápida tras una brecha. La monitorización de seguridad incluye: monitorización en tiempo activo, configuración de alertas para inactividad en sitios web, detección de ataques o fallos técnicos, monitorización de cambios de archivos, seguimiento de modificaciones en archivos principales que alertan sobre cambios no autorizados, escaneo de malware, programación de escaneos regulares, detección temprana de infecciones y monitorización de listas negras, comprobación de si tu sitio aparece en Google, Norton u otras listas negras que afectan a la reputación. Las cabeceras y políticas incluyen: encabezados de seguridad que implementan CSP, X-Frame-Options, X-XSS-Protection que previenen clickjacking y ataques XSS, configuración HSTS que fuerza conexiones HTTPS para evitar ataques man-in-the-middle, política de referencia que controla la información enviada a terceros protegiendo la privacidad del usuario, y política de características que desactiva funciones innecesarias del navegador que reduce la superficie de ataque. La revisión de integración de terceros incluye: auditoría de seguridad de API de claves API, implementaciones OAuth que aseguran comunicación segura con servicios externos, pasarela de pago que valida el cumplimiento PCI DSS para procesamiento de pagos protegiendo datos de tarjetas de clientes, seguimiento de scripts que revisan análisis, anuncios o scripts de redes sociales para riesgos de seguridad o fugas de datos, y configuración CDN que asegure la red de entrega de contenido para prevenir el envenenamiento o secuestro de caché. La seguridad del código incluye: validación de entrada que implemente validación lado servidor para todas las entradas del usuario que impida la inyección de código, codificación de salida que escape en HTML, JavaScript, contextos SQL que previenen ataques XSS, protección CSRF que añade tokens a formularios que previenen falsificaciones de solicitudes entre sitios, y seguridad de sesión que protege cookies de sesión con flags httpOnly, secure y SameSite. El cumplimiento y las normas incluyen: preparación para el RGPD si procede, garantizar el consentimiento de cookies, la política de privacidad y las medidas de protección de datos, PCI DSS en el procesamiento de pagos, validación del cumplimiento de los estándares de seguridad de la industria de tarjetas, HIPAA si se maneja datos de salud, implementación de cifrado y controles de acceso que protejan la PHI, y las mejores prácticas del sector siguiendo las directrices OWASP Top 10 que abordan los riesgos más críticos de seguridad web. La documentación de seguridad incluye: informe de vulnerabilidades que documente todos los problemas encontrados con calificaciones de gravedad y pasos de remediación, lista de verificación de endurecimiento que liste todas las medidas de seguridad implementadas con estado antes/después, plan de respuesta a incidentes que proporcione procedimientos para responder a brechas o compromisos de seguridad, y política de seguridad que redacte directrices de seguridad para tu equipo o desarrolladores que mantengan la seguridad. La revisión posterior incluye: verificación de reescaneo y análisis de seguridad tras las correcciones que confirman vulnerabilidades resueltas, certificado de seguridad que emite la insignia o sello de seguridad para la web si se limpia la confianza del cliente, monitorización de 30 días que incluye monitorización durante 30 días tras el endurecimiento para detectar cualquier problema nuevo, y revisión trimestral opcional de auditoría de seguridad continua cada 3-6 meses manteniendo la protección. La formación y la educación incluyen: formación en seguridad para educar a tu equipo en higiene de contraseñas, conciencia sobre phishing y prácticas seguras, mejores prácticas administrativas documentando procedimientos para actualizaciones, copias de seguridad y gestión de accesos, y formación en procedimientos de incidentes para reconocer y responder a incidentes de seguridad. Perfecto para sitios de comercio electrónico que protegen la información de pago y personal de los clientes, sitios de membresía que protegen cuentas de usuario y contenido privado, sitios web empresariales que mantienen la confianza y evitan listas negras o hackeos, y agencias que gestionan los sitios web de los clientes asegurando que todas las propiedades sean seguras y cumplan con las normativas.</p>

Ver detalles

Consentimiento de cookies

Utilizamos cookies para garantizarle la mejor experiencia en nuestro sitio web. Las cookies esenciales están siempre activas. Leer la política de privacidad

Cookies esenciales (siempre activas) Requerido

  • freela-session: Sesión Laravel para autenticación y gestión de estados
  • XSRF-TOKEN: Token de protección CSRF
  • cookie_consent: Almacena sus preferencias de cookies

Cookies no esenciales

  • theme: Almacena tus preferencias de modo oscuro/luz