Buscar:

Qué hacemos


Ayudamos a equipos de ingeniería a prevenir vulnerabilidades desde el código. Combinamos auditorías técnicas y formación práctica para incorporar seguridad en todo el ciclo de vida del software (SDLC) sin frenar la entrega.


Auditorías de desarrollo seguro


  • Revisión de código (manual + asistida) para detectar patrones inseguros y antipatrones que suelen pasar bajo el radar de SAST/DAST.
  • Análisis estático y dinámico integrado en CI/CD con reglas ajustadas a tu stack.
  • Pruebas de intrusión focalizadas sobre APIs, frontends y servicios internos.

Marcos de referencia que seguimos (sin inventar):


  • OWASP: Top 10, ASVS, API Security Top 10, MASVS (apps móviles), SAMM (madurez).
  • NIST: SSDF (SP 800-218) para integrar seguridad en el desarrollo; NIST SP 800-53 y SP 800-115 como guías de controles y pruebas técnicas.
  • España (CCN-CERT/CCN): alineamiento con Guías CCN-STIC y Esquema Nacional de Seguridad (ENS) cuando aplica en organismos o proveedores del sector público.

Formación práctica (para devs, QA y DevOps)


Talleres orientados a explotar y arreglar vulnerabilidades reales en tu propio stack. Entre otros:


  • Inyección SQL (ORMs y consultas nativas, parámetros, migraciones).
  • XSS (reflejado, almacenado, DOM-Based) y CSRF.
  • SSRF, RCE, command injection y path traversal.
  • Deserialización insegura (Java, .NET, Node, Python).
  • Gestión de autenticación y sesiones (JWT, cookies, OAuth 2.0/OIDC).
  • Buffer overflow y exploits de memoria (C/C++).
  • Inyección de DLL y abuso de carga dinámica en Windows.
  • Seguridad de APIs (rate limiting, validación de esquemas, idempotencia) y GraphQL.
  • Secretos y supply chain (Git leaks, CI, dependencias).
  • Seguridad en contenedores y Kubernetes (políticas, sandboxing, runtime).

Cada módulo incluye: ejemplo vulnerable, explotación guiada, técnicas de detección (logs, trazas, escáneres) y mitigación. Opcionalmente, laboratorio aislado y ejercicios en base de su código.

Trayectoria


Más de 25 años programando en diversos lenguajes y plataformas. He desarrollado y auditado sistemas en arquitecturas de tres capas siguiendo el modelo Microsoft DNA (presentación, lógica de negocio y datos), antecedente de las arquitecturas n-capa actuales. Microsoft Distributed interNet Applications Architecture.