Pentesting externo a despacho de abogados

Sector

Servicios jurídicos · despacho de tamaño medio · 30-60 profesionales · cartera con clientes corporativos y casos sensibles.

Situación inicial

Tras la solicitud de un cliente corporativo, el despacho debía aportar evidencia de pruebas de penetración recientes sobre sus activos expuestos a internet. La infraestructura combinaba portal de cliente desarrollado a medida, un gestor documental SaaS y servicios de correo y videoconferencia heredados de la primera digitalización.

Aproximación

Realizamos pentesting externo en formato grey-box con alcance acotado al portal cliente, infraestructura perimetral y subdominios identificados. Aplicamos metodología basada en OWASP Top 10 para la capa web y revisamos configuración TLS, exposición de servicios administrativos y políticas de gestión de sesiones. Cada hallazgo fue verificado manualmente, clasificado por CVSS y acompañado de recomendación específica al stack tecnológico del cliente.

Resultado

Identificamos 12 vulnerabilidades válidas (2 críticas, 4 altas, 6 medias-bajas) y entregamos un plan de remediación priorizado con dueño asignado y plazo estimado por hallazgo. El despacho cerró las dos críticas en 72 horas y completó el resto en seis semanas.

Aprendizaje

Un pentest útil no es el que encuentra más hallazgos, sino el que entrega un plan de remediación que la organización puede ejecutar.

Tiempo y esfuerzo

3-4 semanas · 60-80 horas de consultoría · informe técnico + plan remediación + reunión cierre.