Ir al contenido
  • Inicio
  • Empresa
  • Plataforma
  • Soluciones
    • IA SOC
    • Seguridad ofensiva
    • Inteligencia sobre amenazas
    • Gestión de vulnerabilidades
    • Cibergobernanza
  • Blog
  • Póngase en contacto con
  • ES
    • EN
    • PT
  • Sin acceso
  • Inicio
  • Empresa
  • Plataforma
  • Soluciones
    • IA SOC
    • Seguridad ofensiva
    • Inteligencia sobre amenazas
    • Gestión de vulnerabilidades
    • Cibergobernanza
  • Blog
  • Póngase en contacto con
  • ES
    • EN
    • PT
  • Sin acceso
  • Inicio /
  • Soluciones /
  • Seguridad ofensiva
  • SEGURIDAD DE OFICINAS Y SIMULACIÓN DE ADVERSARIOS

Ver tu red la forma en que lo hace un atacante — antes de que uno haga

Mercurius realiza Red Team dirigidos por humanos, pruebas de penetración y evaluaciones en la nube que no solo enumeran vulnerabilidades, sino que demuestran la ruta exacta que un adversario tomaría para llegar a sus bienes más preciados y cómo cerrarla.

  • OWASP · OSSTMM · MITRE ATT&CK
  • Pruebas manuales
  • BR · CL · US
Solicitar una evaluación de madurez

o

Mensaje a un especialista por WhatsApp
Ruta de ataque → Joyas de la corona EQUIPO ROJO
Reconocimiento externo TA0043 · activo expuesto Acceso Inicial TA0001 · web exploit Priv. Escalation TA0004 · misconfig Movimiento lateral TA0008 · reutilización de credenciales Joyas de la Corona
5 pasos · 0 alertas activadas ● objetivo alcanzado

100%

Interacciones dirigidas por el manual y operadas por el usuario

3+

Marcos de trabajo a los que se mapea cada prueba

3

Países: Brasil, Chile, EE. UU.

PT·EN·ES

Idiomas de informes y descriefing
  • DEFINICIÓN

¿Qué es la seguridad ofensiva?

Seguridad ofensiva es la práctica de probar las defensas de una organización emulando adversarios reales: encontrar, explotar y encadenar activamente vulnerabilidades para demostrar lo que un atacante podría lograr realmente. A diferencia de un escaneo de vulnerabilidades, que enumera las debilidades de forma aislada, la seguridad ofensiva demuestra rutas de ataque: cómo un activo expuesto conduce al acceso inicial, la escalada de privilegios, el movimiento lateral y, en última instancia, a un resultado crítico para el negocio. Abarca pruebas de penetración (alcance, profundidad técnica) y Red Teaming Simulación de adversarios impulsada por objetivos que también pone a prueba la detección y la respuesta.

Equipo Rojo
Prueba de penetración
Simulación del Adversario
MITRE ATT&CK
OWASP
OSSTMM
Mapeo de rutas de ataque
Escalada de privilegios
Movimiento lateral
  • QUÉ ENTREGAMOS

Un programa de gobernanza. Cuatro trabajos realizados.

Desde el liderazgo ejecutivo hasta la diapositiva que lee su junta directiva — cada capacidad funciona de forma independiente o como un programa único y mapeado.

  • 01 / EQUIPO ROJO

Equipo Rojo y Simulación de Adversario

Operaciones enfocadas en el sigilo y orientadas a objetivos que emulan a un actor de amenaza real de principio a fin, probando no solo sus controles, sino si su equipo detecta y responde antes de que se alcance un objetivo de negocio definido.

MITRE ATT&CK
Detección y respuesta
Incumplimiento asumido
  • Cuando necesites probar la resiliencia, no solo la exposición
  • 02 / PRUEBA DE PENETRACIÓN

Prueba de penetración

Pruebas internas y externas de redes, aplicaciones e infraestructura con profundidad manual que los escáneres no detectan. Los hallazgos vienen con pruebas de explotación y una guía de remediación en la que sus ingenieros pueden actuar.

OSSTMM
OWASP
Interno y externo
  • Cuando necesite pruebas listas para auditoría (PCI DSS, ISO 27001, LGPD)
  • 03 / SEGURIDAD DE APLICACIONES

Seguridad de aplicaciones y API

Evaluaciones de seguridad para aplicaciones web, aplicaciones móviles y API: fallos en la lógica empresarial, brechas de autenticación y autorización, y los riesgos de API que las herramientas automatizadas suelen pasar por alto.

OWASP Top 10
OWASP API Top 10
Lógica de negocio
  • Cuando se envía software y no se pueden enviar vulnerabilidades
  • 04 / NUBE

Informes de la junta directiva

Identifica y explota configuraciones erróneas y privilegios excesivos en AWS, Azure y Google Cloud — las rutas de IAM, exposición y movimiento lateral que convierten una configuración débil en un compromiso total.

AWS
Azure
Google Cloud
Gestión de Identidad y Acceso
  • Cuando tu perímetro es ahora tu configuración de nube
  • CÓMO FUNCIONA

Un compromiso disciplinado, empezar a reexaminar

Cada compromiso ofensivo sigue un proceso definido y de bajo riesgo acordado con tu equipo antes de que se envíe un solo paquete.

01

Alcance y reglas

Objetivos, metas, técnicas permitidas, contactos de escalada y ventanas de tiempo seguras acordados por escrito.

02

Reconocer

Mapear la superficie de ataque real: activos expuestos, identidades y puntos de entrada que un adversario encontraría.

03

Explotación

Encontrar, explotar y encadenar hallazgos para demostrar el impacto, con un registro de actividad en vivo y un procedimiento de detención definido.

04

Informe

Informes ejecutivos y técnicos, hallazgos clasificados por impacto, mapeados a sus marcos de cumplimiento.

05

Rehacer la prueba

Repetición de prueba gratuita para confirmar la retención de correcciones — y una sesión informativa directa con tu equipo de seguridad.

 
  • LO QUE RECIBES

Hallazgos en los que tanto la junta directiva como los ingenieros pueden actuar

  • Informe ejecutivo — riesgo en lenguaje empresarial, listo para la junta directiva y la revisión de ciberseguros.
  • Informe técnico — pasos de reproducción, evidencia y gravedad para cada hallazgo.
  • Remediación priorizada — qué arreglar primero, por explotabilidad e impacto.
  • Mapeo de cumplimiento — hallazgos alineados con PCI DSS, ISO 27001, SOC 2 y LGPD.
  • Reevaluar y debatir — validación que arregla correcciones, más una sesión en vivo con tu equipo.
Resumen de Hallazgos Contrato #MS-OS
Interfaz de administración expuesta → RCE CRÍTICO
Sobreprivilegio de IAM (nube) ALTO
Autorización a nivel de objeto rota (API) ALTO
Reutilización de credenciales entre segmentos MEDIO
Ruta de ataque a las joyas de la corona CONFIRMADO
  • ¿POR QUÉ MERCURIO

Diseñado para la ofensiva, no un proveedor de casillas de verificación

La mayoría de los proveedores adjuntan una prueba de penetración a una práctica defensiva. Nosotros partimos de la perspectiva del atacante. Eso significa hallazgos que reflejan cómo ocurren las brechas en realidad, validados por personas que han gestionado la seguridad en ambos lados.

Nuestros líderes y operadores trabajan en Brasil, Chile y Estados Unidos, lo que le permite obtener fluidez regulatoria regional y reportes en el idioma que su equipo y junta directiva realmente utilizan.

"Una lista de vulnerabilidades te dice qué está roto. Una ruta de ataque le dice a la junta directiva lo que está en juego, y esa es la conversación que hace que las cosas se arreglen."
Marcos Reis
CEO, Mercurius · ex CISO para América Latina, Itaú
  • Preguntas frecuentes

Lo que los líderes de seguridad preguntan antes de involucrarse

¿Cuál es la diferencia entre una prueba de penetración y un compromiso de equipo rojo?

Una prueba de penetración es una evaluación con alcance y tiempo definidos que encuentra y explota tantas vulnerabilidades como sea posible en un objetivo determinado. Un compromiso de equipo rojo (Red Team) está impulsado por objetivos y emula adversarios: prueba si su detección y respuesta pueden impedir que un atacante decidido alcance un resultado comercial específico, utilizando el sigilo y la cadena de ataque completa. Las pruebas de penetración miden la exposición; los equipos rojos miden la resiliencia.

¿Un test de penetración satisface los requisitos de PCI DSS, ISO 27001 o LGPD?

Sí. Las pruebas de penetración independientes son un control explícito en PCI DSS, respaldan los requisitos de medidas técnicas de LGPD y GDPR, y proporcionan evidencia de auditoría para ISO 27001 y SOC 2. Formateamos los informes para mapear cada hallazgo al marco relevante, de modo que se mantengan en auditorías y revisiones de juntas directivas.

¿Son sus pruebas manuales o automáticas?

Guiado por humanos. Se utilizan escáneres automatizados para la cobertura, pero cada compromiso es dirigido por operadores experimentados que encadenan hallazgos, eluden controles y reproducen el comportamiento real de un atacante. Recibe hallazgos validados y explotables con prueba de impacto, no una exportación de escáner llena de falsos positivos.

¿Qué recibimos al final de un compromiso?

Un informe ejecutivo para la junta directiva y un informe técnico para sus ingenieros, cada hallazgo calificado por su impacto comercial y explotabilidad, pasos de reproducción, orientación de remediación priorizada y una reevaluación complementaria para confirmar las correcciones. También realizamos una reunión informativa directamente con su equipo de seguridad.

¿Cómo protegen nuestro entorno de producción durante las pruebas?

Cada intervención comienza con un acuerdo formal de alcance y reglas de intervención que define los objetivos, las técnicas permitidas, los contactos de escalada y las ventanas seguras. Los operadores siguen las metodologías OSSTMM y OWASP, mantienen un registro de actividad en vivo y tienen un procedimiento de detención definido. Las acciones sensibles se coordinan de antemano con su equipo.

¿Por qué elegir Mercurius para seguridad ofensiva en Latinoamérica?

Mercurius está diseñado para ser ofensivo, operando en Brasil, Chile y Estados Unidos con entregas en portugués, inglés y español. Nuestro liderazgo incluye a un ex CISO para América Latina en uno de los bancos más grandes de la región, por lo que las operaciones son dirigidas por personas que entienden las expectativas regulatorias y de la junta directiva en toda la región.

  • EMPEZAR

Encuentra tu ruta de ataque antes de que alguien más lo haga

Cuéntanos tu entorno y objetivo. Volveremos con una propuesta de alcance y un compromiso recomendado, sin obligación ni presión.

  • Respuesta en 1 día hábil
  • NDA primero
Estrellas fugaces transparentes

Ecosistema

Un ecosistema de ciberseguridad unificado

Mercurius integra las mejores plataformas de ciberseguridad para ofrecer operaciones de seguridad automatizadas y basadas en inteligencia.

Refuerce hoy su ciberresiliencia

Nuestro equipo ayuda a las organizaciones a detectar antes las amenazas, responder con mayor rapidez y reducir los riesgos cibernéticos mediante operaciones de seguridad basadas en inteligencia.

Hable con un especialista
  • Plataforma
  • Soluciones
  • Inteligencia sobre amenazas
  • Empresa
  • Recursos

© Mercurius. Todos los derechos reservados. contact@mscyber.tech