Hay una diferencia real entre hacer un pentest y estar siendo probado todo el tiempo. El primero te da una foto — nítida el día que termina, desteñida unas semanas después. El segundo te da la película. Y es en la película donde aparecen las cosas interesantes.
Hace un tiempo venimos corriendo esa película — el Pentesting Continuo (PTaaS) con Deep Argus — sin tocar pausa nunca. Decidimos abrir los números. Sin objetivos, sin clientes, sin nombres de herramientas: solo lo que le importa a quien decide sobre seguridad.
Primero, un trato: todo esto ya pasó el filtro. Cada hallazgo atraviesa un paso que intenta tumbar su propio descubrimiento — si es ruido, un falso positivo o un drama de escáner, se va antes de llegar a vos. Lo que queda es riesgo real. Ese es el número que respetamos.
La escala, sin adornos
Fueron 456 ciclos de prueba continua y 1.067 vulnerabilidades confirmadas. Esto no salió de una semana heroica — salió de una cadencia que simplemente no para. Donde una prueba anual te entrega un PDF y silencio hasta el año siguiente, el motor continuo sigue girando mientras tus sistemas cambian.
Dónde vive el peligro
Contar vulnerabilidades es fácil. Lo que cambia el juego es saber cuáles te quitan el sueño. Acá está el retrato por severidad:
Son 276 exposiciones accionables — y casi una de cada tres es de severidad alta o crítica. No son alarmas cosméticas: son 13 puertas críticas y 66 fallas de alto impacto encontradas antes de que alguien de afuera las encontrara. Cada una es un incidente que no pasó.
Y quizás lo más importante: siguen apareciendo ciclo tras ciclo, a medida que salen versiones y la superficie cambia. Es justo en esos intervalos — los que un pentest anual nunca ve — donde el modelo continuo gana el día.
Lo que más aparece (y por qué)
Cuando mirás el tipo de falla que más surge, un patrón se vuelve obvio — y es tranquilizador, en el fondo: lo que más duele no es nada exótico.
En palabras simples: configuración mal hecha, datos expuestos sin necesidad, logins que se pueden esquivar y acceder a lo que no se debía. Son exactamente las fallas que se acumulan entre las pruebas puntuales — y que solo una cadencia continua mantiene a raya. Las técnicas más raras (SSRF, inyecciones, secuestro de subdominio, secretos filtrados) aparecen menos, pero son justo las que el escaneo automático no encuentra y la profundidad humana sí.
El número del que estamos más orgullosos
No es el total de hallazgos. Es la disciplina de validar antes de reportar. Cuando cada ítem en el escritorio de tu equipo es riesgo real y explotable, desaparece el tiempo perdido persiguiendo falsos positivos — y aparece el tiempo para cerrar lo que de verdad abre una puerta.
Eso es lo que Deep Argus entrega como Pentesting Continuo (PTaaS): descubrimiento que no se detiene, explotación realmente validada, y un retrato de riesgo que sigue a tu superficie mientras cambia — todo el año, no una vez al año.
276 exposiciones accionables. 79 altas o críticas. 456 ciclos. Cero pausa.
¿Con ganas de ver esos números en tu superficie de ataque? Solicitá una PoC y ponemos el motor a andar.