KAIONE · Ciberseguridad
Propuesta Comercial · Evaluación de Seguridad
Propuesta de Servicios · Ciberseguridad 2026

Desde 6 semanas
para evaluar, remediar
y blindar.

Una evaluación profesional de seguridad que encuentra vulnerabilidades reales antes de que lo haga un atacante, entrega un plan de remediación priorizado y deja a su equipo capacitado. Ejecución real sobre su infraestructura bajo marcos PTES, OWASP, PCI DSS e ISO 27001.

KAIONE · Ciberseguridad
Servicio
Evaluación Profesional de Seguridad
Duración
Desde 6 semanas
Modelo
Descubrir · Evaluar · Remediar
Resultado
Infraestructura validada + equipo capacitado
01 / 14
El desafío de la ciberseguridad

Cinco brechas silenciosas,
validadas con pentesting real.

Si reconoce alguno de estos síntomas en su operación, este modelo está diseñado para encontrarlas, explotarlas de forma controlada y cerrarlas antes de que alguien más lo haga.

Superficie de ataque sin mapear
Activos expuestos que nadie ha inventariado: subdominios, APIs, servicios legacy
Vulnerabilidades no validadas
Scanners que reportan 200 hallazgos sin distinguir cuáles son explotables de verdad
Ingeniería sin mentalidad de seguridad
El equipo despliega código sin revisión de secure coding ni modelado de amenazas
Cumplimiento PCI / ISO pendiente
Auditoría en puerta y sin evidencias técnicas, ni procedimientos de respuesta a incidentes
Dependencia de consultores externos
Cada auditoría requiere traer a alguien de afuera — nada queda instalado en el equipo
Regla de oro del modelo

No entregamos un PDF con hallazgos. Entregamos evidencia, exploits reales y código de remediación.

Nuestra evaluación combina análisis automatizado, pentesting manual y transferencia de conocimiento. Al cierre del engagement, su equipo sabe cómo fue explotada cada vulnerabilidad — y cómo detectarla la próxima vez sin nosotros.

Enfoque
70% hands-on
Transferencia
30% capacitación
02 / 14
Por qué ahora

El costo de no
saber, en cifras.

Tres datos que explican por qué la ciberseguridad dejó de ser un proyecto opcional. En México y América Latina, el riesgo ya es sistémico — y medible.

Ataques sofisticados con IA
+52%
Aumento en ataques que usan inteligencia artificial para automatizar reconocimiento, explotación y evasión de controles.
Fuente · Palo Alto Networks, 2025
Ranking LATAM
2do lugar
México es el segundo país más atacado de América Latina. La superficie de ataque ya no es una hipótesis — es una estadística.
Fuente · Kaspersky, 2024
Costo promedio · brecha
$4.45MDD
Costo promedio global por brecha de datos: pérdida operativa, remediación forense, multas regulatorias y daño reputacional.
Fuente · IBM Security, 2024
Entregable 01

Reporte ejecutivo + técnico

Hallazgos con CVSS, proof of concept, mapeo a OWASP Top 10 y metodología PTES. Listo para comité y listo para remediación.

Entregable 02

Plan de remediación priorizado

Hoja de ruta por impacto y esfuerzo, con código y scripts listos para aplicar. No sugerencias — soluciones accionables.

Entregable 03

Capacitación aplicada

Workshops sobre los hallazgos reales de su ambiente + transferencia técnica. El conocimiento queda dentro de su equipo.

03 / 14
Cómo trabajamos juntos

Tres fases. Una sola
lógica: atacar para defender.

Cada fase combina trabajo ofensivo real sobre su infraestructura con transferencia técnica aplicada al mismo trabajo. Sin workshops teóricos aislados — cada sesión explica cómo se explotó un hallazgo real de su ambiente.

FASE · 01

Descubrir

Semanas 1–2 · Reconocimiento
  • Inventario completo de activos digitales
  • Mapeo de superficie de ataque
  • Modelado de amenazas (threat modeling)
  • Clasificación por criticidad y exposición
  • Kickoff: reglas de compromiso (RoE)
~8hEquipo cliente
FASE · 02

Evaluar

Semanas 3–4 · Ejecución
  • Análisis de vulnerabilidades automatizado + manual
  • Pentesting black box, grey box y white box
  • Simulaciones de ataque controladas
  • Validación de hallazgos (proof of concept)
  • Priorización por CVSS y contexto de negocio
~10hEquipo cliente
FASE · 03

Remediar

Semanas 5–6 · Blindaje
  • Plan de remediación priorizado
  • Código y scripts de mitigación
  • Reportes ejecutivo y técnico (PTES + OWASP)
  • Capacitación: secure coding + respuesta a incidentes
  • Handover técnico + checklists operativos
~10hEquipo cliente
Distribución
70% Hands-on sobre su infra30% Transferencia técnica
04 / 14
Roadmap de referencia · desde 6 semanas

De la semana 1
a infraestructura blindada.

Cronograma tipo para un alcance baseline. El timeline final se ajusta al tamaño del ambiente, la cantidad de activos y el tipo de pruebas acordadas — se define tras el scoping técnico, antes de firmar.

Fecha de inicio
A definir
Agendada en la firma de contrato
S 01
KickoffRoE + Scope
DISCOVER
S 02
InventarioAttack Surface
DISCOVER
S 03
Vuln ScanAuto + Manual
ASSESS
S 04
PentestBlack/Grey/White
ASSESS
S 05
Plan deRemediación
REMEDIATE
S 06
HandoverCierre
REMEDIATE
01 · DESCUBRIRS1 — S2
02 · EVALUARS3 — S4
03 · REMEDIARS5 — S6
S01 · Hito
Kickoff + Rules of Engagement firmadas
S02 · Hito
Superficie de ataque mapeada + threat model
S04 · Hito
Pentesting concluido + hallazgos validados
S06 · Hito
Handover + certificación interna
05 / 14
1DESCUBRIRS1 — S2 · Primeras 2 semanas

Reconocer antes
de golpear.

Mapeamos la superficie real de ataque — no sólo lo que aparece en el inventario oficial. Activos huérfanos, subdominios olvidados, APIs expuestas y servicios legacy entran al alcance desde la semana 1.

~8h
Equipo cliente
Qué hacemos nosotros · KaiOne

Entregables de la fase

  • Kickoff formal + Rules of Engagement firmadas
  • Inventario técnico de activos cloud, web y red
  • Mapeo de superficie de ataque (OSINT + interno)
  • Modelado de amenazas alineado al negocio
  • Clasificación de criticidad y plan de pruebas
Qué necesitamos del cliente

Para no perder tiempo

  • Accesos de solo-lectura a cloud / infra (Reader)
  • Diagramas de arquitectura y red vigentes
  • Listado de aplicaciones, dominios y APIs públicas
  • Owner técnico disponible para el kickoff
  • Ventana semanal de ~3h (1h sync + 2h workshop)
Semana
Actividad clave
S 01
Kickoff oficial + firma RoE + reunión de alcance técnico
S 02
Inventario + mapeo de superficie de ataque + threat modeling
06 / 14
2EVALUARS3 — S4 · 2 semanas

Explotación
controlada.
Evidencia real.

Ejecutamos pentesting en tres modalidades — black box, grey box y white box — sobre las superficies priorizadas. Cada hallazgo se valida con proof of concept y se clasifica con CVSS antes de llegar al reporte.

~10h
Equipo cliente
Qué hacemos nosotros · KaiOne

Entregables de la fase

  • Análisis automatizado de vulnerabilidades
  • Validación manual y descarte de falsos positivos
  • Pentesting (black / grey / white box) según alcance
  • Simulaciones de ataque alineadas a MITRE ATT&CK
  • Proof of Concept documentado por hallazgo
  • Scoring CVSS v3.1 + mapeo OWASP Top 10
Qué necesitamos del cliente

Colaboración activa

  • Ventana de pruebas acordada (idealmente off-peak)
  • Autorización formal de pentesting en activos productivos
  • Contacto de guardia ante incidentes durante pruebas
  • Credenciales de prueba para grey/white box (si aplica)
  • Disponibilidad para sesión de validación (~2h)
Semana
Actividad clave
S 03
Scanning automatizado + validación manual + triage
S 04
Pentesting + simulaciones de ataque + PoC por hallazgo
07 / 14
3REMEDIARS5 — S6 · Últimas 2 semanas

Cerrar, documentar,
transferir.

La fase más crítica: convertimos hallazgos en acciones. Entregamos código y scripts de remediación, capacitamos al equipo con los mismos exploits que usamos nosotros y dejamos instalada la capacidad de detección.

~10h
Equipo cliente
Qué hacemos nosotros · KaiOne

Entregables de la fase

  • Plan de remediación priorizado (impacto / esfuerzo)
  • Código y scripts listos para producción
  • Reporte ejecutivo (comité) + reporte técnico (ingeniería)
  • Workshops: secure coding, hardening y respuesta a incidentes
  • Checklists de seguridad por servicio cloud
  • Handover formal + opción a monitoreo gestionado
Qué necesitamos del cliente

Para que quede instalado

  • Owner de seguridad designado (permanente post-proyecto)
  • Aprobador técnico con poder para ejecutar fixes
  • Par de DevOps / SRE para implementar remediaciones
  • Disponibilidad para sesión de cierre con stakeholders (2h)
  • Asistencia a workshops de secure coding e IR
Semana
Actividad clave
S 05
Plan de remediación + scripts + workshop secure coding
S 06
Workshop IR + reportes finales + handover + cierre stakeholders
08 / 14
Caso de éxito · Líder regional en e-commerce

De vulnerabilidades críticas
a protección avanzada.

Quick wins desde un engagement black box. En semanas protegimos la exposición de hasta 150,000 clientes, sin afectar una sola operación en producción.

Resumen ejecutivo

Detectamos y mitigamos 9 vulnerabilidades, 3 de ellas críticas, con implantación de controles y políticas sin afectar operaciones.

Vulnerabilidades
9
identificadas y priorizadas
Críticas
3
mitigadas en tiempo récord
Clientes protegidos
150K
exposición contenida
Downtime
0min
en operaciones productivas
Vulnerabilidad crítica #1 Finding ID · PTES-2025-001 · CWE-918

Server-Side Request Forgery en endpoint de webhook.

La aplicación era vulnerable a SSRF en /api/webhooks/validate, permitiendo a un atacante realizar solicitudes HTTP arbitrarias desde el servidor hacia recursos internos — incluyendo el endpoint de metadata de IAM.

CVSS Score
9.8
Critical
OWASP
A10
Server-Side Request Forgery
Proof of Concept POST /api/webhooks/validate HTTP/1.1
Host: portal.techcorp.com
Content-Type: application/json

{ "callback_url": "http://169.254.169.254/latest/meta-data/iam/security-credentials/" }
Trabajamos bajo marcos globales
PCI DSS ISO 27001 OWASP Top 10 PTES CVSS v3.1 MITRE ATT&CK
09 / 14
Lo que entrega KaiOne

Nuestro lado del
compromiso.

No sólo un reporte de hallazgos: evidencia técnica, código de remediación, documentación operativa y conocimiento que permanece dentro de su equipo.

Reportes ejecutivo + técnico

Dos documentos, dos audiencias. Mismo rigor metodológico (PTES + OWASP).

  • Informe ejecutivo para comité
  • Informe técnico con PoC y CVSS
  • Mapeo a cumplimiento y multas

Código y scripts de remediación

No sugerimos cambios — entregamos código listo para producción.

  • Parches de aplicación revisados
  • Scripts de hardening por servicio
  • Reglas WAF / IAM propuestas

Guías operativas

Documentación que queda escrita, versionada y en manos de ustedes.

  • Manual de operación segura
  • Procedimientos de respuesta a incidentes
  • Checklists de seguridad por servicio

Capacitación aplicada

Workshops sobre los hallazgos reales de su ambiente, con laboratorios prácticos.

  • Secure coding + OWASP Top 10
  • Incident response aplicado
  • Material de referencia rápida

KPIs de seguridad

Acordamos desde el día uno qué significa "éxito". Reportamos con cifras, no con promesas.

  • CVSS promedio pre / post
  • Cobertura de controles
  • MTTR de remediación

Transparencia total

Canal directo con el equipo KaiOne. Sin intermediarios, sin gestores, sin tickets.

  • Acceso directo por WhatsApp / correo
  • Reporte semanal por escrito
  • Opción a servicios gestionados posteriores
Equipo KaiOne
Agustín Villarreal · Dir. Ciberseguridad Octavio Soriano · CEO Manuel Mariscal · Dir. Tecnologías e IA
10 / 14
Lo que necesitamos del cliente

Cinco compromisos
para arrancar juntos.

Esto es lo que pedimos cerrar antes del kickoff. Sin esto, el proyecto arranca con fricción innecesaria — y usted pierde velocidad de remediación.

Stakeholders identificados
Owner técnico · CISO / referente de seguridad · aprobador · contacto legal
S0 · Pre-kickoff
Accesos + Rules of Engagement firmadas
Reader a cloud · autorización formal de pentesting · NDA · ventana de pruebas
S1 · Kickoff
Ventana de pruebas acordada
Horario off-peak para ejecución de pentesting + contacto de guardia disponible
S0 · Pre-kickoff
Equipo core disponible
1 ingeniero DevOps / SRE como par de ejecución + asistencia a capacitaciones
Todo el proyecto
Aprobador con poder de decisión
Para firmar la ejecución de remediaciones y cambios en producción
Desde S05
11 / 14
Rituales del proyecto

Cuándo nos vemos,
para qué y por cuánto.

Una agenda recurrente, predecible y sin sorpresas. Usted sabe desde el día uno cuánto tiempo le va a consumir este proyecto — y puede planearlo.

Semanal · fija

Weekly Sync

Avance de hallazgos, bloqueos y próximos pasos. Corto y al punto.

Ambos equipos1h
Por fase

Findings Review

Presentación de hallazgos con PoC y discusión de remediación.

Equipo técnico2h
Fase · Remediar

Workshops técnicos

Capacitación aplicada: secure coding, hardening e incident response.

Track Técnico2–3h
Por hito

Demo + Decisión

Presentamos avance y cifras. Ustedes aprueban el siguiente paso.

Stakeholders1h
Calendario cerrado desde la semana 0
En la firma de contrato definimos la franja del weekly sync y la ventana de pentesting. Todas las semanas del engagement quedan invitadas en calendario antes del kickoff.
12 / 14
Inversión del proyecto

Una cifra cerrada,
un proyecto completo.

La inversión y el cronograma son proporcionales al alcance del ambiente a evaluar — una sola cifra cerrada que cubre análisis, pentesting, remediación, capacitación y documentación. Sin cobros adicionales, sin sorpresas.

Evaluación de Seguridad KaiOne · desde 6 semanas
Descubrir + Evaluar + Remediar
Desde $125,000MXN
+ IVA · La cifra final y el cronograma se ajustan al tamaño y complejidad del ambiente a evaluar. Se fijan en la propuesta personalizada tras diagnóstico exploratorio sin compromiso.
Starter
Web app única
1 ambiente
Growth
Multi-app · Cloud
2–3 ambientes
Scale
Enterprise
Multi-cloud · híbrido
  • Metodología completa (PTES + OWASP + CVSS)
  • Reporte de vulnerabilidades ejecutivo y técnico
  • Pruebas de penetración (black / grey / white box)
  • Código y scripts de remediación
  • Transferencia de conocimiento + workshops
Esquema de pago
50%
Anticipo a la firma
Asegura bloque de equipo senior y fecha puntual de arranque
Firma
contrato
50%
Al cierre del proyecto
Contra entrega de reportes finales y handover técnico
S06
Cierre
6+
Semanas
3
Fases
0
Extras
Todo incluido. Equipo senior dedicado, workshops, reportes y documentación operativa entran en el precio — sin sorpresas al cierre. Opción a continuidad como servicio gestionado bajo cotización separada.
13 / 14
Próximos pasos

De esta conversación
al kickoff oficial.

Cuatro pasos concretos para validar fit, dimensionar la propuesta y arrancar sin fricciones. Todo el proceso previo al contrato es sin costo y sin compromiso.

01
Hoy

Diagnóstico exploratorio

Sesión de 45–60 min para entender su ambiente, entorno regulatorio y validar que este modelo es el correcto para ustedes.

02
Semana 1

Scoping técnico

Revisión preliminar de alcance: activos, aplicaciones, ambientes y regulación aplicable. Sin costo.

03
Semana 1–2

Propuesta personalizada

Entregamos alcance final, inversión cerrada, cronograma concreto y Rules of Engagement en borrador.

04
Semana 2–3

Contrato + kickoff

Firma de contrato + NDA + RoE, pago anticipo y arranque oficial del proyecto esa misma semana.

Siguiente acción

Agendemos el diagnóstico exploratorio. 45 minutos — sin costo, sin compromiso, sin intermediarios.

Hablamos directo con el equipo técnico del prospecto. Si al terminar la llamada el fit no es claro, lo decimos sin rodeos y recomendamos el camino correcto — aunque no seamos nosotros.

Tiempo de la llamada 45 min Remoto · su agenda
14 / 14
Listos cuando ustedes lo estén

Hablemos
de seguridad.

El valor de tu negocio merece la mejor protección. Cualquier duda sobre el alcance, la inversión o los tiempos va directo a nosotros — sin intermediarios, sin gestores de cuenta, sin tickets. Respondemos en menos de 24 horas.

kaione.mx
Propuesta de Servicios · Ciberseguridad 2026
Agustín Villarreal
Director de Ciberseguridad
Octavio Soriano
CEO & Cloud Advisor
Manuel Mariscal
Director de Tecnologías e IA
Juan Carlos Gómez
Financial Advisor