Skip to content
§ INDUSTRY / FINTECH · LATAM

Tu API mueve plata.
Un IDOR mueve la del cliente.

Pentest dedicado a fintech, neobancos, wallets y trading apps. APIs financieras (REST, GraphQL, WebSocket), flujos OAuth 2.0 / SAML / OIDC, lógica de negocio (overdraft, fees, KYC bypass, race conditions en transferencias), exposición de Open Banking. Cada hallazgo viene con PoC reproducible y mapping a PCI DSS 4.0, ISO 27001 y la ley local de protección de datos que aplique.

§ 01 / 04 Amenazas que vemos

Las clases que drenan una fintech.

No son las del Top 10 del 2010. Son las que un atacante con conocimiento del flujo financiero explota en producción.

01

IDOR horizontal en endpoints de cuentas

GET /api/accounts/{id}/balance sin re-checkeo de ownership. Token válido del usuario A consulta saldo del usuario B. Crítico cuando el response incluye CBU/CVU/IBAN.

02

Race conditions en transferencias

Dos requests POST /transfer en paralelo con el mismo saldo idempotency-key, ambos pasan el balance check, ambos descuentan: doble gasto. Bug recurrente cuando el lock no es a nivel DB.

03

OAuth 2.0 — redirect_uri laxo + state predictable

Whitelist por startswith en vez de match exacto + state validable. Cadena: account takeover vía OAuth callback hijack → admin móvil → wire-out a cuenta del atacante.

04

KYC bypass por reutilización de selfie

El endpoint de re-verificación no marca el liveness-check como consumido. Reutilizar el mismo blob de video para enrolar 10 cuentas mula con DNI sintéticos. Money mule scale-out.

05

SSRF → metadata cloud → IAM keys

Endpoint de avatar upload pulea http://169.254.169.254. Token del rol EC2 con permisos sobre s3:GetObject en el bucket de KYC documents. Exfil de DNI + selfie de toda la base.

06

Webhook signature bypass — partner integraciones

Webhooks de payment processors aceptan alg: none o no validan timestamp → replay de notificaciones de "pago confirmado" → emisión gratuita de saldo cripto / fiat.

§ 02 / 04 Servicios recomendados

El stack que necesita una fintech.

S/03 · desde $2.990

Professional

Pentest end-to-end de la app + API. OAuth, lógica de negocio, race conditions, multi-hop chains. Punto de entrada estándar.

★ POPULAR S/04 · desde $2.490

Mobile App

Para wallets / neobancos con app móvil. MASVS v2, bypass de defensas cliente (root/jailbreak detection, SSL pinning), backend que la app consume.

S/07 · desde $5.990

Infrastructure

Red interna, Active Directory, cloud (AWS/Azure/GCP). Path desde internet hasta Domain Admin como lo haría ransomware.

S/08 · desde $9.990

Red Team

Simulación adversarial completa MITRE ATT&CK. Phishing dirigido a empleados, EDR evasion, persistencia, exfil. Para post-ronda donde el riesgo regulatorio escala.

◆ FLAGSHIP
§ 03 / 04 Compliance

Un reporte. Todos los reguladores que te miran.

Cada hallazgo viene mapeado al artículo, requisito o control específico que toca. Tu CISO recibe el reporte; tu Compliance Officer recibe el mismo reporte con el mapping ya hecho.

PCI DSS 4.0 · Req 6.5.x (app vulns), 11.4.x (pentest)
ISO 27001:2022 · Annex A.5/A.8 controls
SOC 2 Type II · CC7.1 / CC7.2 evidence
NIST CSF 2.0 · ID/PR/DE alignment
Uruguay 18.331 + Decreto 66/025 · seguridad técnica + notificación de brechas
Argentina 25.326 + AAIP 47/2018 · medidas técnicas de seguridad
Brasil LGPD · art. 46, ANPD reporting
México LFPDPPP · INAI guidelines
Open Banking BR / MX / CL · API security baseline
Ver matrix completa →

Si auditás fintech y necesitás cerrar el ciclo regulatorio,
esto es lo que estás buscando.

Engagement con SLA de 48h para Starter y Professional. NDA mutuo en paralelo. Reporte cumple con todos los frameworks de arriba. Retest a 30 días incluido.

hello@rekon.sh