Consultor de seguridad

Buenos Aires, AR

Cristian Hendel

uptime 99.97% · response < 4h

Identifico vulnerabilidades en plataformas digitales antes de que las encuentren otros.

Aplicaciones web

Cualquier usuario puede ver datos de otro

La mayoria de las brechas en aplicaciones web no requieren sofisticacion. Son fallas de logica de acceso que cualquiera puede explotar si sabe donde mirar.

IDOR SQLi Broken Auth
APIs REST / GraphQL

Tu API expone mas de lo que muestra la interfaz

Las APIs tienen superficie de ataque que el frontend oculta. Sin control de acceso correcto, un tercero puede extraer datos de otros usuarios sin credenciales especiales.

facturacliente0431.pdf acceso no autorizado
Plataformas SaaS

Una falla expone a todos tus clientes a la vez

En plataformas con multiples clientes, el aislamiento entre cuentas es critico. Cuando falla, el impacto no es individual: es reputacional, legal y simultaneo.

CVSS 9.4 Impacto multi-cliente
Divulgacion responsable

El problema se resuelve antes de que alguien se entere

Cuando encontramos algo, lo coordinamos directo con tu equipo tecnico. Sin publicaciones ni exposicion publica hasta que este cerrado y verificado.

estado: cerrado
Proceso documentado
Caso #001

Mirá un hallazgo real documentado

Perfil

Primero el negocio.
Después el
exploit.

Cristian Hendel

Operations · Banca de inversión · Buenos Aires

Vengo de operations en banca de inversión. Construí pipelines de datos, automaticé 1.650 horas anuales de procesos manuales, y terminé una Maestría en Finanzas antes de tocar mi primer payload.

Eso cambia cómo leo una plataforma. No miro código aislado: miro flujos de negocio. El IDOR no es un bug técnico: es el cliente A viendo facturas del cliente B. La SQLi no es una curiosidad académica: es un atacante con tu base de usuarios en una tarde.

Encuentro lo que encuentro porque entiendo qué tiene valor en tu plataforma, no solo dónde está mal escrito el código.

Automatización
1.650h
/ año
Crítico hallado
CVSS 9.8
/ multi-tenant
Formación
M. Fin.
/ UCEMA
Metodología
29147
/ ISO/IEC
Python Burp Suite mitmproxy CVSS v3.1 OWASP Top 10 curl_cffi
Proceso

Cómo
trabajamos.

Si no lo puedo demostrar en vivo, no me debés nada. Así de simple.

01

Reconocimiento pasivo

Solo información pública. Sin tocar tu infraestructura. Sin contrato.

02

Contacto inicial

Te aviso que encontré indicios. Sin detalles técnicos, sin presión.

03

Autorización 1 página

Firmás una autorización para la auditoría activa + confidencialidad mutua. Sin costo.

04

Auditoría + precio

Verifico la severidad real con pruebas activas. Confirmo hallazgos y propongo un precio.

05

Demo en vivo

Lo demuestro en producción con tu equipo. Si no puedo, no debés nada.

06

Informe + cierre

Entrega contra pago 50%. Remediación y re-test opcionales.

Pasos 01 a 05 sin costo · ISO/IEC 29147 · Ningún dato real de usuarios extraído en ninguna fase.

Pricing

Tres formas
de trabajar
juntos.

No cobramos por hora. El precio refleja la severidad del hallazgo y el riesgo real para tu negocio. Lo acordamos antes de la demo.

A Solo reporte

Identificación y documentación.

  • Auditoría completa de la superficie acordada
  • Informe ejecutivo + técnico con CVSS scoring
  • Reunión de presentación con el equipo técnico
Pedí tu cotización →
Recomendado
B Reporte + remediación

Acompañamiento hasta el fix.

  • Todo lo del nivel A
  • Consultoría técnica async durante 60 días
  • Revisión de implementaciones propuestas
Pedí tu cotización →
C Paquete completo

Cierre verificado del ciclo.

  • Todo lo del nivel B
  • Re-test sobre los fixes implementados
  • Certificado de cierre para clientes o auditoría
Pedí tu cotización →

Pagos en cuotas. Primer 50% contra entrega del reporte.

Hablemos

Respuesta INMEDIATA. Todo bajo NDA.

Vía rápida
Escribime por WhatsApp
o por email

Todo hallazgo bajo acuerdo de confidencialidad.