recon más allá de la vista

De la recon al informe, sin perder un hallazgo.

Mapeamos la superficie de ataque del objetivo, convertimos cada vulnerabilidad en un hallazgo estructurado y deduplicado, y entregamos el informe. Recon, importadores, attack paths y un portal del cliente se apoyan en una única fuente de verdad, hecha para cómo trabajan los pentesters de verdad.

Acceso anticipado para equipos de pentest. Sin spam, sin tarjeta.

Tandera pentest recon workflow icon CVE-2024-3094 :443 · TLS 1.2 *.api.acme.com
minutos
duración del recon Lite
120+
importadores
0
hallazgos duplicados
PDF·PPTX
informes listos
trabaja desde la terminal

Ejecuta todo el pentest desde tu terminal.

tandera-cli exporta el alcance, escanea e importa los hallazgos de vuelta. Sin navegador. Recon, importación e informe en un solo comando.

tandera-cli — zsh — 96×14
$ tandera scope export --target acme.com \
| httpx -silent \
| nuclei -severity critical,high \
| tandera import --auto-dedupe
✓ 1,284 hosts probed  ·  37 findings imported  ·  12 duplicates merged
$

exporta alcance, sondea con httpx, escanea con nuclei, importa de vuelta. Una línea.

la plataforma

Una fuente de verdad, de la recon al informe.

Tres capacidades en torno a una única base de hallazgos canónica. Todo fluye hacia ella. Todo sale de ella en informes.

01 · RECON AUTOMATIZADA

Mapea toda la superficie de ataque.

Enumeramos subdominios, DNS, puertos, tecnologías web, TLS, activos en la nube y credenciales filtradas. Cuando la recon encuentra una vulnerabilidad conocida, abre un hallazgo automáticamente.

Lite
Pasiva primero. Corre en minutos.
Full
Profunda y activa. Corre en horas.
#subdomains
#DNS records
#open ports
#web tech
#TLS config
#cloud assets
#leaked creds
auto-findings
02 · HALLAZGOS CENTRALIZADOS

Una fuente de verdad para cada vulnerabilidad.

Cada vulnerabilidad se vuelve un hallazgo estructurado, deduplicado y correlacionado. Severidad, CVSS, EPSS, KEV, CWE, CVE, OWASP, MITRE, compliance, evidencias y procedencia viajan con él.

Severidad
Hallazgo
CVSS
Origen
CRIT
SQL injection · /api/login
9.8
nuclei
HIGH
Exposed .git directory
8.2
recon
MED
Missing security headers ×3 merged
5.3
burp
LOW
Verbose error message
3.1
zap
EPSSKEVCWEOWASPMITRE ATT&CKcompliance
03 · IMPORTADORES

Trae tus propias herramientas.

Importamos Burp Suite, Nuclei, OWASP ZAP, Caido y CSV genérico. Todo se normaliza en la misma tabla.

Burp Suite✓ .xml
Nuclei✓ .json
OWASP ZAP✓ .json
Caido✓ export
Generic CSV✓ .csv
Dedupe automático: la misma vuln hallada por tres herramientas aparece una vez.
attack flow

Encadenamos hallazgos en el camino que toma el atacante.

Una lista de vulnerabilidades no es un modelo de amenazas. Tandera correlaciona hallazgos en attack paths, para que muestres cómo una credencial filtrada se vuelve domain admin. Los dashboards siguen viéndose sanos. La exposición no.

LOW
Credencial filtrada
en el historial de git
MED
Acceso a storage
bucket S3, configs internas
HIGH
Token de API interno
recuperado de config
CRIT
Domain admin
compromiso total del tenant
! Cuatro hallazgos, clasificados de bajo a medio por separado. Encadenados, compromiso total del tenant.
informes White-label

Personaliza cada informe todo lo que quieras.

Secciones, marca, tono, layout y scoring son tuyos para moldear. Generamos PDF y PPTX listos para el cliente directo de los hallazgos canónicos, y tú ajustas cada detalle. La IA redacta la remediación y ordena por riesgo real.

PDF y PPTX, con tu marca y plantillas.
La IA redacta la remediación y ordena por explotabilidad y exposición.
Los attack paths entran al informe como cadenas de explotación.
White-label completo. Tu logo, tus colores, tu portada, tu dominio. El informe sale como trabajo de tu firma, no nuestro.
Tandera pentest reporting platform logoTANDERA
CONFIDENCIAL
Informe de Pentest
acme.com · Q2 2026 · 37 findings
4
CRITICAL
11
HIGH
15
MEDIUM
7
LOW
✦ AIenriquecido y priorizado
portal del cliente White-label

Entrega a tu cliente un portal vivo, no un PDF que envejece.

Cuando el informe sale, el trabajo no termina. Damos a cada cliente un portal seguro para seguir cada hallazgo de abierto a verificado, pedir repruebas y comentar en contexto. Manejas el ciclo de remediación de punta a punta, en un solo lugar.

Comparte un enlace seguro. Cada cliente ve solo su engagement.
Cada hallazgo lleva estado, responsable, evidencia y un hilo de remediación.
El cliente pide reprueba. Tú verificas y cierras el ciclo.
El portal también es white-label. El cliente entra con tu marca, en tu dominio. Nunca ve a Tandera.
AC acme.com · portal del cliente
secure
18 de 37 hallazgos verificados 49%
✓ Abierto
✓ Triado
En curso
Corregido
Verificado
SQL injection · /api/login
✓ Verificado
Directorio .git expuesto
Reprueba solicitadaEn curso
Headers de seguridad ausentes
Abierto
por qué tandera

Más que una herramienta de informes.

SysReptor y Dradis ayudan a redactar los hallazgos. Nosotros también los encontramos, los encadenamos en attack paths y seguimos la remediación con el cliente. Recon y automatización vienen integradas.

TANDERA
SysReptor
Dradis
Recon automatizada
Hallazgos deduplicados
~
~
Síntesis de attack-path
120+ importadores
~
Priorización con IA
~
Portal del cliente
~
~
Informes y portal white-label
~
PDF / PPTX a medida
acceso anticipado

Consigue Tandera antes de tu próximo engagement.

Únete a la waitlist para acceso anticipado. Estamos incorporando equipos de pentest por oleadas.

Onboarding prioritario para equipos de pentest.
Línea directa con quienes lo construyen.
Precio de acceso anticipado, asegurado.

Sin spam, sin tarjeta. Cancela cuando quieras.

enespt-br