Quarancle Live Portal

Tu pentest, en vivo y cifrado.

El portal en vivo donde tu pentest deja de ser un PDF que llega tarde y se convierte en una sala de control: hallazgos cifrados de extremo a extremo, riesgo en tiempo real y tu equipo de seguridad a un clic.

AES-256-GCM2FA + Zero TrustMulti-tenant aisladoRefresco ~15s
Operador OSCP firmó QRC-2218
portal.quarancle.com/engagements/acme-2026-q2
LIVE
Engagement · Día 3 de 4
ACME · Superficie externa
AMJRTS3 en línea
actualizado hace 2s
0+5
Publicados
0+1
Re-tests
0%+12
Cobertura
Nivel de riesgo
0.0
Alto
Críticas4
Altas7
Medias11
Bajas5
Hallazgos · publicados en vivo
31 total
crit
.git expuesto → admin tenant → PII masiva
QRC-2218 · tenants.acme.cl
ahora
high
SSO admin → override de facturación
QRC-2217 · admin.acme.cl
10m
medium
IDOR en exportación de reportes
QRC-2216 · api.acme.cl
16m
crit
JWT forjable → manipulación de pagos
QRC-2215 · billing.acme.cl
22m
Operador OSCP publicó QRC-2218ahora
El problema

El pentest tradicional termina en un PDF que llega tarde y nadie lee.

Quarancle Live Portal lo convierte en una sala de control compartida — transparencia radical para el cliente, sin sacrificar un gramo de seguridad.

Antes

El informe que llega tarde

  • Un PDF estático que llega semanas después del cierre.
  • Hallazgos sin contexto, imposibles de priorizar a tiempo.
  • Cero visibilidad mientras el pentest está en curso.
  • Re-tests por correo, sin trazabilidad ni evidencia.
Con Quarancle Live

El portal en vivo

  • Cada hallazgo aparece en tu dashboard apenas el operador lo firma.
  • Riesgo, CVSS e impacto de negocio calculados en tiempo real.
  • Superficie de ataque visual, chat cifrado y equipo a un clic.
  • Re-tests, evidencia y firmas legales, todo dentro del portal.
Cómo funciona

Del hallazgo al cliente, sin esperar el informe final.

01 / 03

Asignamos el equipo

Un líder y hasta 4 operadores certificados (OSCP, OSWA, eWPT…) entran a tu engagement. Ves sus fotos, correos y certificaciones desde el primer día.

02 / 03

Reportamos en vivo y cifrado

Los operadores publican cada hallazgo con CVSS 4.0, PoC y evidencia. Todo lo sensible se cifra con AES-256-GCM antes de tocar la base de datos.

03 / 03

Visualizas, conversas y re-testeas

Sigues el riesgo en tiempo real, hablas con el equipo por chat cifrado y solicitas re-tests con un clic. El operador valida y cierra automáticamente.

La plataforma, en movimiento

Haz scroll y míralo funcionar en vivo.

Cada módulo de Quarancle Live, demostrado con su propia animación interactiva.

01 · Dashboard en vivo

Tu riesgo, actualizándose solo

Nivel de riesgo calculado, KPIs, donut de severidades y línea temporal descubierto vs. resuelto. Kanban con drag & drop para operadores, vista ejecutiva para el cliente. Refresco cercano a tiempo real cada 15 s.

KanbanKPIsDía X de Y
01
portal · dashboardLIVE
0
Hallazgos
0
Críticas abiertas
0.0
CVSS promedio
QRC-2218.git → admin tenantahora
attack surface · pasa el cursor
EXTERNOEDGEAPPDATOSInternet0.0.0.0/0AtacantereconWAFcloudflareAPIapi.acme.clPortalloginPostgreSQLPIIRuta de ataqueFlujo de datos
02
02 · Superficie de ataque

Un mapa, no una planilla

Mapa SVG interactivo de tu infraestructura por tiers. Pasa el cursor por cada activo para ver sus conexiones, sigue la ruta de ataque en vivo y exporta a PNG. Cada hallazgo se vincula a su activo.

InteractivoRutas de ataqueExport PNG
03 · Reportar hallazgos

Reportar es solo llenar campos

Nada de plantillas a mano. Cargas un hallazgo en campos estructurados — severidad, CVSS 4.0 con vector calculado, CWE, OWASP Top 10, ID y activo afectado — y queda consistente y trazable en segundos.

CVSS 4.0CWEOWASP
03
finding · nuevo
CríticaCVSS 4.0 · 9.4QRC-2218
Descripción
Un .git expuesto permite reconstruir el repo y recuperar el JWT secret, forjando un token de admin de tenant.
PoC
$ git fetch .../.git/ && git checkout . → HS256 secret recuperado → JWT admin forjado
Remediación
Rotar el JWT secret y las credenciales expuestas.
Bloquear el acceso a /.git en el servidor web.
Migrar a llaves asimétricas (RS256).
CWE-200A01:2021tenants.acme.cl
finding · ciclo de vida
CríticaQRC-2218CWE-200 · A01:2021
.git expuesto → admin de tenant → exfiltración de PII
CVSS 4.0 · 9.4
AbiertoEn arregloRe-testResuelto
04
04 · Hallazgos & re-test

Del descubrimiento al cierre

CRUD completo con CVSS 4.0, CWE y OWASP Top 10, PoC en Markdown y un flujo de estados real. El cliente solicita el re-test, el operador valida y el hallazgo se cierra — todo trazado.

CVSS 4.0OWASPRe-test
05 · Chat cifrado

Tu equipo de seguridad, a un clic

Canales por organización y por engagement, estilo Slack. Mensajes cifrados con una llave dedicada y aislamiento estricto entre empresas. Burbuja flotante en cada página, casi en tiempo real.

E2EAisladoCasi en vivo
05
canal · engagementLIVE
¿La crítica QRC-2218 afecta producción?
cifrado · Cliente
report · build
Pentest Report · ACME
Protegido
§ Resumen ejecutivo
§ Alcance & metodología
§ Hallazgos
§ Recomendaciones
§ Roles & responsabilidades
06
06 · Informes, RoE & advisories

El informe se arma solo

Generador de PDF profesional con plantilla completa, presentación ejecutiva auto-generada, RoE y vulnerability advisories. Sección de roles auto-rellenada y PDF protegido por contraseña.

PDFRoESlides
07 · Legal, NDA & firmas

Firmas electrónicas verificadas

Gestión de NDAs y autorizaciones con flujo de firma verificado por OTP, PDF firmado, envío por email y registro de auditoría de cada firma — quién firmó, cuándo y desde dónde. La firma legal de NDAs y autorizaciones está disponible, por ahora, solo para Chile.

OTPNDASolo Chile
07
NDA · firma OTP
NDA · firma verificada por OTP
Documento firmado
editor · tema.cssPRONTO
tema.cssportada.htmlmarca.json
1
2
3
4
5
6
7
8
9
/* tema del informe */
:root {
--marca: #7C3AED;
--fuente: "Geist";
--portada: degradado;
}
.cover { background: var(--marca) }
.finding h2 { color: var(--marca) }
.footer::after { content: ""
08
08 · Editor de estilo del informe

El diseño del informe, a tu medida

Los hallazgos siguen siendo simples campos — rápidos y amigables de cargar. Este editor estilo IDE es para personalizar el estilo del informe final: colores, tipografías, portada y branding, sin tocar el contenido. Próximamente en Quarancle Live.

TemaPortadaBranding
Seguridad & cumplimiento

Protegemos el reporte de tus vulnerabilidades como tu activo más crítico.

Quarancle Live está construido security-first: cifrado en reposo, separación de llaves, Zero Trust y defensa en profundidad en cada capa.

Cifrado AES-256-GCM en reposo

Hallazgos, PoCs, evidencia y mensajes. La base de datos nunca guarda texto plano sensible.

Separación de llaves (HKDF)

Llaves independientes y versionadas para datos, PDFs y chat. Alineado a NIST SP 800-57 e ISO 27001 A.8.24.

2FA / TOTP + Cloudflare Zero Trust

Doble factor con enforcement y una capa de acceso perimetral Zero Trust Access.

RLS + autorización explícita

Defensa en profundidad: nunca se confía solo en RLS y el navegador jamás habla directo con la base de datos.

Aislamiento multi-tenant total

Una organización jamás accede a datos de otra. Buckets privados, sin URLs públicas.

Auditoría + detección de amenazas

Cada request se registra y analiza por firma: XSS, SQLi, SSTI, LFI, RCE, SSRF, scanners y más.

Bloqueado · XSSBloqueado · SQLiBloqueado · SSTIBloqueado · CSTIBloqueado · LFIBloqueado · RCEBloqueado · SSRFBloqueado · XXEBloqueado · NoSQLiBloqueado · Log4ShellBloqueado · Prototype PollutionBloqueado · sqlmapBloqueado · niktoBloqueado · burpBloqueado · XSSBloqueado · SQLiBloqueado · SSTIBloqueado · CSTIBloqueado · LFIBloqueado · RCEBloqueado · SSRFBloqueado · XXEBloqueado · NoSQLiBloqueado · Log4ShellBloqueado · Prototype PollutionBloqueado · sqlmapBloqueado · niktoBloqueado · burp
Para quién

Tres roles, tres experiencias.

Cada quién ve exactamente lo que necesita — y nada más. Vistas diferenciadas con permisos granulares por audiencia.

Cliente
La empresa auditada
  • Dashboard de riesgo y hallazgos en vivo
  • Superficie de ataque y reportes
  • Chat con el equipo y solicitud de re-tests
  • Equipo a un clic: fotos y certificaciones
Operador
Pentester de Quarancle
  • Reporta hallazgos y sube evidencia cifrada
  • Gestiona la superficie de ataque
  • Ejecuta re-tests y registra actividad
  • Genera informes — solo ve lo asignado
Admin
Gestión de Quarancle
  • Clientes, engagements y usuarios
  • Equipos de operadores (1 líder + 4)
  • Legal, comercial y auditoría
  • Acceso total y trazabilidad
0%
Aislamiento entre organizaciones
AES-256
Cifrado GCM en reposo
~15s
Refresco del dashboard en vivo
2FA
+ Cloudflare Zero Trust Access
Cómo está construido

Ingeniería moderna y endurecida.

Next.js 16 · React 19PostgreSQL + RLSAES-256-GCM · HKDFCloudflare Zero TrustPDF server-sideCSP · HSTS · auditoría
Cómo se compara

No es otra herramienta para escribir informes.

La mayoría de las herramientas nacieron para que el pentester redacte el PDF. El Live Portal nace para que tu cliente viva el pentest: dashboard de riesgo, hallazgos en vivo y chat cifrado — no un archivo que llega al final.

Quarancle Live PortalPortal de engagement en vivo
Generadores de informesSysReptor, Dradis, Ghostwriter
Plataformas enterprisePlexTrac, Cobalt…
Enfoque
Experiencia del cliente en vivo
Redactar el informe (PDF)
Suite técnica enterprise
El cliente ve los hallazgos en vivo
±
UX pensada para el cliente, no solo el pentester
±
Chat cifrado por engagement
Hallazgos como campos (CVSS 4.0 + CWE)
±
Re-tests y firma integrados
Manual
±
Instancia dedicada gestionada
Auto-hospedado
±
Usuarios
Ilimitados (por instancia)
Limitados / por usuario
Por asiento
Costo
Accesible · por instancia
Free limitado · Pro caro
Alto (enterprise)

Comparación referencial por categoría de producto. SysReptor, Dradis, Ghostwriter, PlexTrac y Cobalt son marcas de sus respectivos dueños; cada una destaca en aquello para lo que fue diseñada.

Quarancle Platform · para firmas & MSSPs

La plataforma que usamos en Quarancle, ahora bajo tu marca.

No reinventes el portal de engagement. Te entregamos una instancia dedicada de la misma plataforma que corremos en producción — cifrada, multi-tenant y probada en pentests reales — en tu propio subdominio y con tu marca. Nosotros la hospedamos y operamos; tú la usas con tus clientes.

Tu instancia, con tu marca

Una instancia dedicada y personalizada en tu propio subdominio (tufirma.quarancle.com), con tu logo y tu paleta dentro del portal. Tus clientes ven tu firma.

tufirma.quarancle.com

Multi-tenant de verdad

Aísla cada cliente y cada engagement desde el día uno. La empresa A jamás ve datos de la B.

Probado en producción

No es un MVP: es el portal con el que Quarancle entrega pentests hoy. Heredas años de iteración real.

Listo en días, sin infra que mantener

Nosotros hospedamos y operamos tu instancia: nada que desplegar, parchar ni administrar de tu lado. Operativa casi de inmediato.

Seguridad heredada y operada

AES-256-GCM, separación de llaves, 2FA, Zero Trust y RLS ya vienen incluidos — y los mantenemos nosotros, no tú.

Transparencia que vende

Ofrece a tus clientes hallazgos en vivo y un dashboard de riesgo. Un diferenciador comercial que cierra tratos.

Construir vs. adoptar

¿Por qué construir lo que ya está probado?

Construirlo tú

Meses, riesgo y mantención

  • Meses de desarrollo y un equipo dedicado
  • Implementar cifrado, multi-tenancy y auditoría desde cero
  • Hospedar, mantener, parchar y certificar la plataforma tú mismo
  • Cada feature nueva es otro sprint en tu backlog
Con Quarancle Platform

Operativo, bajo tu marca

  • Tu instancia con tu marca, lista en días
  • Cifrado, aislamiento y auditoría ya resueltos
  • La hospedamos, actualizamos y aseguramos nosotros
  • Roadmap compartido: features nuevas sin escribir código

Hoy: instancia dedicada y gestionada en tu subdominio. Más adelante, opciones aún más a tu medida.

Solicita acceso

Convierte tu próximo pentest en una sala de control.

Agenda una demo del Live Portal y mira, en vivo, cómo se reporta y se protege cada hallazgo de tu organización.