How long does it take to build a system?

Most projects are live in 1–4 weeks. Simple automations (WhatsApp bot, workflow connections) take about a week. Custom dashboards and full CRMs take 2–4 weeks. We'll give you a clear timeline before we start.

Do I need technical knowledge to use it?

No. We build the system, we train your team, and we document everything in plain language. If something breaks or you need a change, you message us on WhatsApp. That's it.

What if something breaks after delivery?

We stay available. We monitor systems during the first week after launch and fix issues fast. For ongoing support, we offer monthly plans so you're never stuck.

How much does it cost?

Projects start at $500 USD for a website or landing page. Chatbots and automation systems range from $2,500 to $8,000 USD depending on complexity.

What tools do you work with?

We work with n8n, Make, Zapier, WhatsApp Business API, Claude AI, OpenAI, Airtable, Notion, Google Sheets, and most CRMs and ERPs. If you already use a tool, we can almost certainly connect to it.

Will AI actually work for my type of business?

If you have repetitive tasks, incoming messages, or data that needs to move between systems — yes. We've built systems for restaurants, clinics, law firms, real estate agencies, and more. If it's not a good fit, we'll tell you upfront.

Do you work with businesses outside the Boston area?

Yes. We work with businesses across the U.S. and internationally. Everything is done remotely — calls, demos, delivery, and support all happen on WhatsApp and video calls.

Seguridad — Auditorias antes del lanzamiento + monitoreo continuo

01 — La nueva superficie

Tu aplicacion de 2026 tiene amenazas que tu escaner de 2024 no ve.

La mayoria de las herramientas de seguridad para PyMES fueron disenadas para una web que no incluia modelos de lenguaje. Tu formulario de contacto se audita contra inyeccion SQL y XSS — ambas utiles — mientras el chatbot que lanzas al lado acepta un parrafo de lenguaje natural y lo alimenta a un modelo que puede invocar funciones, leer documentos y enviar correos. No es la misma clase de amenaza.

En la practica, la mayoria de los sitios de negocios de servicios contiene al menos una superficie de modelo de lenguaje: un chatbot, un escaner, una terminal, un endpoint de resumen. Cada uno es un agujero con forma de atacante que los escaneres tradicionales ignoran, porque no saben lo que es una inyeccion de prompt y no saben como probarla.

No vendemos auditorias por pagina. Encontramos los bugs que realmente permiten que alguien te quite algo — credenciales, datos de clientes, marca — y los probamos con un exploit funcional antes de escribir una sola linea del reporte.

02 — Lo que realmente vemos

Cinco amenazas a las que vale la pena prestar atencion ahora.

Inyeccion de prompt en chatbots con IA

Reality

Un chatbot de cara al cliente leera lo que sea que el usuario escriba, incluidas instrucciones. Si el bot puede invocar herramientas o citar documentos, una instruccion inyectada puede reescribir su comportamiento a medio-conversacion.

Impact

Un bot de reservas filtrando reglas de precios. Un bot de soporte enviandole al atacante una copia de la ultima conversacion. Un bot de captura de leads regalando un cupon que no existe.

How we address it

Fijamos el system prompt, validamos las entradas de las herramientas contra una lista permitida y corremos contra tu integracion especifica los ataques de inyeccion publicados por Anthropic y OWASP. Los bugs que encontramos vienen con transcripcion de prueba.

Llaves de API expuestas

Reality

GitHub escanea cerca de diez millones de credenciales filtradas al ano. Las llaves de Anthropic y OpenAI estan hoy entre los cinco patrones mas escaneados. La ruta habitual es una env var del cliente enviada al navegador, un .env subido por error o una captura de pantalla en Slack.

Impact

Un atacante con una llave de Claude puede quemar unos miles de dolares de spend en una noche. Una llave de OpenAI con scope amplio puede tocar datos de entrenamiento.

How we address it

Escaneo en pre-commit en cada maquina local, gitleaks en cada push, clasificador de secretos en cada corrida de CI, e inventario de credenciales con fecha de rotacion trimestral atada a cada llave.

Compromiso de cadena de suministro

Reality

Shai-Hulud en 2024 fue el aviso. Una actualizacion de paquete en tu arbol de dependencias — cuatro o cinco niveles abajo — envia codigo ofuscado que lee metadatos de AWS o escanea tu sistema de archivos. Dependabot cierra CVEs; no detecta un release malicioso recien publicado.

Impact

El atacante no necesita encontrarte. Tu lo instalaste. El impacto va desde un minero colgado en tu CI hasta exfiltracion completa de credenciales.

How we address it

Fijamos las dependencias criticas, exigimos provenance en las instalaciones de CI y corremos escaneres de comportamiento sobre releases nuevos. En un engagement de endurecimiento tambien auditamos las diez transitivas principales de cualquier paquete que toque secretos, pagos o auth.

Phishing escrito por IA y fraude por correo corporativo

Reality

Un modelo puede hoy leer el sitio de tu empresa, escribir en tu voz y enviar a un empleado una solicitud de transferencia que se ve exactamente como algo que tu enviarias. Volumen y verosimilitud subieron un orden de magnitud en 2025.

Impact

El FBI reporta perdidas por fraude de correo corporativo por encima de cincuenta mil millones de dolares anuales. La perdida mediana por incidente en negocios pequenos esta en decenas de miles.

How we address it

DMARC, DKIM, SPF alineados y aplicados. Checklist de snapshot de DNS antes de cambios, como el que hubiera prevenido los cortes de correo en migraciones a Vercel de los que ya escribimos. Drills internos sobre solicitudes de cambio de factura.

Propagacion desde SaaS de terceros

Reality

Tu no operas al proveedor de reservas, ni al procesador de pagos, ni al emisor de correo, ni el backend del chatbot. Cuando uno de ellos tiene un incidente, los datos de tus clientes que tenian guardados estan adentro.

Impact

Heredas la obligacion de notificacion, el dano de confianza y habitualmente la limpieza operativa. Cada proveedor que integras amplia tu superficie de breach por el ancho de sus datos de clientes.

How we address it

Durante el engagement mapeamos cada integracion saliente, confirmamos que cada proveedor tiene un programa de seguridad publicado, acotamos los datos minimos que deben guardar y documentamos rutas de revocacion para que un compromiso alla no se vuelva uno aqui.

03 — Como lo pensamos

Cuatro principios que aplicamos antes de que un sitio salga.

Exploit o no paso.

Un hallazgo sin prueba de concepto funcional es un feature request disfrazado de bata blanca. Solo reportamos lo que podemos demostrar. Por eso nuestros reportes son cortos y las remediaciones aterrizan.

Escanear el codigo y el servicio vivo.

El analisis estatico atrapa la intencion. El dinamico atrapa la realidad. Corremos ambos contra la URL real de staging con el repositorio real en mano, para que la brecha entre lo que dice el codigo y lo que hace el servidor deje de ser un escondite.

Anota cada llave.

Si un secreto no esta en el inventario de credenciales con una fecha de rotacion, operativamente no existe. Cada cliente se queda con un registro unico que puede mantener al dia.

Autorizacion por escrito, siempre.

Cada prueba corre bajo una clausula firmada que nombra los sistemas en scope, la ventana de prueba y los proveedores fuera de scope. La misma clausula funciona en Massachusetts y en Mexico. Sin permisos verbales.

04 — Lo que entregamos

Endurecimiento de lanzamiento — tarifa fija, tres dias.

Corre contra un ambiente de staging con codigo fuente en mano. Se entrega como un solo engagement por sitio, con re-escaneo despues de las correcciones.

Price

$1,000 USD

Duration

3 dias habiles, de kickoff a entrega

Included

Pentest asistido por IA (Shannon, caja-blanca) contra staging
Analisis estatico sobre codigo (Semgrep, rulesets OWASP + Next + TypeScript)
Barrido de secretos en todo el historial de git (gitleaks + patrones propios)
Auditoria de dependencias (npm, pip, apt — lo que tu stack corra)
Pasada de red-team sobre superficies de chatbot y LLM (OWASP LLM Top 10)
Revision de DNS, autenticacion de correo e integraciones con proveedores
Reporte escrito con pruebas de concepto funcionales para cada hallazgo
PR de remediacion para las correcciones que podemos aterrizar nosotros
Re-escaneo y carta de atestiguacion despues de aplicar las correcciones

Not included

Certificacion de cumplimiento (SOC 2, ISO 27001, HIPAA)
Pentest de red a nivel de infraestructura completa
Ejercicios de ingenieria social
Retainer continuo de respuesta a incidentes

05 — Nuestro propio stack

Nos probamos con el mismo calendario que te vendemos.

Cada repositorio propio de Impleia corre el mismo escaneo de secretos, auditoria de dependencias y pentest calendarizado que enviamos a los clientes. El estado actual de nuestra postura es publico.

Ver nuestra postura de seguridad en vivo

06 — Preguntas

Cosas razonables que preguntar antes de firmar.

¿Van a hacer pentest a mi produccion?+

No. Las herramientas de explotacion que usamos son mutativas — envian formularios, disparan endpoints y pueden borrar registros. Probamos contra un ambiente de staging que espeje produccion. Si no tienes staging, levantarlo es el primer dia del engagement.

¿Que pasa si no encuentran nada?+

La mayoria de los engagements produce al menos tres hallazgos accionables. Si corremos el scope completo y no podemos demostrar una falla explotable, lo decimos por escrito, entregamos los artefactos de escaneo y reembolsamos la mitad del fee. No nos interesa inflar reportes con ruido teorico.

¿Esto reemplaza un pentest formal?+

Depende de quien pregunte. Para un negocio de servicios que lanza un sitio de marketing mas un chatbot, reemplaza al pentest comercial de primera generacion y encuentra mas. Para una industria regulada que requiere una atestacion de un assessor nombrado, sigues necesitando una firma de pentest calificada — te lo diremos en la llamada de intake.

¿Firman una carta de autorizacion para probar?+

Si, y esta escrita en la master engagement letter. La clausula nombra los sistemas en scope, la ventana de prueba y los proveedores fuera de scope. Funciona bajo la ley federal de EE.UU. (18 U.S.C. §1030), Massachusetts G.L. ch. 266 §120F, y el Codigo Penal Federal mexicano Articulos 211 bis-1 al 211 bis-7 para clientes transfronterizos.

¿Que entregan al final exactamente?+

Un PDF con una seccion por hallazgo, cada una con transcripcion de reproduccion, archivo o endpoint afectado, severidad y correccion recomendada. Un PR de remediacion con las correcciones que podemos aterrizar sin mas discusion. Un reporte de re-escaneo confirmando que quedo cerrado. Una carta de atestiguacion util para compartir con un partner o un inversor durante due diligence.

¿Como manejan los datos que ven durante las pruebas?+

Los artefactos de escaneo viven en nuestra infraestructura por noventa dias y luego se borran. Las transcripciones de hallazgos que contienen datos de clientes se redactan antes de entrar al reporte. No retenemos datos de produccion, y firmamos un addendum de manejo de datos si tu industria lo requiere.

Antes del siguiente deploy, asegurate que lo que construiste aguanta.

Un solo engagement, tres dias, tarifa fija. En la llamada de intake te decimos si somos el fit correcto o si necesitas una firma de pentest calificada.

Agenda una llamada de intake Escribenos por WhatsApp

Sin teatro de cumplimiento. Sin inflacion de reportes. Exploits reales, correcciones reales.

Seguridad antes del lanzamiento. No despues del incidente.

Tu aplicacion de 2026 tiene amenazas que tu escaner de 2024 no ve.

Cinco amenazas a las que vale la pena prestar atencion ahora.

Inyeccion de prompt en chatbots con IA

Llaves de API expuestas

Compromiso de cadena de suministro

Phishing escrito por IA y fraude por correo corporativo

Propagacion desde SaaS de terceros

Cuatro principios que aplicamos antes de que un sitio salga.

Exploit o no paso.

Escanear el codigo y el servicio vivo.

Anota cada llave.

Autorizacion por escrito, siempre.

Endurecimiento de lanzamiento — tarifa fija, tres dias.

Nos probamos con el mismo calendario que te vendemos.

Cosas razonables que preguntar antes de firmar.

Antes del siguiente deploy, asegurate que lo que construiste aguanta.