Empresa de ciberseguridad en Sevilla: pentesting y auditoría 2026

Contratar una empresa de ciberseguridad en Sevilla tiene particularidades que no aparecen en otras capitales españolas. La capital de Andalucía es sede de la Junta y por tanto concentra una administración autonómica grande con presupuesto y exigencia de cumplimiento ENS. Junto a ese peso institucional convive el cluster aeronáutico de Aerópolis, con Airbus, Aciturri y la cadena de tier 1 y tier 2 alrededor del A400M, y un sector turístico permanente que combina patrimonio, hoteles, restauración organizada y eventos. La agroindustria andaluza, el sector naval ligero del bajo Guadalquivir y la energía renovable instalada en la región completan un mapa con demanda cyber muy específica.

Esta guía resume cómo es el ecosistema de ciberseguridad en Sevilla y Andalucía en 2026, qué sectores concentran trabajo, qué autoridades regionales conviven con INCIBE-CERT y qué criterios prácticos aplicar para elegir un proveedor con encaje real en el territorio. Si tu organización está en Sevilla, Málaga, Granada o cualquier provincia andaluza y necesitas pentesting, auditoría o respuesta a incidentes, los criterios cambian respecto a contratar en Madrid o Barcelona.

Lo esencial sobre ciberseguridad en Sevilla

• Sevilla concentra administración autonómica (Junta de Andalucía), cluster aeronáutico de Aerópolis, turismo continuo, agroindustria, sector naval ligero y energía renovable.
• El proveedor adecuado suele necesitar capacidad bilingüe castellano e inglés (sector aeroespacial trabaja con cadena de suministro internacional) y capacidad de desplazamiento on-site a planta y a sedes de la Junta.
• La acreditación ENS Categoría Alta es prácticamente obligatoria para trabajar con consejerías autonómicas y entidades dependientes.
• Los marcos aplicables combinan ENS para AAPP autonómica, NIS2 para aerospace y energía, RGPD reforzado por volumen turístico y normativa sectorial aeronáutica.
• El coste de servicios estándar es comparable al de Madrid. En proyectos con desplazamiento prolongado a planta o a sedes provinciales puede aparecer recargo por dedicación.

Particularidades de la ciberseguridad en Andalucía

El ecosistema andaluz combina capas que se entrelazan en pocos territorios europeos. La capital alberga la sede de la Junta de Andalucía, con sus consejerías repartidas entre Sevilla y otras ciudades andaluzas, organismos autónomos, agencias y empresas públicas. Es la administración autonómica más grande del sur de Europa medida por población atendida, y todo su perímetro digital cae bajo Esquema Nacional de Seguridad.

El segundo eje es el cluster aeronáutico. El parque tecnológico aeroespacial Aerópolis, situado en La Rinconada al norte del aeropuerto de San Pablo, agrupa a Airbus Defence and Space, Aciturri, Alestis, Aernnova y decenas de pymes especializadas en mecanizado, materiales compuestos, sistemas y servicios para programas como el A400M, el A330 MRTT o programas de no tripulados. La cadena de suministro internacional impone requisitos contractuales de ciberseguridad muy concretos y trazables a los proveedores tier 2 y tier 3, con auditorías de seguridad de la información impulsadas desde las tractoras.

El tercer pilar es el turismo. Sevilla, Málaga, Granada, Córdoba y Cádiz reciben turismo cultural y de costa durante todo el año, con picos en Semana Santa, primavera y otoño. La cadena hotelera, restauración, ocio nocturno, parques temáticos y operadores turísticos manejan volúmenes altos de tarjetas de crédito y datos personales internacionales. El POS, la pasarela online y el motor de reservas concentran el riesgo.

Finalmente, la agroindustria del Valle del Guadalquivir, el aceite de oliva andaluz, la fresa de Huelva, el sector pesquero gaditano y los grandes operadores agroalimentarios constituyen un tejido industrial con creciente digitalización y exposición a fraude, suplantación de proveedores y ransomware. La energía renovable instalada en Andalucía (solar fotovoltaica, eólica, biomasa) añade infraestructura crítica clasificable bajo NIS2.

Sectores con mayor demanda

No todos los sectores andaluces consumen ciberseguridad al mismo ritmo. Estos son los que concentran la mayor parte del trabajo de auditoría, defensa y consultoría en el área metropolitana de Sevilla y en la comunidad autónoma.

Aeroespacial y cadena de suministro

El cluster Aerópolis es el comprador más exigente de ciberseguridad B2B en la región. Las tractoras imponen a sus proveedores requisitos de seguridad de la información alineados con marcos como ISO 27001, controles equivalentes a IEC 62443 en partes de planta, segmentación IT y OT en líneas con sistemas conectados y auditorías regulares de seguridad. El trabajo típico mezcla pentesting de aplicaciones de ingeniería, revisión de transferencia de datos sensibles del programa, segmentación de redes de fabricación y análisis de cadena de suministro software para componentes embarcados.

Administración pública autonómica y local

La Junta de Andalucía, las diputaciones provinciales, los grandes ayuntamientos andaluces y las entidades dependientes aplican ENS. Las consejerías y agencias autonómicas suelen estar en Categoría Alta del esquema por el volumen de información que tratan. Los proyectos habituales incluyen auditoría ENS con certificadora acreditada, planes de adecuación, ejercicios de continuidad de servicio, revisión de servicios digitales para la ciudadanía y formación al personal técnico de las consejerías. Los contratistas de la Junta también deben acreditar ENS para entrar en muchas licitaciones.

Turismo y hospitality

Cadenas hoteleras andaluzas, plataformas de venta directa, operadores turísticos receptivos, restauración organizada y comercio turístico viven con superficies de ataque que combinan web pública, integraciones OTA (Online Travel Agencies), sistemas PMS, pasarelas de pago, TPV físicos y aplicaciones móviles. La presión sube en eventos puntuales (Semana Santa, Feria de Abril, festivales) y en temporada alta de costa. Los incidentes habituales replican el patrón nacional con compromiso de pasarela, skimming en checkout y ransomware en cadenas medianas.

Agroindustria y pyme exportadora

Cooperativas agrarias, almazaras, conserveras, mayoristas hortofrutícolas y exportadores manejan facturación internacional con riesgo recurrente de fraude BEC, suplantación de proveedores y compromiso de correo corporativo. La digitalización progresiva de líneas y la conexión con compradores internacionales abren superficie nueva. Los proyectos típicos son auditorías ligeras, hardening de correo y formación operativa al personal administrativo.

Energía renovable

Plantas fotovoltaicas, parques eólicos, biomasa y los operadores que las gestionan tienen sistemas SCADA, monitorización remota y conectividad con operadores del sistema eléctrico. Bajo NIS2 buena parte de estos operadores queda como entidad esencial o importante. El trabajo cyber mezcla segmentación, revisión de accesos remotos de fabricante y revisión de protocolos industriales.

Criterios para elegir empresa cyber en Sevilla

Las preguntas básicas son las mismas que en cualquier capital europea, más algunas específicas del entorno andaluz que conviene plantear sin rodeos.

• Castellano e inglés operativos. El sector aeroespacial trabaja con cadena de suministro internacional, documentación en inglés y reuniones técnicas multilingües. El equipo que firma el informe debe poder defenderlo en inglés delante del comprador europeo.
• Capacidad on-site en Andalucía. Auditorías en planta de Aerópolis, revisiones en sedes de consejerías de la Junta, pentesting interno desde delegaciones provinciales o respuesta a incidentes en sitio exigen desplazamiento. Conviene verificar disponibilidad de equipo local o capaz de movilizarse en el día y dejarlo escrito en el contrato.
• Acreditación ENS Categoría Alta. Para licitar con consejerías autonómicas y agencias dependientes, la acreditación ENS del propio proveedor es requisito habitual. Sin ella, muchos pliegos eliminan a la empresa en el sobre administrativo.
• Experiencia documentada en aerospace supply chain. La auditoría de un proveedor tier 2 aeronáutico no es equivalente a la de una pyme agroalimentaria. Pedir referencias con autorización para contactar es la forma rápida de descartar perfiles genéricos.
• Certificaciones técnicas del equipo ejecutor. OSCP, OSEP, OSWE, CRTO, GIAC en rama forense o defensiva, plus formación específica en IEC 62443 cuando se trata de OT industrial. No basta con que las tenga el director, las exigen pliegos y compradores corporativos para los perfiles que firman.
• Research propio. CVEs publicados, advisories firmados, contribuciones a conferencias del sector. Diferencia un equipo que investiga de uno que solo ejecuta plantillas comerciales.
• Tratamiento de información sensible aeronáutica. NDAs reforzados, transferencia segura, almacenamiento cifrado con destrucción documentada, separación de proyectos cuando el comprador es defensa. El proveedor debe tener procedimientos, no improvisación.

AndalucíaCERT y autoridades regionales

El Centro Andaluz de Seguridad de la Información, conocido como AndalucíaCERT o CSIRT-CV andaluz según etapa, es el equipo de respuesta a incidentes que cubre el sector público autonómico andaluz. Está adscrito a la consejería competente en transformación digital de la Junta de Andalucía y coordina la respuesta a incidentes que afectan a sistemas de la administración autonómica, así como labores preventivas, formación y diseminación de alertas. Para una empresa que sufre un incidente cuando es contratista de la Junta o presta servicios digitales a una consejería, AndalucíaCERT es uno de los interlocutores naturales.

El encaje con INCIBE-CERT funciona en la lógica habitual del modelo español. INCIBE-CERT mantiene su rol nacional para pymes, ciudadanía y operadores no asignados a un CSIRT autonómico o sectorial, mientras AndalucíaCERT cubre el ámbito autonómico andaluz. Para incidentes que afectan a operadores esenciales bajo NIS2, la notificación se eleva al CSIRT competente según el sector y el ámbito territorial.

Respecto al ENS, los ayuntamientos andaluces, las ocho diputaciones provinciales y las entidades dependientes de la Junta aplican el esquema como el resto de administraciones españolas. Las certificadoras acreditadas y el procedimiento son nacionales. Lo que añade Sevilla y Andalucía es el volumen: por tamaño de la comunidad, hay más proyectos ENS activos a la vez que en otras autonomías.

Servicios típicos más demandados

El catálogo que pide el mercado andaluz se concentra alrededor de cinco familias principales.

El pentesting aerospace combina aplicación, infraestructura, segmentación y revisión documental de SGSI. La auditoría ENS sigue procedimiento de certificadora acreditada, con análisis de declaración de aplicabilidad, revisión de implantación y plan de acción. El pentesting hospitality entra por web pública o motor de reservas y suele incluir POS físico cuando el alcance lo permite. El DFIR exige respuesta inmediata con equipo desplazable. La formación a PYME agro se ejecuta normalmente en sesiones cortas en sede del cliente o de la cooperativa.

Marcos normativos aplicables

Para una empresa con sede en Andalucía, el mapa regulatorio se ordena en cuatro capas que conviven en función del sector.

1. ENS. Obligatorio para administración pública autonómica andaluza, sus organismos dependientes y sus contratistas que tratan información de la administración. Categoría Alta es habitual en consejerías por volumen y sensibilidad. La acreditación se documenta y renueva con auditoría externa periódica.
2. NIS2 transpuesta al derecho español. Aplica a operadores esenciales e importantes según los anexos europeos: aerospace y defensa cuando el operador encaja, energía renovable e infraestructura eléctrica, agua, salud, transporte y proveedores digitales relevantes. La transposición española define autoridad competente, plazos de notificación y régimen sancionador.
3. RGPD reforzado para turismo masivo. El volumen de datos personales internacionales que mueve la cadena turística andaluza hace que la auditoría RGPD vaya más allá del checklist: transferencias internacionales, base legal para perfilado, gestión de derechos de huéspedes no residentes y registros de actividades del tratamiento al nivel exigido por la AEPD.
4. Normativa sectorial aeronáutica. Programas militares y duales aplican requisitos específicos de protección de información clasificada, controles de exportación y trazabilidad de cadena de suministro. El proveedor cyber que trabaja con tier 1 aeronáuticos debe entender estos marcos sin necesidad de explicación inicial.

A esto se añaden, según vertical, PCI DSS para entidades que procesan pagos, DORA para entidades financieras supervisadas por Banco de España o BCE, e ISO 27001 como estándar de referencia para gestión del SGSI corporativo.

Boutique vs Big4 en el ecosistema Sevilla

Las cuatro tipologías de proveedor del mercado nacional están presentes en Sevilla, con matices que conviene conocer antes de comparar propuestas.

La elección práctica para muchas empresas y administraciones andaluzas termina siendo una combinación: boutique especializada para auditoría técnica y compliance puntual, MSSP para defensa gestionada continua y Big4 cuando hay proyecto transversal que requiere capacidad de orquestación y firma reconocida en pliego.

Coste orientativo

El precio en Sevilla no diverge significativamente de Madrid o Barcelona en servicios estándar. Los rangos orientativos para 2026, para una empresa mediana en sector regulado, se sitúan aproximadamente en estos órdenes de magnitud.

• Pentesting web sencillo (1 a 3 aplicaciones, alcance acotado): entre 6.000 y 18.000 euros, según número de roles, integraciones y profundidad solicitada.
• Pentesting móvil (iOS y Android de una aplicación): entre 7.000 y 15.000 euros.
• Auditoría ENS con certificadora acreditada (alcance medio en organismo autonómico): entre 18.000 y 60.000 euros según número de sistemas y volumen de declaración de aplicabilidad.
• Auditoría aerospace supply chain con revisión documental, técnica y de cadena de suministro: entre 20.000 y 70.000 euros según alcance.
• Red team de 6 a 10 semanas: entre 40.000 y 120.000 euros según objetivos y reglas de engagement.
• Compliance NIS2 completo (gap, plan de remediación, acompañamiento a notificación): entre 25.000 y 80.000 euros.
• DFIR con retainer anual: cuotas desde 6.000 euros al año con horas reservadas, más bolsa de horas a tarifa diaria cuando se activa el caso.
• Formación PYME agroindustria in situ: entre 1.500 y 4.000 euros por jornada con materiales y sesiones prácticas.

Los factores que pueden mover los rangos al alza en Andalucía son la necesidad de desplazamiento prolongado a provincias distintas a Sevilla (Almería, Huelva oeste, Jaén interior, sierras), la dedicación on-site continuada en planta aeroespacial y los horarios extendidos cuando hay que minimizar impacto en temporada turística o ventana de mantenimiento de planta.

Preguntas frecuentes

¿Hay proveedores que vengan on-site a Andalucía?

Sí. Para auditorías en planta de Aerópolis, revisiones en sedes provinciales de consejerías, pentesting interno desde sede del cliente, formación presencial y respuesta a incidentes en sitio, los proveedores serios desplazan equipo. Para una empresa con sedes distribuidas por la comunidad, encontrar boutique con equipo local o capaz de moverse en el día es habitual en el eje Sevilla, Málaga y Granada. En provincias menos densas el desplazamiento se planifica con margen. Conviene preguntarlo de forma explícita y dejarlo escrito en el contrato.

¿Es necesaria la acreditación ENS Categoría Alta?

Depende de para quién trabaje el proveedor. Para licitar con consejerías de la Junta y muchas agencias autonómicas andaluzas, la acreditación ENS del propio proveedor es habitual como requisito en el pliego. La Categoría Alta cubre los sistemas más sensibles, y haberla obtenido demuestra que la empresa cyber maneja datos y procesos según el nivel más exigente del esquema. Para trabajos puramente privados puede no ser exigible, pero suele ser un buen indicador de madurez.

¿Cómo funciona la auditoría aerospace supply chain?

Combina varios planos. Se revisa el SGSI del proveedor (políticas, gestión de riesgos, controles de acceso, gestión de incidentes), se hace pentesting técnico sobre infraestructura y aplicaciones, se evalúa segmentación entre redes corporativas y de fabricación, se revisan transferencias de datos sensibles del programa y se analiza la cadena de suministro software propia del proveedor. El entregable suele alinearse con los marcos pedidos por la tractora (ISO 27001, controles equivalentes a IEC 62443 si hay OT, requisitos propios del programa) y se entrega en castellano e inglés.

¿Qué pasa con datos turismo bajo GDPR?

El tratamiento de datos de huéspedes internacionales implica transferencias internacionales, gestión de derechos para no residentes, tratamientos de menores cuando viajan en familia y, en algunos casos, perfilado comercial que requiere base legal cuidada. La AEPD ha multado a cadenas hoteleras por brechas y por gestión deficiente del consentimiento. Un proveedor cyber que trabaje el sector turismo andaluz debería entender estas dimensiones más allá del informe técnico y ayudar a alinearlas con la auditoría de seguridad.

¿El coste es mayor o menor que en Madrid?

En servicios estándar (pentesting web, móvil, API, cloud), las tarifas son comparables entre Sevilla y Madrid. En proyectos con desplazamiento prolongado a planta aeroespacial, a sedes provinciales de la Junta o a operadores en provincias menos densas, el coste puede subir ligeramente por dedicación específica del equipo. En servicios gestionados, los precios siguen tarifa nacional homogénea de cada MSSP, así que la procedencia geográfica del cliente influye poco.

¿NDA y confidencialidad cómo se gestionan en aerospace?

El estándar del sector es firma de NDA mutuo antes de cualquier información sensible, incluido el alcance detallado del proyecto. En aerospace y defensa los NDA son reforzados, con cláusulas sobre tratamiento de información del programa, separación física y lógica del proyecto en infraestructura del proveedor, destrucción documentada de evidencias y trazabilidad de quién accedió a qué material y cuándo. Para empresas reguladas también se firma acuerdo de tratamiento de datos cuando el alcance toca sistemas con dato personal.

Recursos relacionados

• Empresas de ciberseguridad en España: cómo elegir: el marco nacional con los tipos de proveedor y criterios generales.
• Empresa de ciberseguridad en Madrid: la guía equivalente para la capital y su ecosistema cyber.
• Empresa de ciberseguridad en Barcelona: la guía equivalente para Cataluña con su autoridad propia.
• Auditoría de ciberseguridad para empresas: guía completa: qué incluye una auditoría completa y cómo se estructura.
• ENS para pymes: guía completa: el marco aplicable a administración pública andaluza y sus contratistas.
• Directiva NIS2: aplicación y multas: el marco para aerospace, energía y operadores esenciales en Andalucía.
• Cuánto cuesta un pentesting en España: rangos y factores que mueven el precio.

Trabaja con Secra en Sevilla

En Secra cubrimos proyectos en Sevilla y en toda Andalucía con capacidad de desplazamiento on-site bajo demanda para aerospace, AAPP autonómica, hospitality e industria. El equipo trabaja en castellano e inglés con perfiles certificados (OSCP, OSEP, OSWE, CRTO) y ofrecemos pentesting web, móvil, API, infraestructura interna y externa, cloud, IoT y OT, red team y DFIR, con metodologías OWASP WSTG, MASVS, API Top 10, PTES y MITRE ATT&CK. Estamos preparados para licitaciones ENS con organismos autonómicos, mapeamos los proyectos a NIS2, DORA, ISO 27001 y PCI DSS según aplique, y mantenemos investigación propia con CVEs publicados. Para aerospace supply chain trabajamos con NDA reforzado y separación documentada del proyecto. Si quieres una propuesta concreta, escríbenos desde contacto y hablas directamente con un consultor senior, sin filtros comerciales.