Elegir una empresa de ciberseguridad en España se ha vuelto una decisión estratégica que cualquier organización mediana o grande tiene que tomar al menos una vez al año, y la diferencia entre acertar o equivocarse se mide en incidentes evitados, multas regulatorias por NIS2 o DORA, y horas de equipo interno consumidas resolviendo problemas que el proveedor debería haber detectado. El mercado español va desde boutiques especializadas con investigación propia y advisories firmados, hasta divisiones cyber de Big Four que venden auditorías y compliance dentro de proyectos enterprise. Cada una tiene su sitio, ninguna sirve para todo, y la elección debería partir del problema concreto que quieres resolver, no del tamaño del logo del proveedor.
Esta guía explica qué hace y qué no hace una empresa de ciberseguridad, los tipos de proveedor que conviven en España (boutique, Big Four, MSSP, fabricante), las áreas de servicio que componen el catálogo estándar, cómo evaluar una propuesta antes de firmar, qué señales de alerta detectar y cómo cambia la elección según la madurez del comprador y el sector regulado.
Qué hace una empresa de ciberseguridad
Una empresa de ciberseguridad agrupa servicios técnicos y de consultoría destinados a evaluar, defender y responder ante riesgos sobre los activos digitales de otra organización. Lo que se contrata varía mucho según el producto:
- Auditoría técnica ofensiva (pentesting, red team): simulación autorizada de un atacante para encontrar vulnerabilidades antes que él.
- Defensa y monitorización (SOC, SIEM, EDR, MDR): detección y respuesta a incidentes en tiempo real, normalmente bajo contrato gestionado.
- Consultoría GRC (NIS2, DORA, ENS, ISO 27001): implantación de marcos de compliance, gestión de riesgos, auditorías de certificación.
- Respuesta a incidentes (DFIR): contención, análisis forense y recuperación tras una intrusión.
- Threat intelligence: feeds, monitorización de actores y campañas, contexto para el equipo defensivo.
- Formación y concienciación: simulaciones de phishing, training técnico, ejercicios para directivos.
Lo que normalmente NO hace una empresa de ciberseguridad pura, aunque se confunda en el mercado:
- Suministrar producto sin servicio (eso es un fabricante, no una empresa de ciberseguridad).
- Hacer "todo lo de IT" (helpdesk, redes, infraestructura general). Eso es una consultora generalista o un MSP.
- Vender certificados de compliance "rápidos" sin auditoría real. Eso es un riesgo regulatorio, no un servicio.
Identificar el problema concreto antes de pedir oferta es lo que evita comprar capacidad que no necesitas o quedarte corto en lo crítico.
Tipos de empresa de ciberseguridad en España
El mercado español tiene cuatro perfiles bien diferenciados. Ninguno es mejor en abstracto.
Boutiques especializadas
Equipos de 10 a 100 personas centradas exclusivamente en ofensiva, GRC, DFIR o threat intelligence. Investigación propia, charlas, advisories, contribución open source. Ejemplos en España: Tarlogic, Hispasec, BlackArrow, Internet Security Auditors, Securízame y un grupo de boutiques medianas (entre las que nos incluimos en Secra).
Cuándo encajan: organizaciones que valoran profundidad técnica y contacto directo con quien hace el trabajo. Continuidad año tras año habitual porque el equipo aprende el contexto.
Big Four y consultoras grandes
PwC, Deloitte, KPMG, EY tienen división de cyber dentro de su práctica de risk advisory. Sirven cuando la decisión de compra está en el comité ejecutivo y se valora el sello reputacional, o cuando la auditoría se contrata como parte de un proyecto de compliance más amplio (ENS, NIS2, ISO 27001) que el mismo proveedor ya está liderando.
Limitación habitual: el perfil técnico ofensivo dentro de la firma rota mucho y la profundidad del informe a menudo queda por debajo de una boutique. La mejor versión del Big Four en pentesting es cuando subcontrata a una boutique y firma encima, lo cual es público y aceptado en el sector.
MSSP y MDR (servicios gestionados)
Telefónica Tech, S2 Grupo, Innotec (parte de Accenture), Indra, GMV, Entelgy ofrecen ciberseguridad gestionada como pieza dentro de un programa amplio (SOC 24x7, MDR, EDR, GRC, gestión de plataformas). Sentido claro cuando ya consumes su SOC y quieres consolidar proveedor.
Limitación: el pentesting ad hoc no es su producto core, así que la calidad del entregable depende mucho del equipo concreto asignado. Para defensa gestionada continua es donde mejor desempeñan.
Fabricantes con servicios profesionales
Algunos fabricantes (Microsoft, AWS, Cloudflare, CrowdStrike, Palo Alto, Datadog, SentinelOne) ofrecen servicios profesionales que incluyen pentesting o red team de su propia plataforma. Útiles cuando el activo está dentro de su ecosistema y quieres que la prueba la ejecute quien conoce las internals.
Limitación: tienden a centrarse en el ecosistema propio. Si tu superficie es heterogénea (multi-cloud, múltiples SaaS, infra on-prem), no cubre el mapa completo.
Áreas de servicio del catálogo estándar
Cuando comparas empresas, la mayoría organiza el catálogo en alguna combinación de estas familias:
| Familia | Servicios típicos | Cuándo aplica |
|---|---|---|
| Ofensiva | Pentesting web, móvil, API, infraestructura, cloud, IoT/OT, Red Team, Purple Team | Validar la postura técnica anualmente o tras cambios |
| Defensa | SOC, SIEM, EDR, MDR, NDR | Monitorización y respuesta continua |
| GRC | NIS2, DORA, ENS, ISO 27001, PCI DSS, RGPD, riesgos | Cumplimiento regulatorio y certificación |
| DFIR | Respuesta a incidentes, forense, recuperación | Durante o tras un incidente |
| Threat intelligence | Feeds, threat hunting, OSINT | Madurez defensiva avanzada |
| Formación | Simulación phishing, training técnico, tabletops | Reducir riesgo humano |
Una empresa madura suele cubrir 3-4 de estas familias bien y tener partners para el resto. Pocas hacen las seis con la misma profundidad.
Cómo evaluar una propuesta antes de firmar
Cinco criterios que separan un proveedor que aporta valor de uno que entrega papel:
- Equipo identificable y técnicamente activo. Pide nombres de las personas que ejecutarán el proyecto, sus certificaciones (OSCP, OSWE, OSEP, CRTO, GPEN, CISA, CISSP según el producto), referencias de proyectos similares y huella pública (charlas, advisories, herramientas open source). Un equipo serio responde sin reparos.
- Metodología trazable a estándar. OWASP WSTG/MASVS para web/móvil, OWASP API Security Top 10 para APIs, PTES y NIST 800-115 para infraestructura, MITRE ATT&CK para red team, ISO 27001 para GRC. Si la metodología es "propia" sin referencia, es señal de improvisación.
- Informe de muestra anonimizado. El entregable real, no la plantilla de marketing. Mira: claridad del resumen ejecutivo separado del técnico, severidad CVSS justificada, prueba de concepto reproducible, recomendaciones priorizadas por esfuerzo.
- Retest incluido en el alcance. Tras los fixes, el proveedor valida cada hallazgo. Si lo cobra como extra, monetiza tu hallazgo en lugar de cerrarlo.
- Capacidad de adaptarse al sector. Auditar fintech, salud, sector público o industria pide perfiles distintos. Un proveedor serio te dice si no es su nicho.
Para detalle de criterios concretos en pentesting hay una guía dedicada en cómo elegir una empresa de pentesting.
Señales de alerta antes de firmar
Patrones que sistemáticamente correlacionan con auditorías flojas:
- Propuesta cerrada antes de scoping técnico. El comercial cotiza sin que un técnico haya hecho preguntas (cuántos endpoints, qué tipos de usuario, qué módulos críticos, qué SSO). El equipo improvisa al llegar.
- Sólo escáner automatizado disfrazado. La propuesta promete "auditoría exhaustiva" pero el entregable es un PDF de Nessus, Acunetix o MobSF con maquillaje. Identificable porque los hallazgos se parecen sospechosamente al output del escáner.
- Equipo subcontratado en cascada. La empresa principal vende, una segunda coordina, freelancers ejecutan. Cada eslabón rebaja margen y calidad. Detección: pide nombres y verifica huella pública.
- Sin investigación propia ni contribución pública. Una empresa que en cinco años no ha publicado un advisory, una charla o una herramienta tiene poco músculo técnico real.
- Informe template estilo auditoría financiera. Documento corporativo de 400 páginas con riesgos abstractos sin payloads concretos. No sirve para arreglar nada técnico.
Especialización por sector en España
Algunas verticales tienen requisitos específicos que conviene tener en cuenta:
- Banca y servicios financieros: DORA aplicable desde enero 2026, TLPT bajo TIBER-EU para entidades significativas, supervisión de Banco de España y CNMV. Empresas con experiencia documentada en TIBER-EU son escasas (públicamente, S21sec/Innotec, Telefónica Tech, Mnemo y un grupo reducido de boutiques han ejecutado proyectos TLPT).
- Sanidad: RGPD reforzado, sector NIS2 esencial, datos de salud con régimen sancionador agravado. Pentesting móvil de apps de paciente y auditoría de historia clínica electrónica son habituales.
- Sector público y AAPP: ENS de aplicación obligatoria (Real Decreto 311/2022), categorías media y alta exigen auditoría documentada bienal/anual, certificación con entidad acreditada por ENAC.
- Industria y OT: pentesting IoT/OT con prudencia (no auditar producción sin réplica), conocimiento de Modbus, S7, OPC UA, IEC 62443. Pocos proveedores con perfiles dedicados; preguntar referencias específicas industriales.
- Retail y e-commerce: PCI DSS si se procesa pago directamente, pentest anual obligatorio, foco en lógica de negocio y APIs.
- Telecomunicaciones: NIS2 esencial, supervisión de la Secretaría de Estado de Telecomunicaciones, marcos sectoriales propios.
Compliance: NIS2, DORA, ENS, ISO 27001, PCI DSS
Para que la auditoría valga delante del regulador o del auditor externo, conviene que el alcance se mapee explícitamente al marco aplicable.
- NIS2 (artículo 21 y 23). Eficacia de medidas técnicas y notificación de incidentes. La auditoría documentada con metodología, hallazgos y fixes es la evidencia que el organismo competente (INCIBE en sectores estatales españoles) puede pedir.
- DORA (artículos 24-26). Pruebas de resiliencia operativa anual y, para entidades significativas, TLPT bajo TIBER-EU cada tres años con proveedor acreditado.
- ENS (Real Decreto 311/2022, Marco Operacional). Auditoría técnica regular para sistemas de categoría media y alta. Frecuencia mínima bienal en alto.
- ISO 27001:2022 (control 8.29). Pruebas de seguridad documentadas dentro del SGSI. La auditoría con metodología, hallazgos, fixes y retest cubre el control.
- PCI DSS v4.0 (req. 11.4). Pentest interno y externo anual + tras cualquier cambio significativo. Metodología "industry-accepted" exigida (PTES, OWASP, NIST 800-115). Equipo organizativamente independiente del responsable de los activos.
Pedir al proveedor que indique en propuesta a qué controles concretos mapea el entregable simplifica el trabajo del auditor del año siguiente.
Cómo cambia la elección según el momento
No es lo mismo contratar la primera auditoría que la séptima.
- Primera auditoría de la organización. Aceptar que el primer informe va a estar cargado, planificar 2-3 ciclos consecutivos para cerrar la deuda inicial, elegir un proveedor que ayude a priorizar (no que entregue lista plana de 200 hallazgos).
- Auditoría recurrente con proveedor estable. La continuidad año tras año acelera porque el equipo conoce el contexto. Plantearse cambiar cada 2-3 años para refrescar ojo crítico, sin convertirlo en política rígida.
- Auditoría tras incidente. Combinar DFIR con auditoría técnica externa. Idealmente proveedores distintos para que la auditoría no la haga el mismo que respondió al incidente.
- Compliance urgente (DORA, NIS2 con plazo cerrado). Buscar proveedor con experiencia documentada en el marco específico. Pedir referencias.
- Programa maduro con SOC propio. Encaja contratar pentesting puntual a boutique especializada y dejar la operativa diaria al equipo interno + MSSP de respaldo.
Preguntas frecuentes
¿Cómo distingo una empresa de ciberseguridad seria de una que sólo vende?
Tres señales rápidas que filtran bien: (1) el equipo del proveedor publica investigación, charlas o advisories firmados con nombre y apellidos; (2) la propuesta se cierra después de un scoping técnico real con preguntas concretas, no antes; (3) el informe muestra anonimizado tiene prueba de concepto reproducible, no riesgos abstractos. Si fallan las tres, descarta.
¿Conviene una boutique pequeña o una empresa grande?
Depende del activo y de la organización compradora. La boutique aporta profundidad técnica, contacto directo y continuidad. La empresa grande aporta cobertura geográfica, integración con otros servicios y sello reputacional. Lo importante no es el tamaño sino el perfil del equipo concreto que ejecuta. Pídelo nominalmente.
¿Cuánto cuesta un proyecto de ciberseguridad en España?
Varía mucho por tipo de servicio, alcance y compliance objetivo. Un pentesting web mediano puede ir de varios miles a decenas de miles de euros; un proyecto NIS2 de implantación completa, en el orden de varias decenas de miles. Lo más útil al comparar no es la cifra absoluta sino el coste por jornada-persona del equipo y la duración propuesta para el mismo alcance. Dos propuestas con la misma cifra final pueden esconder un factor de tres en horas reales dedicadas.
¿Es mejor un proveedor único o varios especializados?
Programas maduros suelen combinar: una empresa para auditoría técnica (boutique ofensiva), otra para servicios gestionados (MSSP) y consultoría GRC con un tercer proveedor (boutique consultora o Big Four). Concentrar todo en un único proveedor crea dependencia y limita perspectiva externa. Concentrar en demasiados eleva coste de gobernanza.
¿Necesito una empresa española o vale una internacional?
Para servicios técnicos puros (pentesting, red team, DFIR), una empresa internacional puede valer si tiene el perfil. Para compliance ENS, NIS2 español, RGPD y proyectos con AAPP, conviene proveedor con presencia y experiencia documentada en España: el regulador, los plazos y los formatos los conoce mejor. Para sectores con regulación estatal (banca con Banco de España, telco con SETID), la presencia local es prácticamente obligatoria.
¿Cómo verifico que el equipo asignado es realmente el que firmó la propuesta?
Pídelo en el contrato como cláusula expresa: el equipo nominado en la propuesta es quien ejecuta. Cualquier sustitución requiere aviso previo y aceptación del cliente. La mayoría de proveedores serios lo aceptan; los que se resisten suelen tener problemas de rotación interna que no quieren reconocer.
Recursos relacionados
- Cómo elegir una empresa de pentesting: criterios específicos para auditoría ofensiva.
- Qué es un pentesting: el pillar técnico del cluster ofensivo.
- Qué es un Red Team: cuándo conviene un red team frente a un pentesting.
- Auditoría web: guía completa: qué incluye una auditoría web concreta y cómo evaluar la propuesta.
- Cómo cumplir NIS2 en España: el marco regulatorio principal en sectores esenciales.
Cómo trabajamos en Secra
Secra es una boutique de ciberseguridad ofensiva con sede en España. Cubrimos pentesting web, móvil, API, infraestructura interna y externa, cloud, IoT/OT y red team con metodologías OWASP WSTG/MASVS, API Top 10, PTES y MITRE ATT&CK. Mantenemos un programa interno de research que ha publicado advisories en NVD e INCIBE-CERT (incluido CVE-2025-40652 en CoverManager y CVE-2023-3512 en Setelsa ConacWin CB). Todos nuestros informes incluyen prueba de concepto reproducible, severidad CVSS justificada, retest sin coste adicional y mapeo a NIS2, DORA, ENS, ISO 27001 o PCI DSS según aplique. Si quieres una propuesta concreta para tu organización, escríbenos a través de contacto o explora los servicios y soluciones del catálogo.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.