Compliance
Magerit
análisis de riesgos
PILAR

Qué es Magerit: metodología de análisis de riesgos y herramienta PILAR

Qué es Magerit, los 6 elementos (activos, amenazas, salvaguardas), el proceso paso a paso, herramienta PILAR y encaje con ENS, ISO 27001, NIS2 y DORA.

Secra12 de mayo de 202613 min de lectura

Magerit es la metodología oficial de análisis y gestión de riesgos TIC de la administración pública española, publicada en 2012 y vigente en 2026. Las siglas vienen de Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas. La versión actual es Magerit v3 (octubre 2012), estructurada en tres libros: método, catálogo de elementos y guía técnica. Sigue siendo referencia obligada en cualquier organización que implante el Esquema Nacional de Seguridad (ENS) y aparece de forma natural cuando se aborda gestión de riesgos en proyectos NIS2, DORA o ISO 27001:2022 en España.

Esta guía explica qué es exactamente Magerit, los seis elementos del modelo (activos, amenazas, vulnerabilidades, salvaguardas, impacto, riesgo), el proceso paso a paso del análisis, la herramienta PILAR del CCN para automatizar el cálculo, encaje con ENS, ISO 27001, NIS2 y DORA, comparativa con otras metodologías (ISO 27005, NIST RMF, OCTAVE, FAIR) y errores comunes en proyectos reales en España.

Qué es Magerit

Magerit es una metodología sistemática para identificar los activos de información de una organización, los riesgos a los que están expuestos y las salvaguardas necesarias para reducir ese riesgo a un nivel aceptable. La primera versión data de 1997 (Magerit v1), la segunda de 2005 y la actual v3 se publicó en octubre 2012. La publica el Ministerio para la Transformación Digital y la Función Pública (heredera del antiguo MAP y posterior MINHAP) a través del Portal de Administración Electrónica (PAe); la herramienta oficial que la instrumenta (PILAR) la mantiene el CCN (Centro Criptológico Nacional, parte del CNI).

Lo que aporta operativamente:

  • Marco común para hablar de riesgo TIC en administraciones públicas y proveedores.
  • Catálogo extenso de amenazas, vulnerabilidades y salvaguardas preconstruido que ahorra meses de trabajo inicial.
  • Compatibilidad nativa con ENS: el Real Decreto 311/2022 cita Magerit como metodología de referencia.
  • Aproximación cuantitativa y cualitativa. Permite ambas según la madurez y los datos disponibles.
  • Herramienta de soporte gratuita (PILAR) del CCN que automatiza el cálculo y mantiene el modelo vivo.

Lo que tiene en contra:

  • Curva de aprendizaje alta para equipos sin experiencia previa en riesgos.
  • Documentación voluminosa (los tres libros suman más de 400 páginas).
  • Aproximación administrativa. Diseñada para sector público, requiere adaptación en empresa privada pequeña.
  • No incorpora amenazas modernas con la velocidad de marcos sectoriales (cloud-native, AI, supply chain).

Los seis elementos del modelo

Magerit modela el riesgo combinando seis elementos. Entender estos seis es entender la metodología.

1. Activos

Recursos de la organización con valor que el análisis debe proteger. Magerit los clasifica en categorías con códigos oficiales del libro 2:

  • [D] datos e información (bases de datos, ficheros, registros).
  • [S] servicios (servicios prestados al exterior o internos).
  • [SW] software y aplicaciones.
  • [HW] equipamiento informático.
  • [COM] redes de comunicaciones.
  • [Media] soportes de información (discos, cintas, papel).
  • [AUX] equipamiento auxiliar (climatización, alimentación, mobiliario).
  • [L] instalaciones (centros de datos, edificios).
  • [P] personal.
  • [K] claves criptográficas.

Cada activo recibe una valoración en cinco dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. La valoración se expresa en una escala (típicamente 0-10 o "bajo/medio/alto") según el método elegido.

2. Amenazas

Eventos potenciales que pueden afectar a un activo. Magerit las clasifica en cuatro categorías:

  • [N] desastres naturales (incendio, inundación, terremoto).
  • [I] de origen industrial (fallo eléctrico, contaminación, ruido).
  • [E] errores y fallos no intencionados.
  • [A] ataques intencionados.

Cada amenaza tiene un catálogo de impactos potenciales sobre las dimensiones del activo.

3. Vulnerabilidades

La probabilidad de que una amenaza se materialice efectivamente. Magerit la cuantifica como frecuencia esperada de ocurrencia (anual o normalizada en una escala).

4. Impacto

El daño que produce una amenaza si se materializa. Se calcula multiplicando la degradación que sufre cada dimensión del activo por el valor del activo en esa dimensión.

5. Riesgo

Función de impacto y probabilidad. Magerit ofrece varias fórmulas; la más usada es:

Riesgo = Impacto × Frecuencia

El riesgo se calcula como riesgo intrínseco (sin salvaguardas) y riesgo residual (tras aplicar las salvaguardas). El objetivo del análisis es que el residual quede por debajo del umbral aceptable definido por la dirección.

6. Salvaguardas

Medidas técnicas, organizativas o físicas que reducen probabilidad, impacto o ambos. Magerit las clasifica en preventivas, disuasorias, correctivas, recuperativas. El catálogo del libro 2 lista más de 200 salvaguardas tipo con código identificador (H.AC.acc-control, H.IR.detection, etc.).

El proceso paso a paso

Un análisis Magerit serio sigue siempre estas siete fases.

  1. Inventario y clasificación de activos. Identificar todo lo que tiene valor, asignar dependencias entre activos y valorar en las cinco dimensiones.
  2. Identificación de amenazas. Por cada activo, qué amenazas le aplican según el catálogo del libro 2.
  3. Estimación de la degradación. Para cada par (amenaza, activo), cuánto degradaría cada dimensión.
  4. Estimación de la frecuencia. Cuántas veces al año cabe esperar que esa amenaza se materialice contra ese activo.
  5. Cálculo del riesgo intrínseco. Para cada par, riesgo = impacto × frecuencia.
  6. Identificación y valoración de salvaguardas existentes y propuestas.
  7. Cálculo del riesgo residual y aceptación. La dirección acepta formalmente el riesgo residual o pide salvaguardas adicionales.

El entregable habitual es un informe con matriz de riesgos, mapa de calor (heatmap) por activo, plan de tratamiento priorizado y declaración formal de aceptación de riesgos residuales firmada por la dirección.

PILAR: la herramienta del CCN

PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos) es la aplicación gratuita del CCN que automatiza Magerit. Hay varias variantes según licencia y alcance:

  • PILAR. Herramienta completa para análisis de riesgos en organizaciones medianas y grandes.
  • µPILAR. Versión reducida para administraciones locales y empresas pequeñas.
  • RMAT. Herramienta web del CCN para organismos integrados en la suite CCN-STIC.

PILAR carga automáticamente catálogos de activos tipo, amenazas y salvaguardas, mantiene la matriz de dependencias y calcula riesgo intrínseco y residual al modificar valores. La curva de aprendizaje es de varias semanas y la interfaz tiene patrón administrativo clásico (no es bonita pero funciona).

El CCN distribuye PILAR sin coste para administraciones públicas españolas. Las empresas privadas pueden obtenerlo en condiciones específicas según su relación con el sector público.

Encaje con marcos regulatorios

Magerit no es obligatoria por ley en empresa privada española, pero aparece de forma natural en proyectos serios de cumplimiento.

ENS (Real Decreto 311/2022)

El Esquema Nacional de Seguridad cita Magerit como metodología de referencia para el análisis de riesgos exigido en su artículo 12. Cualquier organización dentro del alcance ENS (administraciones públicas y proveedores que les prestan servicios TIC) realiza análisis Magerit-compatible. Detalle en la guía de ENS para pymes.

ISO 27001:2022

ISO 27001 exige análisis de riesgos (cláusula 6.1.2) pero es agnóstica en cuanto a metodología. Magerit, ISO 27005, NIST RMF u OCTAVE son aceptables. Para empresas que ya tienen ENS, mantener Magerit en ISO 27001 reduce duplicidad. Detalle en ISO 27001 explicada.

NIS2 (Directiva UE 2022/2555)

NIS2 (artículo 21) exige medidas de gestión de riesgos pero no impone metodología. Magerit es una opción razonable para entidades esenciales o importantes españolas, sobre todo si también están en alcance ENS. Detalle en cómo cumplir NIS2 en España.

DORA (Reglamento UE 2022/2554)

DORA (artículo 6 y 8) exige marco de gestión de riesgos ICT en entidades financieras. ISO 27005 o frameworks específicos del sector son más comunes en banca y seguros, pero Magerit aplica si la entidad ya lo usa por relación con sector público. Detalle en DORA cumplimiento.

Otros encajes

  • PCI DSS v4.0 (req. 12.3.1) pide análisis de riesgo formal documentado. Magerit lo cubre.
  • RGPD (artículo 32 y 35) exige análisis de impacto en protección de datos (EIPD/DPIA). Magerit complementa el análisis de riesgos generales que el EIPD necesita.

Magerit frente a otras metodologías

Cuatro alternativas frecuentes y cuándo elegir cada una.

ISO 27005

Estándar internacional de gestión de riesgos en seguridad de la información. Más flexible que Magerit (no impone clasificaciones rígidas), reconocida globalmente, alineada con ISO 27001. Mejor para organizaciones internacionales o sin obligación ENS.

NIST SP 800-30 y RMF

Estándares estadounidenses. NIST RMF es el marco completo, NIST 800-30 la guía de análisis. Dominantes en EEUU y en sectores con relaciones con administración federal estadounidense. Más cuantitativos por defecto.

OCTAVE / OCTAVE Allegro

Diseñada por CERT/SEI (Carnegie Mellon). Aproximación más cualitativa orientada a workshops con stakeholders. Útil en organizaciones donde los datos cuantitativos son escasos.

FAIR (Factor Analysis of Information Risk)

Modelo cuantitativo puro que expresa el riesgo en términos económicos (probabilidad de pérdida y magnitud monetaria). Ganando tracción en banca, energía y grandes corporaciones que quieren CFO-ready risk reporting. Muchos análisis serios combinan Magerit (estructura) con FAIR (cuantificación monetaria).

Errores comunes en proyectos reales

Lo que se ve en consultoría con clientes que implantan o tienen Magerit.

Inventario de activos desactualizado o incompleto. El análisis se hace una vez y nadie lo mantiene. A los 18 meses, hay activos nuevos no inventariados, dependencias modificadas, y el análisis ya no refleja la realidad. Falla la cláusula de mejora continua de ISO 27001 y la actualización ENS.

Valoraciones subjetivas sin criterio documentado. Cada consultor que pasa valora distinto y el modelo se vuelve inconsistente. Documentar criterios de valoración y mantenerlos en consenso del comité de seguridad evita esto.

Catálogo de amenazas tomado tal cual. El catálogo de Magerit v3 es exhaustivo pero genérico. Si no se filtra y prioriza por contexto del negocio, el análisis se vuelve inmanejable y nadie lo lee. Curar el catálogo a las 30-50 amenazas verdaderamente relevantes hace la diferencia.

Salvaguardas mal valoradas. Asumir que un control está implantado al 100% sin evidencia. Una auditoría rápida sobre 5-10 salvaguardas críticas suele descubrir que la implantación real es bastante menor que la declarada.

Aceptación de riesgo sin firma de dirección. Magerit (y ENS y ISO 27001) exige que la dirección apruebe formalmente el riesgo residual aceptado. Sin firma documentada, no hay aceptación válida ante una auditoría.

Análisis sin enlace al plan de tratamiento. El análisis identifica el riesgo, pero el plan de mejora no se construye con base en él. Sin esa conexión, el análisis es un documento muerto.

PILAR sin formación previa. La herramienta es potente pero opaca. Sin formación específica del CCN, los proyectos se atrancan o producen resultados incorrectos.

Aplicación práctica en empresa privada

Para una organización que no está obligada por ENS pero quiere alinearse con buenas prácticas españolas:

  • Empresa pequeña (50-200 empleados): Magerit reducido, sin PILAR, con plantilla en Excel basada en los catálogos del libro 2.
  • Empresa mediana (200-1000 empleados): Magerit completo con µPILAR o herramienta comercial (eMASS, RSA Archer, ServiceNow GRC).
  • Empresa grande: Magerit como capa de cumplimiento ENS si aplica, ISO 27005 o FAIR como capa de gestión interna del riesgo. Plataforma GRC integrada.

El equipo que opera Magerit suele combinar perfil técnico (CISO o equivalente) con perfil de cumplimiento (compliance, auditoría interna, jurídico). Sin esa combinación, el análisis cae en uno de los dos extremos: muy técnico y desconectado del negocio, o muy administrativo sin base técnica real.

Preguntas frecuentes

¿Magerit es obligatoria?

No por ley en sentido estricto. ENS la cita como referencia y es prácticamente el estándar en administración pública española. En empresa privada no hay obligación, pero si participas en licitaciones públicas o tienes clientes de administración, su uso facilita la aceptación de tus análisis de riesgos.

¿Se puede combinar Magerit con ISO 27005?

Sí. La mayoría de organizaciones grandes que tienen alcance ENS e ISO 27001 mantienen un único análisis estructurado en Magerit (porque ENS lo exige) y aprovechan que ISO 27001 acepta cualquier metodología equivalente. El esfuerzo se hace una vez.

¿Qué versión de Magerit está vigente?

Magerit v3 (octubre 2012). El CCN no ha publicado v4 a fecha 2026. Los tres libros (método, catálogo, técnicas) se mantienen disponibles en la web del CCN. Las actualizaciones operativas llegan a través de PILAR y de guías CCN-STIC adicionales.

¿Cuánto tarda un análisis Magerit completo?

Para una organización mediana en su primer análisis: 4-8 meses con dedicación parcial de un equipo de 3-5 personas. Para revisiones anuales posteriores: 1-2 meses si el modelo se mantiene vivo. El primer análisis siempre es el más costoso porque hay que construir el inventario desde cero.

¿Magerit cubre amenazas cloud y SaaS?

El catálogo v3 (2012) no nombra explícitamente cloud, SaaS, contenedores, AI o supply chain con la precisión actual. Los riesgos están cubiertos en términos generales (acceso no autorizado, fuga de información, dependencia de proveedor) pero requieren reinterpretación. Las guías CCN-STIC más recientes (especialmente CCN-STIC 823 Esquema Nacional de Seguridad en el ámbito cloud) cubren lo específico cloud.

¿Es PILAR la única herramienta?

Es la oficial del CCN y la única gratuita orientada explícitamente a Magerit. Hay herramientas comerciales que soportan Magerit como una de sus metodologías: GlobalSuite, Riskonnect, ServiceNow GRC, RSA Archer, eRamba, herramientas custom sobre Excel/Sharepoint.

¿Magerit considera ciberseguros como salvaguarda?

Sí, como salvaguarda de tipo correctivo o recuperativo. Reduce el impacto económico residual pero no elimina la probabilidad. En 2026 los ciberseguros son parte del paquete defensivo estándar en empresas medianas y grandes, con requisitos previos de seguridad cada vez más exigentes (MFA, EDR, backups, formación).

Recursos relacionados

Análisis de riesgos Magerit en Secra

En Secra acompañamos análisis Magerit en dos situaciones típicas: organizaciones nuevas que abordan ENS o ISO 27001 por primera vez y necesitan el modelo construido desde cero, y organizaciones que ya tienen Magerit pero el modelo está desactualizado o desconectado del plan de seguridad real. El alcance habitual incluye inventario y valoración de activos, modelado de amenazas con catálogo curado, evaluación honesta de salvaguardas con verificación técnica, cálculo de riesgo intrínseco y residual, plan de tratamiento priorizado y entrega del modelo en PILAR o herramienta GRC del cliente. Si necesitas iniciar o auditar un análisis Magerit para ENS, NIS2 o ISO 27001, escríbenos a través de contacto o consulta nuestros servicios de consultoría GRC.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

Compliance

Qué es INCIBE: funciones, servicios para empresas y diferencia con CCN

Qué es INCIBE, sus funciones, servicios para empresas (INCIBE-CERT, Línea 017, advisories), diferencia con CCN y CCN-CERT y cómo notificar un incidente.

2026-05-1211 min
Compliance

Auditoría NIS2: cómo prepararse paso a paso (Guía 2026)

Metodología práctica para preparar una auditoría NIS2: gap analysis, checklist artículo 21, evidencias, plan de remediación y errores frecuentes.

2026-05-0214 min
Compliance

Directiva NIS2: a quién aplica, multas y plazos clave

Análisis completo de la Directiva NIS2 (UE 2022/2555): ámbito de aplicación, sectores, multas hasta 10M€ y calendario europeo de transposición.

2026-05-029 min