Ciberseguridad profesional para empresas

Auditoría de ciberseguridad rigurosa. Precios cerrados.

Pentesting, cumplimiento NIS2, RGPD y ENS, CISO Virtual. Metodologías OWASP, PTES y NIST aplicadas con automatización propia. Entregables defendibles ante aseguradoras y auditores externos.

Solicitar auditoría → Ver servicios
Seguro de responsabilidad civil profesional
Inicio en 48-72 horas
Retest gratuito a los 60 días
NDA mutuo previo
Informe — Auditoría Completa
Generado
Riesgo global: Alto26 hallazgos verificados con evidencia
ALTO
26hallazgos
Crítica2
Alta5
Media11
Baja8
Cobertura de cumplimiento NIS2 (art. 21)82%
Cada hallazgo con evidencia SHA-256 + verificación independiente
Marcos, estándares y comunidades de referencia
OWASP PTES NIST MITRE ATT&CK CVSS v3.1 INCIBE AEPD ISO/IEC 27001
Empresas que ya confían en nosotros
Huawei Sopra Steria Montblanc Fujifilm Pangea Too Good To Go Farmatodo
Servicios y tarifas

Precios cerrados. Alcance documentado.

Cuatro paquetes de proyecto más un servicio de seguridad gestionada continuo. Alcance, duración y precio fijados en propuesta antes del inicio.

Esencial
Pentest Web
2.900€
PYME 10-30 empleados · 1 aplicación web
Solicitar →
  • OWASP Top 10 completo
  • Reconocimiento + análisis manual
  • Informe ejecutivo + técnico
  • Retest 60 días incluido
  • Reunión de presentación
Más completo
Completo
Auditoría Completa
5.900€
PYME 30-100 empleados · web + API + infra
Solicitar →
  • Todo lo del Esencial
  • APIs REST + GraphQL
  • Infraestructura externa
  • Revisión configuración cloud
  • Plan de remediación priorizado
  • 30 días de soporte
Cumplimiento
NIS2 · RGPD · ENS
9.900€
Empresa que prepara certificación o auditoría externa
Solicitar →
  • Gap analysis completo
  • Plan de adecuación priorizado
  • Políticas y procedimientos
  • Documentación para auditor externo
  • Análisis de riesgos MAGERIT
Continuo
CISO Virtual
18.900€/año
Sin departamento de seguridad propio
Solicitar →
  • Acompañamiento mensual
  • Respuesta a incidentes
  • Auditoría inicial incluida
  • Formación al equipo
  • Reporting ejecutivo trimestral
Servicio recurrente

Seguridad Gestionada

Para empresas sin equipo técnico propio: nos encargamos de mantener tu seguridad al día, mes a mes. Tres niveles según el tamaño de tu superficie expuesta.

Esencial
890€/mes
PYME pequeña · 1 web o dominio
  • Monitorización y re-escaneo periódico
  • Hasta 3 h/mes de remediación
  • Informe mensual de seguridad
  • Punto único de contacto
Solicitar →
Más elegido
Profesional
1.690€/mes
PYME con varios activos expuestos
  • Todo lo de Esencial, más hosts/dominios
  • Hasta 8 h/mes de remediación
  • Soporte prioritario
  • Revisión periódica de la postura
Solicitar →
Avanzado
2.900€/mes
Externaliza la dirección de seguridad
  • Todo lo de Profesional
  • Hasta 16 h/mes de remediación
  • vCISO ligero (dirección de seguridad)
  • Respuesta a incidentes básica
Solicitar →

Horas de remediación adicionales: 110€/h. Permanencia mínima recomendada: 6 meses. Precios sin IVA.

Precios sin IVA. Condiciones de pago detalladas en propuesta firmada. NDA mutuo antes de cualquier intercambio técnico. Alcance ampliable mediante adenda.

Cuándo es momento de auditar

Escenarios habituales que disparan el proyecto.

Un cliente exige cuestionario de seguridad de 80 preguntas para renovar el contrato y se necesita evidencia técnica para responder.

NIS2 entra en vigor para la organización y hay que demostrar cumplimiento ante autoridad nacional con documentación técnica.

Se ha detectado actividad sospechosa o se ha contratado un ciberseguro que exige auditoría previa con metodología reconocida.

Metodología

Cinco fases. Estándares internacionales.

Proceso estructurado y reproducible. Mismo método que aplican las consultoras de referencia, con automatización propia que reduce los tiempos de entrega.

1
Día 0 — 2

Kickoff

Definición de alcance, firma de NDA, reglas de engagement, ventanas autorizadas y contactos de emergencia.

2
Día 3 — 5

Reconocimiento

Mapeo de la superficie de ataque, OSINT pasivo, enumeración de servicios y tecnologías expuestas.

3
Día 6 — 12

Testing activo

Análisis técnico siguiendo OWASP WSTG y PTES. Validación manual de cada hallazgo automatizado.

4
Día 13 — 15

Informe

Documento ejecutivo + técnico, priorizado por CVSS y por impacto en negocio, con plan de remediación.

5
Día 60

Retest sin coste

Verificación de las correcciones aplicadas y emisión del anexo de retest con conclusión final.

// extracto_informe_muestra.pdf
Informe técnicoAuditoría Completa
CONFIDENCIAL
A
Riesgo global: Alto26 hallazgos · 2 explotables sin autenticación
26hallazgos
Crítica2
Alta5
Media11
Baja8
SQLi en /loginCRÍTICA · CVSS 9.8
IDOR en /api/orders/{id}ALTA · CVSS 7.5
Cobertura de cumplimiento NIS2 (art. 21)82%
Cada hallazgo con evidencia SHA-256 + verificación independiente
Descargar informe de muestra

Aplicamos los estándares OWASP WSTG v4.2, OWASP API Security Top 10, PTES, NIST SP 800-115, MITRE ATT&CK y CVSS v3.1. Los entregables son válidos para presentar a aseguradoras, auditores externos y procesos de due diligence.

Certificaciones

Credenciales verificables.

Certificaciones reconocidas internacionalmente, verificables en el registro oficial de cada entidad emisora.

OSCP Badge
OSCP
Offensive Security Certified Professional
Emitida por OffSec
CISSP Badge
CISSP
Certified Information Systems Security Professional
Emitida por ISC²
ISO 27001 Badge
ISO 27001 Lead Auditor
Auditor Jefe de Sistemas de Gestión de Seguridad de la Información
Certificación acreditada
Garantías contractuales

Cada compromiso queda por escrito.

No son promesas comerciales. Son cláusulas que figuran en el contrato firmado antes del inicio del proyecto.

Garantías de servicio

  • Inicio en 48-72h o reembolso íntegro del depósito
  • Retest gratuito a los 60 días
  • NDA mutuo previo a cualquier intercambio
  • Cancelación sin coste hasta 7 días antes
  • Cero downtime planificado en producción
Todas las garantías reflejadas en contrato. Incumplimiento = reembolso íntegro.

Confidencialidad y datos

  • Datos cifrados en tránsito y reposo
  • Cadena de custodia de evidencias firmada
  • Destrucción de evidencias a los 90 días
  • DPA art. 28 RGPD descargable
  • Acceso restringido por roles internos
Encargado del tratamiento bajo art. 28 RGPD. Notificación de brecha en menos de 24 horas.

Metodología y seguro

  • OWASP WSTG v4.2 + OWASP ASVS L2
  • PTES + NIST SP 800-115
  • MITRE ATT&CK + CVSS v3.1
  • Mapeo automático ENS / ISO 27001 / NIS2 / RGPD
  • Seguro de RC profesional vigente
Entregables aceptados habitualmente por aseguradoras y auditores externos.
Tu portal de cliente

No te entregamos un PDF. Te damos una plataforma.

Cada cliente accede a un portal privado donde ve sus hallazgos en tiempo real, descarga informes firmados con cadena de integridad y sigue su cumplimiento — al nivel de Vanta o Drata.

Portal del cliente de Nexo Seguridad

Hallazgos en tiempo real

Cada vulnerabilidad con su gravedad (CVSS), evidencia y pasos exactos de remediación, según la encontramos.

Informes con integridad verificable

Descarga tus informes firmados con cadena BLAKE2b — prueba criptográfica de que no se han manipulado.

Cumplimiento de un vistazo

Tu estado frente a ISO 27001, ENS, NIS2, RGPD, PCI-DSS y DORA, mapeado automáticamente.

Tu equipo asignado

Contacto directo con los analistas de tu auditoría y soporte para hallazgos críticos.

Retest a un clic

Cuando arregles un fallo, solicita la re-verificación desde el propio portal sin escribir un email.

Acceso seguro sin contraseñas

Enlace mágico + 2FA. Cero contraseñas que robar. Registro de auditoría a prueba de manipulación.

Solicitar acceso de demostración
Contexto del mercado

No es «¿me atacarán?». Es cuándo.

Los atacantes ya no eligen a mano: automatizan y barren internet entera. Una PYME no es demasiado pequeña para ser objetivo — es el objetivo, precisamente porque asume que no lo es y baja la guardia.

Por qué tú
43%

De los ciberataques se dirigen a pequeñas y medianas empresas — son el blanco preferido porque casi ninguna tiene equipo de seguridad que las defienda.

Fuente: Verizon DBIR
No es por tamaño
68%

De las brechas implican un factor humano: un phishing, una contraseña reutilizada o un clic. El firewall no protege de esto — el criterio de un auditor, sí.

Fuente: Verizon DBIR 2024
Aquí, en España
118.000

Incidentes gestionados por INCIBE en 2024. Y los patrones se repiten: escritorio remoto expuesto, Microsoft 365 sin MFA y WordPress sin actualizar.

Fuente: INCIBE 2024
Selector de servicio

Tres preguntas para identificar el paquete correcto.

1. ¿Cuántos empleados tiene la organización?
1 — 30
30 — 100
100+
2. ¿Existe requisito formal de cumplimiento (NIS2, ISO 27001, ENS, RGPD)?
Sí, actualmente
Próximamente
No
3. ¿Cuenta con departamento de IT propio?
Sí, interno
Externalizado
No
Preguntas frecuentes

Lo que pregunta el comité de dirección.

¿Cómo se gestiona la confidencialidad de la información?
Antes de cualquier intercambio técnico se firma NDA mutuo. Toda la información se cifra en tránsito y reposo, las evidencias se almacenan con cadena de custodia firmada y se destruyen automáticamente a los 90 días de la entrega. El acceso interno está restringido por roles.
¿La auditoría interrumpe la operación?
No. El testing activo se realiza en ventanas acordadas en el kickoff, habitualmente fuera del horario operativo o sobre entornos de staging si el cliente dispone de ellos. Cero downtime planificado en producción y cualquier impacto detectado se notifica inmediatamente.
¿Qué nivel de implicación se necesita del equipo técnico interno?
Dos horas en kickoff y dos horas en la presentación de resultados. Durante la ejecución no se requiere disponibilidad del equipo del cliente, salvo notificación de hallazgo crítico que exija mitigación inmediata.
¿Qué se hace cuando se detecta un hallazgo crítico durante la auditoría?
Notificación en menos de 4 horas por canal seguro acordado en el kickoff. Si el hallazgo es explotable activamente, se entrega mitigación temporal antes de continuar con el resto del alcance. Sin coste adicional.
¿Qué sucede si no se identifican vulnerabilidades graves?
Significa que la postura de seguridad es sólida. El informe documenta toda la superficie testeada, los controles correctamente implementados y recomendaciones de hardening preventivo. Si tras revisión documentada de evidencias previas la auditoría sale completamente limpia, se reembolsa el 50%.
¿Los informes son válidos para aseguradoras y due diligence?
Los entregables siguen los estándares OWASP, PTES, NIST y MITRE que aseguradoras y auditores externos aceptan habitualmente. La validez final ante un tercero depende de su propio criterio. Si se necesita formato específico, se adapta sin coste.
¿Cómo se relaciona la auditoría con NIS2, RGPD y ENS?
Cada hallazgo se mapea automáticamente a los controles concretos de ENS (RD 311/2022), ISO 27001:2022 Anexo A, NIS2 art. 21.2 y RGPD art. 32. El informe incluye una sección de cumplimiento normativo con porcentaje de cobertura por marco.
¿Cuáles son los plazos típicos de cada servicio?
Pentest Esencial: 7-10 días laborables. Auditoría Completa: 12-15 días. Cumplimiento NIS2 / RGPD / ENS: 4-6 semanas. CISO Virtual: kickoff en 1 semana, ciclo continuo. Las fechas exactas se fijan en el contrato.
¿Cómo se factura el servicio?
50% al kickoff tras firma de contrato, 50% a la entrega del informe final. Transferencia bancaria o domiciliación SEPA. Plazo de pago de 15 días desde emisión de factura.
¿Qué cobertura tiene el seguro de responsabilidad civil?
Seguro de responsabilidad civil profesional vigente. La cobertura específica se comparte bajo NDA en la propuesta firmada. La responsabilidad contractual se limita al importe total facturado por el proyecto.

Solicita contacto comercial

Completa los datos y te respondemos en menos de 4 horas laborables con los próximos pasos. Sin compromiso, sin tarjeta, sin presión comercial.