En 2025, el INCIBE gestionó 122.223 incidentes de ciberseguridad en España, un 26% más que el año anterior, según el Balance de Ciberseguridad 2025 publicado por el organismo en febrero de 2026. En ese contexto, saber cómo elegir empresa de ciberseguridad ya no es una decisión técnica que se delega al departamento de IT: es una decisión de negocio con impacto directo en la continuidad operativa, la reputación y el cumplimiento legal de la compañía. Equivocarse de proveedor no significa solo pagar de más; significa descubrir, en mitad de un incidente, que quien debía defenderte no estaba preparado para hacerlo.
Este artículo es una guía práctica para responsables de tecnología, dirección general y compras que tienen que evaluar y contratar a un partner de seguridad en España. No vamos a hablar de marketing ni de promesas: vamos a hablar de certificaciones verificables, de criterios de evaluación objetivos, del marco normativo que condiciona la decisión y de las señales de alarma que deberían hacerte descartar a un candidato antes de firmar nada.
Por qué la elección de proveedor de ciberseguridad es ahora una decisión de negocio
Durante años, contratar seguridad informática se parecía a contratar un antivirus: un gasto técnico, casi de mantenimiento, que se resolvía con la oferta más barata. Esa época terminó. Los datos del propio INCIBE describen un escenario en el que la amenaza es masiva y sistemática, no anecdótica.
En el Balance de Ciberseguridad 2025, el malware encabezó la tipología de incidentes con 55.411 casos, seguido del fraude online con 45.445, dentro del cual el phishing fue la técnica dominante con 25.133 incidentes registrados. El servicio gratuito de atención 'Tu Ayuda en Ciberseguridad' (línea 017) atendió 142.767 consultas a lo largo del año, un 44,9% más que en 2024. No es solo que haya más ataques: es que más empresas y ciudadanos los sufren y necesitan ayuda urgente.
Lo relevante para quien decide es la asimetría. Un atacante necesita acertar una sola vez; tu proveedor debe acertar siempre. Cuando el INCIBE-CERT detectó y notificó 237.028 sistemas vulnerables relevantes susceptibles de ser explotados durante 2025, lo que estaba describiendo es la superficie de exposición real de las organizaciones españolas. Si tu partner de seguridad no es capaz de descubrir, priorizar y corregir vulnerabilidades a esa escala, su contrato es papel mojado.
A esto se suma una buena noticia: hay donde elegir. Según el Estudio sobre la Industria de la Ciberseguridad en España 2025, elaborado por INCIBE y CONETIC y presentado en marzo de 2026, España cuenta con 3.431 empresas de ciberseguridad —el 4,47% de las compañías tecnológicas del país—, un sector que facturó 6.351 millones de euros en 2024 y emplea a cerca de 165.000 profesionales, el 25,5% del empleo TIC español. España es, además, el cuarto mercado europeo de ciberseguridad, con el 12% de la facturación continental, y el sector prevé crecer a una media anual del 14,25% entre 2026 y 2029.
La conclusión es incómoda: la oferta es enorme y heterogénea. Hay desde grandes integradores hasta consultoras de nicho y revendedores que apenas aportan valor. Tener 3.431 proveedores donde elegir no facilita la decisión, la complica. Por eso necesitas un método.
¿Qué certificaciones debe tener una empresa de ciberseguridad fiable (ENS, ISO 27001, ENAC)?
La primera barrera de entrada para descartar candidatos es objetiva y comprobable: las certificaciones. No son un sello decorativo, son la prueba de que un tercero independiente ha auditado los procesos del proveedor. En España, tres referencias concentran casi toda la conversación seria.
ISO/IEC 27001: el estándar de gestión de la seguridad
La certificación ISO/IEC 27001:2022 acredita que la empresa opera un Sistema de Gestión de Seguridad de la Información (SGSI), no que use buenas herramientas. La versión vigente de 2022 incorpora 93 controles del Anexo A organizados en cuatro dominios (organizativo, personas, físico y tecnológico). En España, la emite una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación) conforme a la norma ISO/IEC 17021-1, según el marco operado por organismos como AENOR.
Dos detalles que muchos compradores pasan por alto:
- La certificación se renueva cada tres años y exige auditorías de vigilancia anuales. Una empresa que te enseña un certificado de hace cuatro años sin auditoría intermedia no está realmente certificada.
- Lo que importa no es solo que el proveedor esté certificado, sino el alcance declarado en su certificado. Una ISO 27001 cuyo alcance cubre únicamente "administración interna" no cubre el servicio que te van a prestar.
Si tu organización aspira a certificarse —o a exigir esa madurez a tu proveedor— conviene entender en detalle qué implica el proceso. En Technova lo abordamos en nuestro servicio de implantación y certificación ISO 27001, donde acompañamos desde el análisis de brechas hasta la auditoría final.
Esquema Nacional de Seguridad (ENS): obligatorio si trabajas con el sector público
El Real Decreto 311/2022, de 3 de mayo, regula el Esquema Nacional de Seguridad. Es de lectura obligada si tu empresa presta —o quiere prestar— servicios a la Administración pública, porque en ese caso el cumplimiento del ENS deja de ser opcional.
El RD establece tres categorías de seguridad con exigencias distintas:
| Categoría ENS | Forma de acreditación | Cuándo aplica |
|---|---|---|
| Básica | Declaración de conformidad por autoevaluación | Sistemas de menor impacto |
| Media | Certificación formal por entidad acreditada por ENAC | Impacto apreciable en servicios o datos |
| Alta | Certificación formal por entidad acreditada por ENAC | Impacto muy grave; servicios esenciales |
La distinción es crítica al evaluar proveedores: una declaración de conformidad por autoevaluación (categoría básica) no equivale a una certificación auditada por un tercero (categorías media y alta). Si un proveedor te dice que "cumple el ENS" sin precisar la categoría ni quién lo ha certificado, pregunta. La diferencia entre autoevaluarse y ser certificado por una entidad acreditada por ENAC es enorme.
El papel de ENAC como garante
Tanto en ISO 27001 como en el ENS de categoría media y alta, el nombre que da credibilidad real es ENAC. La acreditación de ENAC es lo que garantiza que la entidad certificadora es competente e imparcial. Un certificado emitido por un organismo no acreditado tiene un valor de mercado mucho menor. Comprueba siempre que detrás del sello hay una entidad acreditada por ENAC, no solo un logo.
Criterios de evaluación: SOC/MDR 24x7, experiencia sectorial y referencias verificables
Superado el filtro de certificaciones, llega la parte que distingue a un proveedor que defiende de uno que solo factura. Aquí evalúas capacidades operativas reales.
Detección y respuesta continua: SOC y MDR 24x7
Los ataques no respetan tu horario laboral. Muchos se lanzan deliberadamente en viernes por la tarde, festivos o agosto, cuando los equipos internos están bajo mínimos. Por eso la capacidad de detección y respuesta 24x7 es, hoy, el criterio que más separa a los proveedores serios del resto.
Conviene distinguir conceptos:
- SOC (Security Operations Center): el centro de operaciones que monitoriza, correlaciona eventos y detecta amenazas de forma continua.
- MDR (Managed Detection and Response): el servicio gestionado que no solo detecta, sino que responde y contiene el incidente en tu nombre, con tiempos comprometidos.
La pregunta clave no es "¿tenéis SOC?", sino "¿qué hacéis a las 3 de la madrugada de un domingo cuando salta una alerta crítica?". Un proveedor maduro responde con tiempos de detección y contención comprometidos por contrato (SLA), no con buenas intenciones. Si quieres profundizar en cómo funciona un servicio de este tipo, lo describimos en nuestra página de SOC y MDR gestionado 24x7.
Experiencia sectorial y alineamiento con NIS2
Un proveedor que ha defendido a empresas de tu sector conoce tus amenazas específicas: no es lo mismo proteger a una industria con sistemas OT que a una entidad financiera o a un operador de servicios esenciales. Esa experiencia se demuestra con casos, no con frases genéricas.
El dato del INCIBE refuerza la importancia de este punto: durante 2025, el INCIBE-CERT atendió 401 incidentes en el ámbito de operadores esenciales e importantes, alineados con el marco de la Directiva NIS2. Si tu empresa pertenece a uno de los sectores afectados, necesitas un partner que ya opere bajo esa lógica regulatoria, no uno que la esté descubriendo contigo.
Referencias verificables, no testimonios de folleto
Pide referencias y, sobre todo, verifícalas. No te conformes con logos en una web. Solicita hablar con un cliente real del mismo perfil que tú, pregunta por la respuesta del proveedor durante un incidente concreto y comprueba la continuidad de la relación. Un proveedor que rota de clientes cada año tiene un problema que tarde o temprano será tu problema.
Como resumen, estos son los criterios de evaluación que recomendamos puntuar:
| Criterio | Qué verificar | Por qué importa |
|---|---|---|
| Cobertura 24x7 | SOC/MDR con SLA de detección y respuesta | Los ataques no tienen horario |
| Certificaciones | ISO 27001 vigente y ENS (si aplica), vía ENAC | Prueba de procesos auditados |
| Experiencia sectorial | Casos en tu industria y bajo NIS2 si aplica | Amenazas específicas, no genéricas |
| Referencias | Clientes verificables del mismo perfil | Evidencia, no marketing |
| Transparencia | SLA, escalado e informes por escrito | Define qué ocurre en un incidente |
| Equipo | Perfiles y rotación del personal técnico | La seguridad la hacen personas |
NIS2 y ENS: cómo el marco normativo condiciona a quién puedes contratar
Aquí hay un punto que muchas empresas descubren tarde: la normativa no solo te obliga a ti, también condiciona qué proveedores son válidos.
La Directiva NIS2 de la Unión Europea amplía de forma notable el número de sectores y entidades obligados a cumplir requisitos de ciberseguridad, clasificándolos en entidades "esenciales" e "importantes". El plazo comunitario para transponerla expiró el 17 de octubre de 2024 sin que España completara su norma de transposición. Para cubrir ese vacío, el Consejo de Ministros aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, según informó el Departamento de Seguridad Nacional (DSN) y han analizado despachos como ECIJA y asociaciones como ASEPEC.
Lo que ese anteproyecto plantea tiene consecuencias directas en la selección de proveedor: obligará a las entidades esenciales a disponer de certificación, y a las importantes a certificarse o a realizar una autoevaluación. Dicho de otro modo, si tu empresa cae bajo el paraguas NIS2, no podrás externalizar tu seguridad en un proveedor que no pueda demostrar el nivel de madurez que la ley te va a exigir a ti.
La intersección con el ENS también es relevante. Si trabajas con la Administración y manejas sistemas de categoría media o alta, ya hemos visto que el RD 311/2022 exige certificación por entidad acreditada por ENAC. Combinando ambos marcos, el mensaje para el comprador es claro: comprueba que la madurez certificable de tu proveedor es igual o superior a la que la normativa te exige a ti. Contratar a alguien por debajo de tu propio nivel de cumplimiento traslada el riesgo legal a tu organización.
Para una visión integral de cómo encajar cumplimiento, detección y respuesta en una estrategia coherente, puedes revisar nuestro enfoque global de servicios de ciberseguridad para empresas.
Preguntas clave que debes hacer antes de firmar el contrato
Una buena reunión comercial de ciberseguridad debería incomodar ligeramente al proveedor: si todas las respuestas son fáciles, no estás preguntando lo suficiente. Estas son las preguntas que mejor revelan la madurez real de un candidato.
- ¿Qué certificaciones tenéis vigentes y cuál es su alcance exacto? Pide el certificado, la fecha de la última auditoría de vigilancia y la entidad acreditada por ENAC que lo emite.
- ¿Cómo es vuestro SOC y qué SLA de detección y respuesta firmáis? Que el compromiso de tiempos quede por escrito en el contrato, no en la propuesta comercial.
- ¿Qué ocurre exactamente cuando detectáis un incidente grave fuera de horario? Pide el procedimiento de escalado y quién toma decisiones a las 3 de la madrugada.
- ¿Quién forma parte del equipo que atenderá mi cuenta y cuál es su rotación? La seguridad la ejecutan personas; saber quiénes son y si se quedan importa.
- ¿Podéis darme una referencia verificable de un cliente de mi sector? Y, después, llámala.
- ¿Cómo me ayudáis a cumplir NIS2 y/o el ENS según mi caso? Una respuesta concreta demuestra que conocen tu marco regulatorio.
- ¿Qué informes recibo, con qué periodicidad y en qué formato? La visibilidad continua es parte del servicio, no un extra.
- ¿Qué pasa al terminar el contrato con mis datos, logs y configuraciones? La portabilidad y la salida ordenada deben estar pactadas desde el principio.
Si un proveedor responde a estas ocho preguntas con concreción y por escrito, estás ante un candidato serio. Si responde con generalidades, marketing o evasivas, ya tienes información valiosa.
Señales de alarma: cuándo descartar a un proveedor de ciberseguridad
Tan importante como saber qué buscar es saber qué debe hacerte salir corriendo. Estas son las señales de alarma más fiables que vemos al auditar contratos de seguridad.
- Certificaciones imprecisas o caducadas. "Estamos en proceso de certificación" repetido durante años, certificados sin auditoría de vigilancia o sellos de entidades no acreditadas por ENAC.
- Promesas de seguridad total. Nadie serio garantiza el 100% de protección. Quien promete que "nunca sufrirás un ataque" no entiende el problema o te está engañando.
- Falta de SLA por escrito. Si los tiempos de detección y respuesta no aparecen en el contrato, no existen. Las buenas intenciones no se reclaman ante un juez.
- Opacidad sobre el equipo y la subcontratación. Si no quieren decirte quién operará tu seguridad ni si subcontratan el SOC a un tercero, asume lo peor.
- El precio como único argumento. En ciberseguridad, lo barato a menudo significa monitorización automatizada sin analistas detrás. El ahorro se evapora en el primer incidente real.
- Ausencia de referencias verificables. Logos en la web pero ningún cliente con quien puedas hablar. El silencio es una respuesta.
- Desconocimiento del marco normativo. Un proveedor que no sabe explicarte cómo le afectan NIS2 o el ENS no podrá ayudarte a cumplirlos.
Cada una de estas señales, por separado, justifica una conversación incómoda. Dos o más juntas justifican descartar al candidato.
Conclusión: convierte la elección en un proceso, no en una corazonada
Con 122.223 incidentes gestionados por el INCIBE en 2025 y más de 3.400 proveedores compitiendo en el mercado español, elegir empresa de ciberseguridad no puede depender de una buena reunión comercial ni del precio más bajo. La decisión correcta nace de un método: filtrar por certificaciones verificables (ISO 27001 y ENS vía ENAC), evaluar capacidades operativas reales (SOC/MDR 24x7, experiencia sectorial y referencias contrastadas), alinear la madurez del proveedor con tus obligaciones bajo NIS2 y el ENS, y hacer las preguntas que separan a quien defiende de quien solo factura.
Si estás iniciando ese proceso y quieres una base de trabajo, descarga nuestra checklist de preparación para la ISO 27001: te ayudará a medir tu propia madurez antes de exigírsela a un tercero. Y si prefieres que te acompañemos a evaluar, contratar o auditar a tu partner de seguridad, habla con el equipo de Technova Partners: te ayudaremos a convertir una decisión de riesgo en una decisión informada.
