EVALUACIÓN DE SEGURIDAD // CHIMERASCOPE
Evaluamos la superficie de ataque externa de su organización y entregamos un informe cifrado y mapeado a cumplimiento — la única evaluación a este nivel que asigna cada hallazgo a artículos regulatorios específicos de CRA, NIS2, ISO 27001, GDPR, DORA y MiCA.
Evaluamos la infraestructura visible públicamente de su organización — dominios, subdominios, certificados, seguridad de correo electrónico, servicios expuestos, configuraciones en la nube y dependencias de terceros — utilizando una metodología de evaluación propietaria desarrollada a lo largo de años de investigación en seguridad.
Cada hallazgo se asigna automáticamente a los artículos del marco regulatorio que aplican a su organización. El resultado es un informe de inteligencia estructurado y cifrado que habla el lenguaje tanto de su equipo técnico como de sus oficiales de cumplimiento.
Esto no es una prueba de penetración. No interactuamos con sus sistemas más allá de lo que cualquier observador externo podría ver. No se requiere autorización para el alcance estándar de la evaluación, aunque recomendamos un acuerdo formal de compromiso para todas las evaluaciones pagadas.
Evaluación integral entregada como un PDF encriptado con AES-128, con índice completo, puntuación ejecutiva (A–F) y cadena de custodia forense. Normalmente de 30 a 50 páginas, según la complejidad de la infraestructura.
Cada hallazgo mapeado a artículos específicos: CRA Art. 10, 11, 14 — NIS2 Art. 21 medidas — ISO 27001 Annex A controles — GDPR Art. 32 requisitos técnicos — DORA Art. 5–12, 17, 24, 28 para entidades financieras — MiCA Art. 62, 67, 68, 75, 79, 83 para proveedores de servicios de criptoactivos — con una Tarjeta de Cumplimiento dedicada MiCA/DORA (evaluación PASS/FAIL por artículo). Anotaciones sectoriales donde correspondan.
Resumen listo para la sala de juntas con la calificación global de seguridad, tarjeta de preparación CRA con indicadores de semáforo, y matriz de prioridades de remediación organizada por impacto y esfuerzo.
Cadena de evidencia forense con hash SHA-256 y código QR de verificación. Exportación JSON legible por máquinas compatible con plataformas SIEM, Jira y ServiceNow para integración directa en su flujo de trabajo de remediación.
La notificación de vulnerabilidades se vuelve obligatoria a partir del 11 de septiembre de 2026. Se requiere cumplimiento total para diciembre de 2027. Mapeamos los hallazgos a Articles 10 (requisitos de ciberseguridad), 11 (manejo de vulnerabilidades) y 14 (obligaciones de reporte). Sanciones: hasta €15 M o 2,5 % de la facturación anual global.
Evaluación de medidas de seguridad del Article 21 en todos los dominios aplicables. Mapeo sector‑específico disponible para entidades de salud, energía, transporte, agua e infraestructura digital. Activo en Dinamarca, Finlandia y Suecia desde enero de 2026.
Mapeo de control del Annex A con identificación de brechas contra los requisitos de gestión de seguridad de la información. Particularmente relevante para organizaciones que persiguen o mantienen la certificación — nuestros hallazgos se integran directamente en su Declaración de Aplicabilidad.
Evaluación de medidas técnicas y organizativas del Article 32. Evaluación de exposición de datos, puntuación de riesgo de brechas y identificación de actividades de procesamiento visibles desde la superficie de ataque externa.
Obligatorio para entidades financieras de la UE. Mapeamos los hallazgos a Art. 5–6 (gestión de riesgos de ICT), Art. 7 (gestión de parches), Art. 9 (control de acceso, cifrado), Art. 10–11 (detección y respuesta), Art. 17 (informes de incidentes), Art. 24 (pruebas de resiliencia) y Art. 28 (riesgo de terceros). El mapeo de cumplimiento de DORA está incluido en todas las evaluaciones pagadas.
Marco regulatorio a nivel de la UE para proveedores de servicios de cripto‑activos (CASPs), vigente a partir de junio de 2024 con aplicación completa desde diciembre de 2024. Mapeamos los hallazgos a Art. 62 (gestión de riesgos de ICT), Art. 67 (resiliencia operativa), Art. 68 (requisitos de salvaguardia), Art. 75 (custodia y administración), Art. 79 (servicios de intercambio) y Art. 83 (gestión de quejas). Los objetivos de cripto‑activos reciben una Tarjeta de Cumplimiento MiCA/DORA dedicada con evaluación PASS/FAIL/WARN por artículo en el informe entregado. Esencial para intercambios, proveedores de billeteras custodiales y cualquier entidad que ofrezca servicios de cripto‑activos dentro de la UE.
Protección de datos de ensayos clínicos, exposición de sistemas de fabricación, verificación de cumplimiento GxP. La evaluación cubre equipos de laboratorio conectados, portales de investigación y interfaces API con organizaciones asociadas.
Evaluación del entorno de datos multi‑cliente, evaluación de la preparación para auditorías FDA/EMA. Enfoque particular en la exposición de la cadena de suministro, riesgos de infraestructura compartida y verificación del aislamiento de datos entre clientes.
Evaluación del ecosistema de dispositivos conectados, evaluación del cumplimiento de productos CRA. Incluye análisis de exposición de firmware, seguridad del mecanismo de actualización, autenticación API y postura de la plataforma de gestión en la nube.
Evaluación de riesgos de convergencia OT/IT para productos conectados sujetos a CRA. Exposición de redes de sensores, detección de interfaces SCADA, plataformas de gestión en la nube y evaluación de la seguridad del edge computing.
Exposición del sistema de registros electrónicos de salud, evaluación de riesgos de datos de pacientes. Mapeo de requisitos del sector salud bajo NIS2, seguridad de plataformas de telemedicina y evaluación de puntos finales de integración.
Evaluación de preparación para el cumplimiento de DORA, evaluación de la postura de seguridad API. Análisis de infraestructura de pagos, exposición de la banca móvil y mapeo de riesgos de proveedores de servicios externos.
Preparación para el cumplimiento de MiCA para proveedores de servicios de cripto‑activos, exchanges y operadores de wallets custodiales. Inteligencia de direcciones blockchain con filtrado de sanciones OFAC, análisis de exposición de wallets, evaluación de riesgos de tokens y verificación de Prueba de Reservas. Incluye los ecosistemas de tokens BTC, ETH, XRP, SOL y ERC‑20, y análisis verificado de vulnerabilidades de contratos inteligentes para organizaciones con exposición on‑chain.
La evaluación estándar cubre la superficie de ataque externa central descrita arriba. Para organizaciones con requisitos regulatorios, operacionales o sectoriales específicos, el alcance del compromiso puede ampliarse con actividades adicionales de reconocimiento y verificación — seleccionadas para coincidir con la postura de riesgo y las obligaciones de cumplimiento de la organización.
Descubrimiento de plataformas de razonamiento autoalojadas, marcos de agentes, servidores de Model Context Protocol y interfaces públicas de inferencia que forman cada vez más parte de la superficie de ataque externa de las organizaciones modernas. Cubre la detección de exposición, la postura de autenticación de las interfaces de gestión y la referencia cruzada contra clases de vulnerabilidades conocidas para motores de inferencia y plataformas de orquestación.
Análisis de riesgo de dependencias JavaScript con enriquecimiento CVE, validación de Subresource Integrity en recursos de terceros, atribución de dominios CDN expirados (una ruta documentada de toma de control para propiedades de marca de larga duración) y evaluación de la postura de seguridad de plataformas SaaS de terceros para el ecosistema de proveedores visible desde su superficie externa.
Análisis de la línea de tiempo de la infraestructura mediante patrones de cambios en DNS y BGP, evolución del contenido archivado, deriva de huellas de servicios a lo largo del tiempo y correlación entre certificados TLS actuales e históricos. Revela patrones operacionales y decisiones de infraestructura que los escaneos del estado actual no pueden observar.
Identificación de inquilinos SaaS no autorizados que operan bajo el perímetro de identidad de la organización, motores autoalojados que operan fuera de la gobernanza corporativa e infraestructura huérfana mantenida más allá de su vida operativa — las clases de activos que generan incidentes porque actualmente nadie los posee.
Pruebas validadas de vulnerabilidades de inyección (SQL, falsificación de solicitudes del lado del servidor, plantillas, comandos) contra los puntos finales dentro del alcance, realizadas exclusivamente bajo autorización escrita formal. Esta actividad traslada el compromiso del reconocimiento pasivo al territorio de evaluación activa y requiere un Alcance del Trabajo firmado con antelación.
Descubrimiento de carteras multi‑cadena (BTC, ETH, XRP, SOL, ERC-20), cribado automatizado de sanciones OFAC SDN contra listas del Tesoro de EE. UU., análisis profundo de la línea de tiempo de carteras, atribución de intercambios, evaluación de riesgo de tokens y descubrimiento de puntos finales DeFi (nodos RPC expuestos, claves API de proveedores filtradas, detección de carteras de administrador). Para organizaciones del sector de cripto‑activos o aquellas que necesiten verificar la exposición a blockchain de contrapartes como parte de la diligencia debida u obligaciones de cumplimiento.
Análisis estático y simbólico de vulnerabilidades de contratos inteligentes Solidity verificados desplegados en Ethereum y cadenas compatibles con EVM. Cubre patrones de reentrada, debilidades de control de acceso, retornos de llamadas externas sin validar, condiciones de desbordamiento entero, vectores de inyección delegatecall, brechas de autorización de auto‑destrucción y susceptibilidad al front‑running — abarcando todo el espectro de clasificaciones documentadas de debilidades de contratos inteligentes. El análisis se realiza exclusivamente contra el código fuente de contratos verificado públicamente — no se requiere ni solicita acceso a repositorios privados o bases de código internas. Disponible como parte del alcance ampliado del compromiso para organizaciones que operan o evalúan la exposición a infraestructura financiera on‑chain.
Evaluación integral de la resiliencia de la infraestructura criptográfica frente a amenazas de computación cuántica. Evalúa configuraciones de intercambio de claves TLS mediante algoritmos híbridos y puros post‑cuánticos estandarizados, la preparación para la migración de algoritmos de certificados, el estado de modernización del intercambio de claves SSH, la seguridad cuántica del cifrado de transporte de correo electrónico y la exposición a vulnerabilidades de degradación de protocolos. Incluye un análisis consciente del CDN que diferencia entre la protección post‑cuántica provista por el edge y la nativa del origen — una distinción crítica para organizaciones que dependen de la infraestructura de entrega de contenido. La evaluación asigna los hallazgos a los requisitos criptográficos del CRA Art. 10, a las obligaciones de estado del arte del NIS2 Art. 21 y a la guía de algoritmos recomendados por BSI TR-02102-1. Se entrega con una puntuación cuantificada de preparación que refleja el estado real de despliegue en todos los puntos finales criptográficos observables externamente.
Cada hallazgo identificado se correlaciona con una técnica y sub‑técnica específica de MITRE ATT&CK, con identificación de brechas de cobertura y recomendaciones de prioridad para la ingeniería de detección. Se integra directamente en la hoja de ruta de ingeniería de detección de organizaciones que operan un Security Operations Centre o capacidad equivalente.
Identificación sectorial de grupos de amenazas persistentes avanzadas con actividad de focalización documentada contra el vertical industrial de la organización. Cruza bases de datos de actores de amenaza atribuidos por gobiernos con listas de seguimiento de autoridades nacionales de ciberseguridad para revelar los grupos patrocinados por el Estado más relevantes para el sector, la geografía y el perfil operativo de la organización. Cada grupo identificado se presenta con atribución de país, alias conocidos, sectores objetivo documentados, clasificación del tipo de incidente y referencias directas a los perfiles de grupo MITRE ATT&CK correspondientes. Se entrega con insignias de estado rastreadas por BSI para los grupos monitorizados activamente por autoridades nacionales de ciberseguridad. Disponible para todos los sectores industriales cubiertos por el alcance de la evaluación.
Organizaciones que solicitan habitualmente alcance extendido: contratistas de tecnología de defensa y doble uso, Organizaciones de Desarrollo y Fabricación por Contrato (CDMOs), operadores de infraestructura crítica nacional, infraestructura de mercados financieros, entornos de convergencia de Tecnología Operacional e IT industrial, instituciones de investigación que manejan datos regulados.
Envíe el dominio de su organización para obtener un Resumen de Exposición Externa gratuito — entregado en un plazo de 48 horas.
Seleccione el tipo de evaluación y proporcione el dominio principal de su organización. Todas las presentaciones se tratan como confidenciales.