EVALUACIÓN DE SEGURIDAD // CHIMERASCOPE
Evaluamos la superficie de ataque externa de su organización y entregamos un informe cifrado y mapeado en cumplimiento — el único análisis a este nivel que asocia cada hallazgo a artículos regulatorios específicos de CRA, NIS2, ISO 27001, GDPR, DORA y MiCA.
Evaluamos la infraestructura de su organización que es visible públicamente — dominios, subdominios, certificados, seguridad del correo electrónico, servicios expuestos, configuraciones en la nube y dependencias de terceros — utilizando una metodología de evaluación propietaria desarrollada a lo largo de años de investigación en ciberseguridad.
Cada hallazgo se asigna automáticamente a los artículos del marco regulatorio aplicables a su organización. El resultado es un informe de inteligencia estructurado y encriptado que habla el lenguaje de ambos, su equipo técnico y sus oficiales de cumplimiento.
Este no es un test de penetración. No interactuamos con sus sistemas más allá de lo que cualquier observador externo podría ver. No se requiere autorización para el alcance estándar de la evaluación — aunque recomendamos un acuerdo de colaboración formal para todas las evaluaciones pagadas.
Evaluación completa entregada como un PDF cifrado con AES-128 con índice completo, puntuación ejecutiva (A–F) y cadena de custodia forense. Normalmente de 30 a 50 páginas dependiendo de la complejidad de la infraestructura.
Cada hallazgo mapeado a artículos específicos: CRA Art. 10, 11, 14 — medidas del NIS2 Art. 21 — controles del ISO 27001 Anexo A — requisitos técnicos del GDPR Art. 32 — DORA Art. 5–12, 17, 24, 28 para entidades financieras — MiCA Art. 62, 67, 68, 75, 79, 83 para proveedores de servicios de activos criptográficos — con Tarjeta de Cumplimiento MiCA/DORA dedicada (evaluación por artículo PASS/FAIL). Anotaciones específicas por sector cuando sea aplicable.
Resumen listo para la sala de juntas con calificación general de seguridad, tarjeta de preparación CRA con indicadores de semáforo y matriz de prioridad de remedición organizada por impacto y esfuerzo.
Cadena de evidencia forense con hash SHA-256 y código QR de verificación. Exportación JSON legible por máquina compatible con plataformas SIEM, Jira y ServiceNow para integración directa en su flujo de trabajo de remedición.
El informe de vulnerabilidades se convierte en obligatorio desde el 11 de septiembre de 2026. Se requiere cumplimiento total para diciembre de 2027. Mapeamos los hallazgos a los Artículos 10 (requisitos de ciberseguridad), 11 (gestión de vulnerabilidades) y 14 (obligaciones de informe). Sanciones: hasta 15 millones de euros o el 2,5 % de la facturación anual global.
Evaluación de medidas de seguridad del Artículo 21 en todos los dominios aplicables. Mapeo específico por sectores disponible para entidades de salud, energía, transporte, agua y infraestructura digital. Activo en Dinamarca, Finlandia y Suecia desde enero de 2026.
Mapeo de controles del Anexo A con identificación de brechas frente a los requisitos de gestión de la seguridad de la información. Particularmente relevante para organizaciones que persiguen o mantienen la certificación: nuestros hallazgos se integran directamente en su Declaración de Aplicabilidad.
Evaluación de medidas técnicas y organizativas del Artículo 32. Evaluación de exposición de datos, puntuación de riesgo de brecha y identificación de actividades de procesamiento visibles desde la superficie de ataque externa.
Obligatorio para entidades financieras de la UE. Mapeamos los hallazgos a los Artículos 5–6 (gestión de riesgos de TIC), Artículo 7 (gestión de parches), Artículo 9 (control de acceso, cifrado), Artículos 10–11 (detección y respuesta), Artículo 17 (informes de incidentes), Artículo 24 (pruebas de resiliencia) y Artículo 28 (riesgo de terceros). El mapeo de cumplimiento DORA está incluido en todas las evaluaciones pagas.
Marco regulatorio europeo para proveedores de servicios de activos criptográficos (CASPs), vigente desde junio de 2024 con aplicación plena desde diciembre de 2024. Mapeamos los hallazgos a los Artículos 62 (gestión de riesgos de TIC), 67 (resiliencia operativa), 68 (requisitos de custodia), 75 (custodia y administración), 79 (servicios de intercambio) y 83 (gestión de quejas). Las entidades que operan con activos criptográficos reciben una hoja de cumplimiento dedicada MiCA/DORA con evaluación por artículo de tipo PASS/FAIL/WARN en el informe entregado. Esencial para exchanges, proveedores de carteras custodiales y cualquier entidad que ofrezca servicios con activos criptográficos dentro de la UE.
Protección de datos de ensayos clínicos, exposición de sistemas de fabricación, verificación de cumplimiento GxP. La evaluación incluye equipos de laboratorio conectados, portales de investigación y interfaces API con organizaciones colaboradoras.
Evaluación del entorno de datos multicliente, evaluación de preparación para auditorías de la FDA/EMA. Enfoque particular en la exposición de la cadena de suministro, riesgos de infraestructura compartida y verificación de aislamiento de datos entre clientes.
Evaluación del ecosistema de dispositivos conectados, evaluación de cumplimiento de productos CRA. Incluye análisis de exposición del firmware, seguridad de mecanismos de actualización, autenticación API y postura de plataformas de gestión en la nube.
Evaluación de riesgos de convergencia OT/IT para productos conectados aplicables a CRA. Exposición de redes de sensores, detección de interfaces SCADA, plataformas de gestión en la nube y evaluación de seguridad de computación de borde.
Exposición de sistemas de registros electrónicos de salud, evaluación de riesgos de datos de pacientes. Mapeo de requisitos del sector salud de NIS2, seguridad de plataformas de telesalud y evaluación de puntos finales de integración.
Evaluación de preparación para el cumplimiento de DORA, evaluación de la postura de seguridad API. Análisis de infraestructura de pagos, exposición de banca móvil y mapeo de riesgos de proveedores de servicios de terceros.
Preparación para el cumplimiento de MiCA para proveedores de servicios de activos criptográficos, exchanges y operadores de billeteras custodiales. Inteligencia de direcciones blockchain con cribado de sanciones de OFAC, análisis de exposición de billeteras, evaluación de riesgos de tokens y verificación de Reservas Prueba (Proof of Reserves). Cubre ecosistemas de BTC, ETH, XRP, SOL y tokens ERC-20.
La evaluación estándar cubre la superficie de ataque externa básica descrita anteriormente. Para organizaciones con requisitos regulatorios, operativos o sectoriales específicos, el alcance del compromiso puede ampliarse con actividades adicionales de reconocimiento y verificación — seleccionadas para coincidir con la postura de riesgo de la organización y sus obligaciones de cumplimiento.
Detección de plataformas de razonamiento autohospedadas, marcos de agentes, servidores del Protocolo de Contexto de Modelo y interfaces públicas de inferencia que cada vez forman parte de la superficie de ataque externa de las organizaciones modernas. Incluye detección de exposición, postura de autenticación de interfaces de gestión y correlación con clases de vulnerabilidades conocidas para motores de inferencia y plataformas de orquestación.
Análisis de riesgos de dependencias de JavaScript con enriquecimiento con CVE, validación de Integridad de Subrecursos en recursos de terceros, atribución de dominios CDN expirados (una ruta documentada de toma de control para propiedades de marca de larga duración) y evaluación de la postura de seguridad de plataformas SaaS de terceros para el ecosistema de proveedores visible desde su superficie externa.
Análisis de la línea temporal de la infraestructura mediante patrones de cambio de DNS y BGP, evolución del contenido archivado, desplazamiento del huella digital de servicios con el tiempo y correlación entre certificados TLS actuales e históricos. Revela patrones operativos y decisiones de infraestructura que no pueden observarse mediante escaneos de estado actual.
Identificación de inquilinos de SaaS no autorizados operando bajo el perímetro de identidad de la organización, motores autohospedados operando fuera de la gobernanza corporativa y infraestructura huérfana retener más allá de su vida operativa — clases de activos que generan incidentes porque actualmente no tienen dueño.
Pruebas validadas para vulnerabilidades de inyección (SQL, falsificación de solicitudes del servidor, plantillas, comandos) en puntos finales en alcance, realizadas exclusivamente bajo autorización escrita formal. Esta actividad mueve el compromiso desde el reconocimiento pasivo hacia actividades de evaluación activa y requiere un Ámbito de Trabajo firmado con anticipación.
Descubrimiento de billeteras multi-cadena (BTC, ETH, XRP, SOL, ERC-20), screening automatizado de sanciones OFAC SDN contra listas del Tesoro de EE.UU., análisis profundo de la línea temporal de billeteras, atribución a exchanges, evaluación de riesgo de tokens y descubrimiento de endpoints DeFi (nodos RPC expuestos, claves API de proveedor filtradas, detección de billeteras de administrador). Para organizaciones del sector de activos criptográficos o aquellas que necesitan verificar la exposición blockchain de contrapartes como parte de obligaciones de due diligence o cumplimiento.
Cada hallazgo identificado correlacionado con una técnica y subtécnica específica de MITRE ATT&CK, con identificación de lagunas de cobertura y recomendaciones de prioridad para ingeniería de detección. Se integra directamente en la ruta de ingeniería de detección de organizaciones que operan un Centro de Operaciones de Seguridad o capacidad equivalente.
Organizaciones que suelen solicitar alcance ampliado: contratistas de tecnología de defensa y uso dual, Organizaciones de Desarrollo y Fabricación Contratadas (CDMO), operadores de infraestructura crítica nacional, infraestructura del mercado financiero, entornos de convergencia de Tecnología Operativa e IT industrial, instituciones de investigación que manejan datos regulados.
Envíe el dominio de su organización para obtener un Resumen de Exposición Externa gratuito — entregado en 48 horas.
Seleccione el tipo de evaluación y proporcione el dominio principal de su organización. Todos los envíos se tratan como confidenciales.