ALTRUIA Ciber · auditoría externa para pymes

¿Qué ve un atacante cuando mira tu empresa desde fuera?

Nosotros lo miramos por ti — antes de que lo mire otro. 26 comprobaciones externas de tu correo, tu web y tu dominio: pasivas, legales y sin tocar tus sistemas. Recibes un informe en semáforo con los arreglos priorizados, en cristiano, para dárselo a tu informático o a tu proveedor. La primera auditoría es gratis.

Sin contraseñas · sin instalar nada · sin escaneos intrusivos · resultado en 24-48 h

 hallazgos típicos en una pyme
✗ correoCualquiera puede enviar emails "desde" tu dominio — sin DMARC estricto, la factura con el IBAN cambiado sale con tu nombre.
✗ dominioSubdominios olvidados de webs viejas (tienda., test., antigua.) que siguen apuntando a servicios dados de baja.
✗ webCopias de seguridad y ficheros de configuración accesibles desde el navegador, con datos dentro.
✗ imitaciónDominios parecidos al tuyo ya registrados por terceros (tuempresa.com vs tuempresa.es) — listos para suplantarte.
✓ informeCada hallazgo con su arreglo concreto, priorizado por riesgo real — no una lista de sustos.
26 comprobaciones · solo registros públicos · nada intrusivo
Por qué ahora — sin miedo-marketing

El ciberdelito que arruina pymes no es el de las películas. Es un email.

~70%

de los ciberincidentes gestionados en España afecta a ciudadanos y pymes, no a grandes empresas. El atacante va donde nadie ha hecho los deberes — porque es más fácil.

IBAN

El fraude que más dinero saca a las pymes: la factura con la cuenta cambiada, enviada desde un correo que suplanta al tuyo o al de tu proveedor. La puerta de entrada suele ser un dominio sin DMARC — se comprueba en minutos.

NIS2

La nueva ley europea de ciberseguridad (España la está transponiendo) obliga a las empresas grandes a exigir seguridad a sus proveedores. Si vendes a una grande, te lo van a pedir. Este informe es la forma barata de llegar con los deberes hechos.

Fuentes: INCIBE (balance de ciberseguridad) · Directiva (UE) 2022/2555 (NIS2) y su transposición en tramitación · casuística BEC/fraude del CEO documentada por la Policía Nacional.

Las 26 comprobaciones — en cristiano

Tu correo, tu web y tu dominio, mirados como los mira un atacante.

Todo lo de esta lista se comprueba desde fuera, con la información que tu empresa ya publica sin saberlo. Debajo de cada nombre técnico, lo que significa de verdad.

Grupo 1 · 9 comprobaciones

Tu correo

SPF · DKIM · DMARCLos tres candados que impiden que otros envíen emails haciéndose pasar por ti. El agujero detrás del fraude del IBAN cambiado. La mayoría de pymes tiene alguno mal o directamente no lo tiene.
MTA-STS · TLS-RPTQue tu correo viaje siempre cifrado entre servidores y que te enteres si alguien intenta degradarlo.
MX · DNSBLQue tus servidores de correo estén bien configurados y tu dominio no esté en listas negras de spam (si lo está, tus presupuestos no llegan y no lo sabes).
BIMITu logo verificado junto a tus emails en Gmail y compañía — confianza extra para lo que envías.
Grupo 2 · 8 comprobaciones

Tu web

TLS · protocolos · certificadoQue el candado del navegador sea de verdad: sin versiones antiguas rotas, certificado válido y bien emitido, sin caducidades a la vuelta de la esquina.
Redirección HTTPSQue nadie pueda colarse en la versión sin cifrar de tu web (por ahí entran los ataques de red wifi de cafetería).
Cabeceras de seguridadLas instrucciones que tu web da al navegador para impedir que la incrusten, la alteren o le inyecten código. Esta misma página las lleva todas — predicamos con el ejemplo.
Ficheros expuestosCopias de seguridad, ficheros de configuración o paneles accesibles desde el navegador — el clásico ".zip de la web vieja" con contraseñas dentro.
Grupo 3 · 9 comprobaciones

Tu dominio

DNSSEC · CAA · DANE · NSLos cimientos: que nadie pueda secuestrar tu dominio, emitir certificados en tu nombre ni desviar tu tráfico.
Subdominios olvidados (CT) · takeoverWebs antiguas, pruebas y servicios dados de baja que siguen colgando de tu dominio — y que un tercero puede reclamar y usar con tu nombre.
Dominios imitadosVariantes de tu dominio (letras cambiadas, otro final) ya registradas por otros — el arma habitual para suplantarte ante tus clientes.
Transferencia de zona · RDAP · security.txtQue tu DNS no regale el mapa completo de tu red, que los datos de registro estén sanos y que exista un canal para avisarte de fallos.
El servicio — sin humo

Gratis para saber dónde estás. Propuesta a medida para dejarlo cerrado.

Diagnóstico externo

0 € · de verdad
  • Las 26 comprobaciones sobre tu dominio
  • Resumen en semáforo con lo más urgente
  • En 24-48 h en tu correo
  • Sin compromiso: si está todo bien, te lo decimos y punto

Informe completo + plan de arreglos

A medida · propuesta por escrito antes de empezar
  • Informe PDF completo: cada hallazgo, su riesgo real y su arreglo
  • Plan priorizado para tu informático o proveedor (o te lo aplicamos nosotros si es DNS/configuración)
  • Re-chequeo de verificación cuando esté arreglado, con el informe "en verde" para enseñar a clientes y aseguradoras
  • Aviso si algo vuelve a romperse (re-auditoría a los 6 meses incluida)

¿Gestoría, asesoría o informático con cartera de clientes? Auditamos a tus clientes en marca blanca con comisión para ti — el mismo modelo de canal que con el recobro y las ayudas. Escríbenos con "CANAL" en el asunto.

Preguntas

Lo que preguntan todos.

¿Es legal que me auditéis sin acceso a mis sistemas?

Sí — y solo lo hacemos si tú nos lo pides para tu propio dominio. Todo es pasivo: consultamos registros públicos (DNS, certificados, cabeceras que tu web ya enseña a cualquier visitante). Es lo que ve cualquiera desde fuera, ordenado y explicado. No escaneamos puertos de forma intrusiva, no probamos credenciales y no tocamos nada.

¿Qué es eso del "fraude del CEO" o del IBAN cambiado?

El timo más rentable contra pymes: alguien envía a tu cliente (o a tu contable) una factura tuya con la cuenta bancaria cambiada, desde un correo que parece el tuyo. Si tu dominio no tiene DMARC estricto, esa suplantación es trivial — y la víctima paga a la cuenta del estafador convencida de que te paga a ti. Se comprueba en minutos y el arreglo suele ser un registro DNS.

¿Qué es NIS2 y me afecta siendo pyme?

Es la directiva europea de ciberseguridad que España está convirtiendo en ley. Obliga directamente a medianas y grandes de sectores clave, pero te llega por la cadena de suministro: las empresas obligadas deben exigir seguridad a sus proveedores. Si facturas a una grande —o quieres hacerlo—, tarde o temprano te pedirán demostrar tus deberes. Un informe externo "en verde" es la forma más barata de responder.

¿Qué necesitáis de mí?

Solo tu dominio (tuempresa.es) y que nos confirmes que eres su titular o estás autorizado a pedir la auditoría. Nada de contraseñas ni accesos. En 24-48 horas tienes el diagnóstico en el correo.

¿Y si sale todo bien?

Te lo decimos tal cual y no te vendemos nada — el diagnóstico gratuito no lleva letra pequeña. Te llevas la tranquilidad (y un argumento comercial: "auditados externamente, sin hallazgos críticos"). Si algún día cambias de proveedor de correo o de web, vuelve a pedirlo: es cuando las cosas se rompen.

¿Esto sustituye a un antivirus, un firewall o una auditoría interna?

No, y quien te lo venda así te engaña. Esto cubre tu superficie externa: lo que cualquiera ve desde internet, que es por donde empiezan la mayoría de fraudes a pymes. La seguridad interna (equipos, copias, accesos de empleados) es otra capa — si el informe destapa que la necesitas, te lo diremos honestamente en vez de vendértela nosotros.

Contacto

Dinos tu dominio. Nosotros miramos el resto.

Escríbenos con tu dominio y en 24-48 h tienes el diagnóstico gratuito en el correo: qué está bien, qué está expuesto y qué arreglar primero. Sin compromiso y sin sustos inventados.

info@altruia.es
Ver qué comprobamos

Más herramientas gratis: radar de subvenciones · calculadora de impagados · test del registro horario · todas.