Llevo años repitiendo escenas con clientes, especialmente en el mundo PYME, donde a alguien de repente le han colocado el marrón de "hay que mirar esto de la ciberseguridad". Buscan en Google un poquito, dan con nosotros, y nos llega la pregunta de "oye, yo... ¿cómo estoy?". No "cómo estoy frente a tal amenaza concreta", ni "cómo estoy frente a esta normativa", sino el cómo estoy global, ese que se hace alguien que se ha levantado un lunes con la sensación de no saber por dónde empezar.
La respuesta honesta siempre es la misma, pues depende amigo. Depende de qué normativa te aplique, de la madurez de tu desarrollo, de quiénes sean tus proveedores, de si tu dominio expone media docena de cabeceras que no debería... Y ahí el cliente, con razón, pone cara de "vale, pero necesito un punto de partida".
Durante mucho tiempo lo resolvíamos a la vieja usanza, con un cuestionario Excel, varias preguntas lanzadas por algún miembro del equipo técnico, un semáforo, y a tirar millas. Funcionaba, pero era nuestro. Quedaba dentro y solo lo veía quien estaba sentado al otro lado del Teams.
Y luego estaba la otra parte, que en este sector casi nadie cuenta pero es la realidad del día a día. Por ese primer diagnóstico, sobre todo en pymes, no había forma humana de cobrar. La petición llegaba siempre disfrazada de "mándame un presupuesto", pero lo que de verdad había detrás era "dime tú primero cómo de mal estoy, qué tendría que hacer y por dónde empezaríamos, y con eso ya decido si te contrato". Un presupuesto que era, en realidad, medio análisis gratis, medio hoja de ruta gratis, y al final del documento un número.
Y uno lo entiende, que no me malinterpreten. El responsable de una pyme no tiene los miles de euros que cuesta una consultoría exploratoria para que le confirme lo que ya intuye. Pero para nosotros era insostenible, cada propuesta seria nos llevaba días de trabajo, y se firmaba una de cada 20. Decir que no, que al final es lo que muchas veces te pide el cuerpo, tampoco era una opción, porque a base de decir que no te quedas sin pipeline. Así que algo había que hacer.
Y un día nos planteamos algo bastante obvio, ¿por qué no lo automatizamos e incluso lo regalamos?
Y así, sin más drama, nació la sección Lab de nuestra web www.zerolynx.com. Una página con herramientas gratuitas de autodiagnóstico que cualquiera puede usar, sin registro, y sin que aparezcamos al día siguiente en su buzón con un "hola, qué tal". Recogemos el email que voluntariamente nos quiera dejar, obviamente, pero sin afán persecutorio. Ese estilo de venta nunca ha ido con nosotros.
La idea de esta sección de nuestra web al final era doble:
1. Que la primera foto fuese fácil de hacerse. Si un responsable de IT puede sentarse diez minutos un viernes por la tarde y salir con un PDF que le dice por dónde flojea, ya hemos ganado todos. Él tiene un punto de partida. Nosotros tenemos una conversación posterior mucho más útil que la del "es que no sé por dónde empezar".
2. Devolver algo a una comunidad de la que llevamos viviendo más de una década. Al igual que Flu-Project, que nació precisamente con ese espíritu de compartir, las herramientas del Lab son la versión 2026 de la misma filosofía: aquí tienes, gratis, lo que nosotros usamos por dentro. Si te sirve, fenomenal. Si después quieres que entremos a fondo con un equipo, sabes dónde encontrarnos.
Qué hay dentro
A día de hoy hay cinco herramientas publicadas, cubriendo bloques bastante distintos de la práctica diaria. Las repaso por encima:
- Autoevaluación normativa de ciberseguridad. La más usada con diferencia. Mide tu postura frente a CIS Controls v8, ISO 27001:2022, ENS y NIS2. Te devuelve brechas y un plan de acción priorizado. Es la pregunta del "cómo estoy" contestada en cristiano, con el marco que toque según a quién le tenga que rendir cuentas tu organización.
- Identificación y clasificación de proveedores. Esta nos la pidieron varios responsables de seguridad casi con esas palabras: "necesito una forma rápida de explicarle al comité por qué este proveedor es crítico y aquel no". Clasifica el riesgo según acceso, criticidad, dependencia y conectividad, y devuelve los controles del ENS aplicables y buenas prácticas por fase del contrato. Útil sobre todo si te toca contestar a NIS2 o al artículo 28 del RGPD.
- Pentesting pasivo de dominio o URL. La favorita de los curiosos. Análisis no intrusivo (insisto: pasivo, no toca a nadie) de un dominio: cabeceras HTTP, TLS, DNS, cookies, information disclosure. Siguiendo OWASP. Sirve para ver, sin asustar a nadie, qué información se está enseñando sin querer.
- Autoevaluación de desarrollo seguro. Basada en OWASP SAMM v2. Mide la madurez del ciclo de desarrollo. Pensada para CTOs y responsables técnicos que sospechan que su SDLC tiene huecos pero no saben cuáles. El cuestionario los ordena por dónde se está perdiendo más por el desagüe.
- Análisis forense de cabeceras de correo. La que más ratos malos me ha hecho ahorrar en mi vida, dicho sea de paso. Pegas la cabecera técnica de un correo sospechoso y la herramienta cruza RFC 5322, DKIM, SPF, DMARC y RFC 8601 para decirte si huele a spoofing, manipulación o fraude del CEO. En los tiempos que corren, con phishing decente cada dos por tres, viene bien tenerla a mano.
Las cinco son online, gratuitas y sin registro (aunque sí, pedimos un email), devuelven un PDF y no se quedan con tu información. Ese fue otro debate interno que tuvimos: si recoger datos o no... y acabamos decidiendo lo segundo. Somos una empresa de ciberseguridad, y los datos siempre deben de pertenecer a su dueño. Si alguien quiere hablar con nosotros, ya nos buscará.
La letra pequeña que no es tan pequeña
Lo digo abiertamente porque me parece importante, estas herramientas no son una auditoría. Son orientativas. Te dan una primera foto basada en lo que tú declaras o en lo que se ve desde fuera sin tocar nada. No sustituyen al trabajo serio que hace falta para certificar, para defender ante un delincuente, o para sostener un incidente.
Lo que sí hacen, y lo hacen bien, es ahorrarte la primera tarde de "no sé ni cómo plantear esto". Y a partir de ahí, ya puedes decidir, o tirar con lo que tienes, o pedirnos presupuesto para algo serio. Si vas por la segunda opción, incluso puedes mandarnos directamente el informe de autoevaluación en PDF y nos sirve perfectamente como punto de partida para preparar una propuesta.
Échales un ojo
La página la tenéis accesible aquí: zerolynx.com/pages/self-cybersecurity-audit.
Cualquier feedback, sugerencia de herramienta nueva o un "oye, esto no funciona en mi navegador" se agradece y se lee. La idea es que el Lab no se quede en cinco utilidades. Tenemos alguna más en cocina. Pero eso lo cuento otro día.
Un saludo!