¿Qué es Cyber Essentials Plus y en qué se diferencia de Cyber Essentials básico?
Cyber Essentials Plus es el nivel superior del programa del Gobierno del Reino Unido. Esquema Cyber EssentialsAdministrada por el Centro Nacional de Ciberseguridad (NCSC) y ofrecida a través de IASME y su red de organismos de certificación, esta certificación abarca las mismas cinco áreas de control técnico que la certificación básica, pero con una diferencia fundamental: un evaluador independiente verifica que los controles estén implementados y funcionando correctamente en sus sistemas en producción, en lugar de basarse en un cuestionario de autoevaluación.
La certificación Basic Cyber Essentials se obtiene mediante autoevaluación. Deberá responder aproximadamente ochenta preguntas sobre cómo su organización gestiona los firewalls, la configuración segura, el acceso de usuarios, la protección contra malware y la administración de actualizaciones de seguridad. Un evaluador cualificado revisará sus respuestas. Es rápida, asequible y muy adecuada para organizaciones pequeñas que buscan un nivel básico reconocido.
Cyber Essentials Plus parte de esa misma base y añade una auditoría técnica independiente. Un evaluador capacitado se conecta a una muestra de sus dispositivos, realiza análisis de vulnerabilidades, intenta ejecutar malware simulado para probar las defensas de los endpoints e inspecciona directamente la evidencia de configuración. Este es el nivel de garantía que los departamentos del Gobierno del Reino Unido, el Ministerio de Defensa (MOD) y los proveedores del NHS exigen cada vez más a su cadena de suministro, y se está convirtiendo en un requisito estándar en los procesos de adquisición empresarial para cualquier proveedor que maneje datos confidenciales.
Para una comparación lado a lado de los dos niveles, consulte nuestra Guía de autoevaluación de Cyber EssentialsSi está comparando Cyber Essentials Plus con un marco de seguridad de la información más amplio, nuestro Comparación entre Cyber Essentials e ISO 27001 explica cómo se complementan ambos. Antes de reservar la auditoría, revise nuestra Lista de verificación de Cyber Essentials para confirmar que cada área de control está realmente en su lugar; además, los fallos generalmente se remontan a una sola deficiencia que una verificación de preparación habría detectado.
¿Cuáles son las cinco áreas de control que se revisan en Cyber Essentials Plus?
La auditoría Cyber Essentials Plus revisa las mismas cinco áreas de control técnico que el programa básico, pero con una verificación práctica en sus sistemas reales en lugar de una certificación en papel. El auditor no se conformará con su palabra: lo comprobará.
1. Cortafuegos y pasarelas de internet
El evaluador confirma que todos los dispositivos incluidos en el alcance de la evaluación (incluidos los portátiles de los trabajadores domésticos y remotos) están protegidos por un cortafuegos correctamente configurado. Se deben cambiar las contraseñas administrativas predeterminadas de los cortafuegos perimetrales, bloquear de forma predeterminada las conexiones entrantes no autenticadas y documentar cualquier regla que permita el tráfico entrante con una justificación empresarial. Se comprueba que los cortafuegos de software en los dispositivos de los usuarios estén habilitados y configurados.
2. Configuración segura
Los sistemas deben reforzarse respecto a su estado original. El auditor verifica que el software y los servicios no utilizados se hayan eliminado o desactivado, que las cuentas predeterminadas y de invitado estén deshabilitadas y que las funciones de ejecución automática estén desactivadas en los dispositivos de los usuarios. Los dispositivos que se conectan a datos corporativos deben implementar un bloqueo de pantalla y requisitos de credenciales. El auditor inspeccionará dispositivos representativos y confirmará que la configuración cumple con el estándar establecido.
3. Control de acceso de usuarios
El acceso debe otorgarse según el principio de mínimo privilegio. El auditor verificará que las cuentas de usuario se creen mediante un proceso de aprobación formal, que los privilegios administrativos estén separados de las cuentas de uso diario y que se aplique la autenticación multifactor (MFA) en todos los servicios en la nube y en el acceso administrativo. Las cuentas de los empleados que se desvinculan de la empresa deben desactivarse de inmediato, y el evaluador podrá tomar muestras de los registros de altas, bajas y cambios de empleados para probar el proceso.
4. Protección contra malware
Todos los dispositivos incluidos en el análisis deben ejecutar software antimalware, listas de aplicaciones permitidas o funcionar en un entorno aislado, como un perfil de dispositivo móvil administrado. El auditor intentará enviar muestras de malware de prueba (normalmente el archivo de prueba EICAR y variantes inertes) por correo electrónico y mediante descarga web para confirmar que la protección de endpoints detecta y bloquea las amenazas en la práctica, y no solo en teoría.
5. Gestión de actualizaciones de seguridad
Todos los sistemas operativos y el software de alto riesgo (navegadores, clientes de correo electrónico, suites ofimáticas, lectores de PDF) deben contar con soporte del proveedor y actualizarse en un plazo de catorce días a partir de la publicación de una actualización de seguridad que corrija una vulnerabilidad de nivel alto o crítico. El auditor realizará un análisis de vulnerabilidades autenticado en los dispositivos seleccionados para confirmar que ningún sistema incluido en el alcance carece de un parche válido y que no se utiliza software obsoleto.
La especificación técnica completa es mantenida por NCSC e IASME y se actualiza periódicamente. Para una explicación más detallada de cada control, consulte nuestra Guía de requisitos de Cyber Essentials.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿En qué consiste exactamente la auditoría Cyber Essentials Plus?
La auditoría Cyber Essentials Plus es una evaluación estructurada y basada en evidencia, realizada por un evaluador cualificado de un organismo de certificación acreditado por IASME. La auditoría sigue una especificación de pruebas definida y normalmente se completa de forma remota, aunque en ocasiones se realizan visitas in situ para entornos más grandes o complejos. Consta de cinco pruebas técnicas distintas.
Análisis de vulnerabilidades externas
El evaluador realiza un análisis, tanto autenticado como no autenticado, de todas las direcciones IP con acceso a internet incluidas en el alcance del análisis. Este análisis busca parches faltantes, servicios inseguros, dispositivos de borde mal configurados e interfaces administrativas expuestas. Cualquier vulnerabilidad con una puntuación CVSS v3 de 7.0 o superior se considera un fallo, a menos que se demuestre que se trata de un falso positivo.
Análisis interno de vulnerabilidades autenticado
Se analiza una muestra de dispositivos de usuario final con acceso autorizado, lo que permite a la herramienta enumerar el software instalado, las actualizaciones faltantes y las debilidades de configuración. Al igual que con el análisis externo, las vulnerabilidades altas o críticas se consideran un fallo. Esta es la prueba que con mayor frecuencia pone en aprietos a las organizaciones, ya que revela complementos de navegador sin actualizar, lectores de PDF obsoletos y versiones antiguas de software de oficina que a menudo pasan desapercibidas en los procesos informales de actualización.
Simulación de envío de malware por correo electrónico
El evaluador envía una serie de archivos de prueba (una combinación de muestras EICAR inofensivas y archivos protegidos con contraseña que contienen cargas útiles inertes) al buzón de correo del usuario. Se espera que la puerta de enlace de seguridad del correo electrónico, el cliente de correo y el motor antimalware del dispositivo se combinen para bloquear o poner en cuarentena cada muestra. Cualquier archivo que llegue a la bandeja de entrada y pueda ejecutarse se considera un fallo.
Simulación de entrega de malware a través de la navegación web.
Los archivos de prueba se alojan en un servidor web controlado y el evaluador intenta descargarlos a través del navegador de un dispositivo seleccionado. La protección del punto final debe impedir su ejecución. La prueba también verifica que los navegadores estén configurados para bloquear sitios web maliciosos conocidos y que cualquier comportamiento de descarga predeterminado sea adecuado.
Revisión de configuración y cuenta
Además de los análisis automatizados, el evaluador inspeccionará de forma interactiva los dispositivos seleccionados para confirmar las políticas de bloqueo de pantalla, la aplicación de la autenticación multifactor (MFA), la separación de las cuentas de administrador, la eliminación de software no compatible y la ausencia de credenciales predeterminadas en los equipos de red.
¿Cuántos dispositivos muestrea el auditor?
El tamaño de la muestra viene definido por la especificación de pruebas de la IASME y se ajusta al tamaño de la infraestructura. Las organizaciones más grandes no se someten a una auditoría integral de todos los dispositivos, sino que se selecciona una muestra estadísticamente significativa para cada tipo de dispositivo y sistema operativo.
| Número de dispositivos incluidos en el alcance | Tamaño de la muestra por tipo de dispositivo | Notas |
|---|---|---|
| 1 - 10 | Todos los dispositivos | Todos los dispositivos incluidos en el ámbito de aplicación se someten a pruebas. |
| 11 - 50 | 10 dispositivos o el 20%, lo que sea mayor. | Muestra estratificada según sistemas operativos y roles de dispositivos. |
| 51 - 200 | 15 dispositivos por tipo | Incluye una combinación de dispositivos corporativos y BYOD (Trae tu propio dispositivo) cuando corresponda. |
| 201+ | Definido por el evaluador, mínimo 20 por tipo. | La muestra se acordó previamente y se registró en el plan de auditoría. |
La muestra debe abarcar todos los sistemas operativos, todos los tipos de configuración (corporativa, de contratista, BYOD) y todos los perfiles de rol (usuario estándar, administrador, desarrollador). Un solo fallo en un dispositivo de la muestra se considera un fallo generalizado, por lo que es fundamental mantener estándares de configuración uniformes en todo el sistema.
¿Qué pruebas solicitará el auditor antes de que comiencen las pruebas?
Antes de realizar cualquier escaneo, el evaluador emitirá un paquete de alcance y una solicitud de evidencia previa a la auditoría. Preparar este paquete con anticipación es la clave principal para una auditoría sin contratiempos. La evidencia típica incluye:
- Inventario de activos — Una lista completa de los dispositivos incluidos en el ámbito de aplicación (servidores, dispositivos de usuario final, dispositivos móviles), con nombres de host, versiones del sistema operativo y ubicación física o propietario.
- Diagrama de Red — Mostrar puertas de enlace a Internet, segmentación interna y cualquier servicio en la nube incluido en el alcance.
- Estándares de construcción — Líneas base de configuración documentadas para cada sistema operativo en uso
- Política y evidencia de gestión de parches — Incluyendo el informe de parches del mes más reciente
- Registros de altas, traslados y bajas — Para una muestra de nuevos empleados y empleados que se han marchado recientemente, evidencia de que las cuentas se crearon y desactivaron de acuerdo con la política.
- evidencia de configuración de MFA — Capturas de pantalla o exportaciones de la consola de administración que confirmen la aplicación de la autenticación multifactor en servicios en la nube y cuentas privilegiadas.
- Informe de cobertura antimalware — Confirmar que todos los dispositivos incluidos en el ámbito de aplicación están informando a la consola de administración.
- Base de reglas del firewall — Configuración del firewall perimetral o exportación de reglas, con justificaciones comerciales para las reglas de entrada.
- Política BYOD — Si los dispositivos personales acceden a datos corporativos, la política y los controles técnicos (normalmente MDM o contenedores a nivel de aplicación) que lo hacen cumplir
Las organizaciones que conservan estas pruebas como un documento vivo, en lugar de apresurarse a recopilarlas en las semanas previas a la auditoría, completan sistemáticamente Cyber Essentials Plus en el plazo más corto del habitual.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cuánto costará Cyber Essentials Plus en 2026?
La certificación Cyber Essentials Plus es considerablemente más cara que la certificación básica Cyber Essentials debido al tiempo que el evaluador dedica a la auditoría técnica. Los precios varían según el organismo certificador y el tamaño y la complejidad de la infraestructura, pero los rangos indicativos que se muestran a continuación reflejan presupuestos típicos para 2026 de organismos acreditados por IASME en el Reino Unido.
| Certificación | Tarifa típica (sin IVA) | Qué incluye |
|---|---|---|
| Fundamentos básicos de ciberseguridad | 330 £ - 600 £ | Cuestionario de autoevaluación, revisión por parte del evaluador, certificado válido por 12 meses. La tarifa se divide según el número de participantes. |
| Cyber Essentials Plus (Organización pequeña, hasta ~50 dispositivos) | 1,500 £ - 2,200 £ | Fundamentos básicos de ciberseguridad, además de la auditoría técnica, los análisis de vulnerabilidades y las pruebas simuladas de malware. |
| Cyber Essentials Plus (Organización mediana, entre 50 y 250 dispositivos) | 2,200 £ - 3,500 £ | Como se indicó anteriormente, con una muestra más grande y, por lo general, días adicionales de evaluación. |
| Cyber Essentials Plus (fincas grandes o complejas) | £ 3,500 + | Presupuesto personalizado: la presencia en múltiples sitios, sistemas operativos o una importante infraestructura en la nube incrementa el precio. |
Estas son solo las tarifas de certificación directa. El costo total real de la certificación también incluye el esfuerzo interno para preparar la evidencia, corregir cualquier hallazgo previo a la auditoría y adquirir o actualizar las herramientas (por ejemplo, MFA en sistemas heredados o reemplazar software obsoleto). Para obtener un desglose completo de los costos directos e indirectos, consulte nuestra Guía de precios de Cyber Essentials.
¿Cuánto tiempo tarda Cyber Essentials Plus desde el principio hasta el final?
Para una organización bien preparada que ya cuenta con la certificación básica Cyber Essentials, el proceso para obtener la certificación Cyber Essentials Plus suele durar entre seis y ocho semanas. La certificación básica debe estar vigente antes de que se pueda realizar la auditoría Plus, y no debe tener más de tres meses de antigüedad al momento de reservar la evaluación Plus.
| Fase | Duración típica | Lo que sucede |
|---|---|---|
| Alcance y participación | 1-2 semanas | El organismo de certificación confirma el alcance, el tamaño de la muestra y el período de auditoría. Se emite el paquete de evidencia previa a la auditoría. |
| Preparación de pruebas y subsanación previa a la auditoría | 2-4 semanas | Usted recopila las pruebas, realiza un análisis interno de vulnerabilidades y cierra cualquier hallazgo importante o crítico antes de la auditoría formal. |
| Trabajo de campo de auditoría | 2-5 días | El evaluador realiza análisis externos e internos, pruebas de malware simuladas y revisiones de configuración en los dispositivos muestreados. |
| Hallazgos y medidas correctivas | 0-4 semanas | Cualquier fallo debe corregirse y volver a probarse dentro del plazo de auditoría (normalmente 30 días). |
| Certificación emitida | 1 semana | Una vez superadas todas las pruebas, IASME emite el certificado, válido por 12 meses. |
Las organizaciones que no superen el primer intento de auditoría —normalmente porque un escaneo interno autenticado revela un parche faltante o un software no compatible— pueden pagar una tarifa adicional por una nueva prueba de remediación en lugar de reiniciar el proceso, siempre que el problema se resuelva en un plazo de treinta días. Una vez emitido el certificado, planifique con anticipación para renovación anual, lo que requiere una nueva auditoría cada año.
¿Quién necesita realmente Cyber Essentials Plus?
Cyber Essentials Plus es un requisito contractual en un número creciente de procesos de contratación pública en el Reino Unido y un factor diferenciador competitivo en muchos otros. Los mandatos más claros provienen del sector público:
- Contratos del gobierno central — Cyber Essentials es obligatorio para cualquier contrato que implique el manejo de información personal o la provisión de productos y servicios de TIC. Plus es necesario cuando el contrato involucra datos sensibles o personales a gran escala.
- Ministerio de Defensa (MOD) — En el marco de la Alianza para la Protección Cibernética de la Defensa (DCPP) y el Modelo de Ciberseguridad, los proveedores que manejan información identificable del Ministerio de Defensa deben contar con la certificación Cyber Essentials Plus como mínimo, y los proyectos de mayor nivel requieren controles adicionales.
- Proveedores del NHS y del sector sanitario — El kit de herramientas de seguridad y protección de datos reconoce explícitamente Cyber Essentials Plus, y muchos hospitales del NHS lo utilizan como requisito de contratación para los proveedores que manejan datos de pacientes.
- autoridades locales y organismos públicos — Cada vez más incluido en los requisitos de licitación para cualquier contrato que involucre datos de ciudadanos o servicios críticos.
- Adquisiciones empresariales — Muchas grandes organizaciones del sector privado ahora solicitan Cyber Essentials Plus a proveedores clave, particularmente en servicios financieros, legales y relaciones con proveedores de servicios gestionados.
- Ciberseguro Varias aseguradoras del Reino Unido ofrecen primas reducidas o mejores condiciones de cobertura para las organizaciones que cuentan con la certificación Cyber Essentials Plus, lo que refleja la menor frecuencia de reclamaciones entre las empresas certificadas.
Si su organización ya cuenta con la certificación básica Cyber Essentials y participa en licitaciones, es probable que la certificación Plus se convierta en un requisito en un plazo de doce a veinticuatro meses. Actuar antes de que se convierta en un requisito indispensable es mucho más económico y menos problemático que intentar obtener la certificación a contrarreloj.
¿Por qué elegir ISMS.online para Cyber Essentials Plus?
Prepararse para una auditoría de Cyber Essentials Plus es, fundamentalmente, un problema de evidencia. Los controles técnicos no son complejos; lo que dificulta a las organizaciones es la disciplina de mantener la configuración, las actualizaciones y los registros de acceso siempre listos para la auditoría. SGSI.online Le ayuda a obtener y mantener la certificación Cyber Essentials Plus al convertir la evidencia de control subyacente en un sistema de registro compartido y dinámico.
- Marco de control de Cyber Essentials preconfigurado — Todos los requisitos de las cinco áreas de control están integrados en la plataforma, por lo que puede evaluar según el esquema oficial sin necesidad de diseñar su propia lista de verificación.
- Biblioteca centralizada de evidencias — Almacena las exportaciones de reglas de firewall, informes de parches, estándares de compilación, capturas de pantalla de MFA y registros de altas, bajas y cambios de usuarios en relación con los controles que evidencian, para que tu paquete de auditoría se compile automáticamente.
- Registro de activos y gestión del alcance — Mantener un único inventario de dispositivos incluidos en el alcance, con propietarios, sistemas operativos y estado del ciclo de vida, para que la muestra del evaluador sea fácil de definir.
- Plantillas de políticas y procedimientos — Plantillas de políticas alineadas con Cyber Essentials para el uso aceptable, el control de acceso, la aplicación de parches, BYOD y la respuesta a incidentes, escritas para empresas del Reino Unido y listas para su adopción.
- flujo de trabajo de incorporación, traslado y salida — Realizar un seguimiento de los nuevos empleados, los cambios de puesto y las bajas en relación con las decisiones de acceso, generando la evidencia que el evaluador espera sin tener que recurrir a hojas de cálculo manuales.
- Reutilización entre diferentes marcos de trabajo — La misma evidencia de control respalda ISO 27001,, SOC 2 y otros marcos, por lo que Cyber Essentials Plus se convierte en un trampolín hacia certificaciones más amplias en lugar de un ejercicio independiente.
- Con la confianza de miles de organizaciones del Reino Unido. - SGSI.online Brinda apoyo a empresas de toda la cadena de suministro del sector público, servicios profesionales, tecnología y mercados de proveedores de servicios gestionados en su camino hacia la certificación.
Guías relacionadas de Cyber Essentials
Continúa tu aprendizaje sobre Ciberseguridad Fundamental con las demás guías de esta serie:
- Requisitos de Cyber Essentials — Las cinco áreas de control, las decisiones sobre el alcance y las pruebas que buscan los evaluadores.
- Costo de Cyber Essentials — Niveles de precios de IASME, costes adicionales, costes ocultos y totales a 3 años para empresas del Reino Unido.
- ¿Merece la pena Cyber Essentials? — Una evaluación honesta de los beneficios, los inconvenientes y quiénes realmente necesitan la certificación.
- Autoevaluación de Cyber Essentials — El flujo de trabajo, el alcance, las evidencias y los errores comunes de SASQ.
- ¿Cuánto tiempo tarda la instalación de Cyber Essentials? — Cronograma típico en el Reino Unido, opciones para acelerar el proceso y qué lo ralentiza.
- Renovación de Cyber Essentials — El ciclo de 12 meses, los cambios en los controles de 2026 y cómo prepararse con 60 días de antelación.
- Fundamentos de ciberseguridad para pequeñas empresas — Precios, alcance y análisis de costo-beneficio específicos para pymes.
- Cyber Essentials frente a ISO 27001 — Comparación del alcance, el coste, el tiempo y el reconocimiento.
Preguntas Frecuentes
¿Necesito la versión básica de Cyber Essentials antes de poder obtener Cyber Essentials Plus?
Sí. Cyber Essentials Plus se basa en la autoevaluación básica, y es necesario contar con el certificado básico antes de realizar la auditoría Plus. IASME exige que la certificación básica no tenga más de tres meses de antigüedad al momento de reservar la evaluación Plus, por lo que la mayoría de las organizaciones completan ambas dentro de un mismo proyecto planificado, en lugar de tratarlas como eventos separados.
¿Qué ocurre si suspendemos alguna parte de la auditoría Cyber Essentials Plus?
Si un fallo en alguna prueba individual impide la emisión del certificado en su estado actual, pero no implica empezar de cero. El organismo de certificación registrará el hallazgo, usted corregirá el problema (normalmente, una actualización faltante, un software no compatible o una deficiencia en la autenticación multifactor) y el evaluador volverá a probar el control afectado. Si la corrección y la nueva prueba se completan en un plazo de treinta días desde la auditoría original, evitará una auditoría completa y solo pagará una tarifa reducida por la nueva prueba.
¿Cyber Essentials Plus cubre los servicios en la nube?
Sí. Desde 2022, el esquema incluye explícitamente los servicios en la nube donde usted controla los datos, las cuentas de usuario o la configuración. La infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS) siempre están incluidas. El software como servicio (SaaS) también está incluido cuando usted administra cuentas y configura ajustes de seguridad, lo que se aplica a la mayoría de las plataformas de productividad, identidad y colaboración empresariales. El auditor verifica la aplicación de la autenticación multifactor (MFA), la separación de administradores y la configuración en su inquilino, no en la infraestructura subyacente del proveedor.
¿Se puede incluir en el ámbito de aplicación a los trabajadores remotos y a los que trabajan desde casa?
Sí, y así debe ser. Cualquier dispositivo que procese datos corporativos o acceda a servicios en la nube de la empresa está incluido en el alcance, independientemente de dónde trabaje el usuario. El auditor espera que se apliquen los mismos cortafuegos, parches, protección antimalware y controles de acceso a los dispositivos domésticos y remotos que a los de la oficina, teniendo en cuenta además que el router de internet doméstico se considera el dispositivo de límite.
¿Cuánto tiempo es válido Cyber Essentials Plus?
El certificado tiene una validez de doce meses a partir de la fecha de emisión. Para mantener la certificación, es necesario realizar una auditoría anual, y muchas organizaciones alinean la renovación con su ejercicio fiscal o con un ciclo de adquisiciones importante. SGSI.online Mantiene la evidencia de control de forma continua entre auditorías, por lo que la renovación se convierte en una actualización en lugar de un reinicio completo.
¿Debería hacer la certificación Cyber Essentials Plus o ir directamente a la ISO 27001?
Para la mayoría de las organizaciones del Reino Unido, la respuesta es ambas, en secuencia. Cyber Essentials Plus es una certificación técnica específica que demuestra la eficacia de sus controles básicos y, a menudo, es un requisito contractual. ISO 27001 es una certificación de sistema de gestión más amplia que abarca la gobernanza, la gestión de riesgos y el ciclo de vida completo de la seguridad de la información. La certificación Plus es más rápida y económica de obtener y proporciona la mayor parte de la evidencia de control técnico que ISO 27001 exigirá posteriormente, por lo que constituye un primer paso sensato hacia una certificación más amplia.
