Seleccionar un proveedor de servicios de seguridad administrada (MSSP) es una decisión que va mucho más allá del precio y el catálogo. Es una decisión sobre a quién le confías la operación continua de tu postura de seguridad: accesos, incidentes, cambios, datos y continuidad del negocio.
El artículo original de este blog fue escrito en 2017. Mucho cambió: el perímetro desapareció, el ransomware se industrializó, la regulación creció, y los MSSPs proliferaron sin que la mayoría pueda demostrar realmente qué hacen y cómo. Eso hace que la evaluación rigurosa sea más necesaria que nunca.
Esta guía actualizada integra los criterios del Unified Certification Standard 3.0 (UCS) de MSPAlliance —el marco de referencia más específico para proveedores de servicios administrados— como estructura de evaluación. QMA es miembro de MSPAlliance desde 2011 y opera alineado a UCS 3.0.
Usa estos 10 criterios como tu lista de verificación antes de firmar cualquier contrato.
1. Catálogo de servicios con alcance claro por nivel
El primer filtro de cualquier evaluación: pide el catálogo y lee qué está incluido y qué no. Un MSSP serio tiene niveles de servicio documentados con entregables específicos por nivel, no un menú genérico de capacidades.
Preguntas que debes poder responder después de leer el catálogo:
- ¿Qué activos cubre exactamente este nivel de servicio?
- ¿Qué entregables recibo mensualmente y en qué formato?
- ¿Qué está explícitamente fuera de alcance?
- ¿Cómo se documenta y aprueba un cambio de alcance?
Si el proveedor responde con generalidades o necesita “personalizar la propuesta” antes de poder explicar qué hace, estás frente a un alcance abierto. Eso es el origen de la mayoría de los conflictos en contratos de servicio administrado.
Marco UCS 3.0 — Expertise 01.02, 04.02: El estándar exige que los niveles de servicio estén categorizados e identificados dentro de los sistemas organizacionales del proveedor, no solo en presentaciones comerciales.
2. Cobertura 24/7 con evidencia operativa, no promesas
Casi todos los MSSPs dicen operar 24/7. La pregunta es cómo lo demuestran. La diferencia entre decirlo y operar así está en los números: MTTD (tiempo medio de detección) y MTTR (tiempo medio de respuesta).
Solicita al proveedor un reporte operativo de ejemplo —redactado si es necesario— que muestre:
- Incidentes detectados en el período, con timestamps de detección y respuesta
- MTTD y MTTR por severidad
- Alertas procesadas vs. escaladas vs. cerradas como falsos positivos
- Cobertura real del SOC (ubicación, turnos, herramientas)
Un proveedor que no puede mostrar un reporte de ejemplo tiene un problema de transparencia. Un proveedor que muestra un reporte con métricas reales tiene operación. La diferencia es decisiva.
Marco UCS 3.0 — Expertise 05.01, Trust 09.03: El estándar requiere un Centro de Operaciones centralizado (SOC/NOC/MSOC) y la disponibilidad de métricas de reporte para clientes con contrato firmado.
3. Stack técnico 2026: MDR/XDR/SIEM y postura Zero Trust
En 2017, el “menú de seguridad” de un MSSP incluía firewall, antivirus y actualizaciones de parches. En 2026, eso es condición mínima de entrada, no diferenciador.
El stack técnico que debe estar presente en un MSSP competente hoy incluye:
- MDR/EDR/XDR: Detección y respuesta en endpoints, red y correo. No solo monitoreo pasivo.
- SIEM con correlación activa: No solo acumulación de logs. Reducción de ruido y correlación de eventos.
- Gestión de identidad y acceso (IAM/PAM): Control de privilegios, MFA, revisión continua.
- Seguridad de email: Protección contra phishing, BEC y malware en correo.
- Gestión de vulnerabilidades: Escaneo continuo, priorización por riesgo real, no solo listados de CVEs.
- Postura Zero Trust: Acceso remoto vía ZTNA o VPN administrada, con logging auditado.
Pide evidencia de que estas herramientas están activas en el ambiente del cliente, no solo disponibles en el catálogo del proveedor.
Marco UCS 3.0 — Security 06.09–06.11, Trust 06.08: El estándar especifica MDR/EDR/XDR, SIEM, protección de email y acceso remoto con ZTNA/VPN como controles requeridos.
4. Control de accesos y mínimo privilegio
Uno de los vectores más frecuentes de compromiso en ambientes administrados por terceros es precisamente el acceso del proveedor. Un MSSP que gestiona tus sistemas tiene acceso privilegiado a tu infraestructura. Cómo administra ese acceso dice mucho sobre su madurez operativa.
Evalúa:
- ¿El acceso remoto del proveedor a tus sistemas está restringido a ZTNA o VPN con autenticación fuerte?
- ¿Los IDs de administrador están limitados a personal autorizado y documentado?
- ¿El acceso se monitorea, se registra en logs y se revisa periódicamente?
- ¿Los accesos se revocan de forma sistemática cuando un técnico sale del proveedor?
- ¿Existe segregación de acceso por área funcional (quien monitorea no tiene acceso de cambios, quien hace cambios no tiene acceso a facturación)?
Solicita la política de acceso remoto por escrito. Si no existe, el riesgo que introduces al contratar al proveedor puede ser mayor que el riesgo que pretendes reducir.
Marco UCS 3.0 — Security 06.01–06.08, Resilience 06.04: El estándar cubre desde control de acceso con política documentada hasta revocación sistemática para empleados que salen.
5. Gestión documentada de cambios
Todo MSSP hace cambios en tu ambiente: parches, actualizaciones de configuración, ajustes de firewall, cambios de agentes. La pregunta es si esos cambios están documentados, aprobados y con rollback definido antes de ejecutarse.
El proceso mínimo que debe existir para cualquier cambio en producción:
- Solicitud de cambio (RFC) documentada con descripción, justificación e impacto esperado
- Revisión y aprobación —del proveedor y del cliente cuando aplica—
- Ventana de mantenimiento acordada
- Prueba y validación post-cambio
- Plan de rollback si algo falla
- Registro de la evidencia post-implementación
Un proveedor que aplica parches críticos sin notificación previa o sin proceso de aprobación es un proveedor que puede provocar interrupciones sin que tengas visibilidad de la causa. Pide ver un registro de cambios real de un cliente —redactado— para verificar que el proceso existe y se sigue.
Marco UCS 3.0 — Transparency 04.03–04.04, 05.05: El estándar requiere que los cambios internos y los cambios en el ambiente del cliente estén documentados, evaluados y aprobados antes de implementarse.
6. Respuesta a incidentes con runbooks probados
¿Qué pasa exactamente cuando tu MSSP detecta un incidente de ransomware a las 2 AM un domingo? ¿Quién responde? ¿Con qué criterios? ¿Qué autorización necesitan para contener? ¿Cómo te notifican y en qué tiempo?
La respuesta a incidentes es el momento de la verdad para cualquier MSSP. Evalúa:
- ¿Existe una política de respuesta a incidentes documentada que cubra brechas, ransomware y ciberataques?
- ¿Hay runbooks por tipo de incidente con pasos definidos?
- ¿El equipo de respuesta tiene autorización precontractual para ejecutar contención sin esperar aprobación manual en situaciones críticas?
- ¿Se realizan ejercicios o simulacros periódicos del plan de IR?
- ¿Existe un proceso de post-incident review con lecciones aprendidas?
Un proveedor que improvisa la respuesta a incidentes, o que necesita escalar internamente antes de actuar, pierde minutos críticos cuando cada minuto cuenta.
Marco UCS 3.0 — Security 02.02, Resilience 02.02: El estándar requiere política de IR documentada, probada y que cubra explícitamente brechas de datos, pagos de ransomware y ciberataques.
7. Continuidad y respaldo verificado con pruebas de restore
La mayoría de los MSSPs declara gestionar respaldos. Pocos pueden demostrar que esos respaldos funcionan cuando se necesitan. La diferencia entre declarar y demostrar es una prueba de restore documentada.
Verifica:
- ¿Los respaldos siguen una política documentada (frecuencia, retención, cifrado)?
- ¿Se realizan pruebas de restore periódicas con resultados registrados?
- ¿Existen RTO y RPO definidos contractualmente por tipo de dato o sistema?
- ¿Hay un Plan de Continuidad de Negocio (BCP) y un Plan de Recuperación ante Desastres (DRP) documentados?
- ¿Esos planes han sido probados o al menos revisados en el último año?
Un backup que no se ha probado es una ilusión de seguridad. Un incidente de ransomware que destruye tanto los datos como los respaldos por falta de segregación es más común de lo que debería ser.
Marco UCS 3.0 — Resilience 07.01–07.04: El estándar requiere respaldos monitoreados, cifrados, con pruebas periódicas de recuperación y planes de continuidad documentados y probados.
8. Cumplimiento regulatorio aplicable a tu sector en México
En 2017 el cumplimiento normativo era opcional para muchas organizaciones mexicanas. En 2026, no. La LFPDPPP, las circulares de la CNBV para sector financiero, los requisitos del IMSS y la SSA para salud, y las obligaciones de las dependencias de gobierno federal han madurado. La pregunta ya no es si cumples, sino cómo lo demuestras.
Tu MSSP debería conocer las regulaciones que aplican a tu industria y ayudarte a demostrar cumplimiento, no solo a operar. Evalúa:
- ¿El proveedor conoce los requisitos específicos de tu sector (CNBV, SAT, SSA, IMSS, SCT)?
- ¿Puede producir evidencia que soporte una auditoría externa?
- ¿Sus políticas internas cubren la geolocalización de tus datos y la divulgación de accesos de terceros?
- ¿Tiene capacidad de acompañarte en procesos de certificación (ISO 27001, SOC 2, NIST)?
Un MSSP que opera sin conocer el marco regulatorio de tu industria puede crearte riesgos de cumplimiento mientras te protege de amenazas técnicas.
Marco UCS 3.0 — Transparency 02.01, 03.03–03.07: El estándar cubre políticas de divulgación de geolocalización de datos, acceso de proveedores externos y gestión de cumplimiento normativo.
9. Salud financiera y estabilidad operativa del proveedor
Contratar un MSSP es una relación de mediano y largo plazo. Un proveedor que cierra, es adquirido o pierde personal clave en el año 1 del contrato te deja en una situación peor que no haber contratado. La salud financiera y la estabilidad operativa del proveedor son criterios de evaluación tan legítimos como sus capacidades técnicas.
Evalúa:
- ¿El proveedor puede demostrar rentabilidad o acceso a capital suficiente para operar 12 meses?
- ¿Su mayor cliente representa menos del 20% de sus ingresos de servicios administrados? (Concentración = riesgo de dependencia)
- ¿La mayoría de sus clientes llevan más de un año en relación? (Retención = indicador de calidad de servicio)
- ¿Tiene seguros de responsabilidad civil profesional y ciberseguridad vigentes?
- ¿Tiene una política documentada de transición de servicio si decides cambiar de proveedor?
Este último punto —la política de transición— es uno de los criterios más ignorados y más importantes. Un proveedor que no tiene documentado cómo devolverte el control de tu infraestructura tiene un incentivo perverso para no facilitarlo.
Marco UCS 3.0 — Corporate Health 10.01–10.06, Trust 02.08: El estándar evalúa sostenibilidad financiera, concentración de clientes, retención, seguros y políticas de transición de servicio.
10. Marco de certificación o estándar verificable, no solo declaraciones de marketing
Cualquier MSSP puede publicar en su sitio web que opera con “las mejores prácticas de la industria” o que está “alineado a frameworks internacionales”. La pregunta es quién lo verifica y qué evidencia existe más allá del texto en la página.
Existen marcos y certificaciones diseñados específicamente para proveedores de servicios administrados:
- UCS 3.0 / Cyber Verify (MSPAlliance): El estándar más específico para MSSPs y cloud providers, con 10 objetivos verificables por auditor independiente.
- SOC 2 Tipo II: Auditado por CPA independiente, cubre controles operacionales durante un período (generalmente 12 meses). Es el estándar más reconocido por corporativos y aseguradoras.
- ISO 27001: Sistema de gestión de seguridad de la información, aplicable al MSSP como organización.
Un Trust Pack —documento que presenta la operación, controles y evidencias del proveedor de forma estructurada— es una señal de madurez operativa aunque el proveedor no tenga certificación formal aún. Solicítalo como parte del proceso de evaluación.
Si un proveedor no puede acreditar ningún marco verificable ni producir evidencia estructurada de sus controles, las declaraciones en su sitio web son su único respaldo. Eso no es suficiente para una decisión de esta magnitud.
Marco UCS 3.0 — Trust 02.04: El estándar requiere auditorías internas a intervalos planificados y la capacidad de demostrar que los sistemas internos cumplen los criterios de control definidos.
Checklist de evaluación: resumen ejecutivo
Antes de avanzar con cualquier MSSP, verifica que puedes responder afirmativamente a cada punto:
| Criterio | Evidencia que debes solicitar |
|---|---|
| Catálogo de servicios con alcance por nivel | Catálogo documentado con entregables por nivel de servicio |
| Operación 24/7 con métricas | Reporte operativo de ejemplo con MTTD/MTTR |
| Stack técnico 2026 | Inventario de herramientas activas, no catálogo de capacidades |
| Control de accesos del proveedor | Política de acceso remoto + logs de auditoría de ejemplo |
| Gestión de cambios documentada | Registro de cambios redactado con RFC/aprobación/evidencia |
| IR con runbooks probados | Política de IR + runbook de ransomware + evidencia de ejercicio |
| Respaldos con pruebas de restore | Política de backup + registro de pruebas de recuperación |
| Cumplimiento sectorial México | Mapeo de regulaciones aplicables a tu industria |
| Salud financiera y transición | Política de transición de servicio documentada |
| Marco verificable | Trust Pack, SOC 2, ISO 27001 o Cyber Verify |
Cómo opera QMA
QMA es miembro de MSPAlliance desde 2011 y opera alineado al Unified Certification Standard (UCS) 3.0. Esto significa que los 10 criterios descritos en esta guía corresponden a controles que QMA mantiene activos y puede documentar con evidencia trazable.
Para procesos de evaluación, due diligence o licitación, QMA entrega un Trust Pack que incluye la descripción de sus controles operacionales, entregables mensuales y alineación a UCS 3.0.
Si estás evaluando proveedores de seguridad administrada para tu organización, puedes conocer el detalle de los servicios MSSP de QMA o solicitar una sesión de evaluación de 30 minutos con el equipo técnico y comercial.
Ver servicios MSSP de QMA | Solicitar sesión de evaluación
Preguntas frecuentes al evaluar un MSSP
¿Cuánto tiempo tarda un proceso de evaluación de MSSP bien hecho?
Un proceso riguroso toma entre 3 y 6 semanas: semana 1 para la solicitud de propuestas y documentación, semanas 2-3 para revisión técnica y reuniones de evaluación, semanas 4-6 para revisión contractual y due diligence. Acelerar el proceso aumenta el riesgo de compromisos que luego son difíciles de renegociar.
¿Qué diferencia hay entre un MSP y un MSSP?
Un MSP (Managed Service Provider) gestiona infraestructura de TI: redes, servidores, dispositivos, help desk. Un MSSP (Managed Security Services Provider) está especializado en seguridad operativa: detección de amenazas, respuesta a incidentes, gestión de vulnerabilidades, cumplimiento. La distinción importa porque las capacidades, herramientas y equipo humano requeridos son distintos. Algunos MSPs ofrecen capacidades de seguridad, pero no todos tienen la profundidad operativa de un MSSP dedicado.
¿Es obligatorio que el MSSP tenga certificaciones formales como SOC 2 o ISO 27001?
Depende de tu industria y de los requisitos de tus clientes o reguladores. Para organizaciones en sector financiero regulado por CNBV, o en procesos de licitación con corporativos o gobierno, la certificación puede ser un requisito. Para organizaciones medianas sin ese requisito formal, un Trust Pack estructurado y el historial demostrable de operación son suficientes para una evaluación inicial. La tendencia es que los requisitos de certificación se están extendiendo a más sectores.
¿Qué es el UCS 3.0 y por qué es relevante para evaluar un MSSP?
El Unified Certification Standard (UCS) 3.0 es el marco de certificación de MSPAlliance, diseñado específicamente para proveedores de servicios administrados y cloud. A diferencia de ISO 27001 o SOC 2 —que son marcos genéricos aplicables a cualquier organización— el UCS fue construido para reflejar la realidad operativa de un MSSP: gestión de múltiples clientes, acceso remoto, continuidad de servicio, transferencia de información. Un MSSP alineado a UCS 3.0 puede demostrar madurez en los 10 dominios que más importan en una relación de servicio administrado.
¿Cómo evalúo si un MSSP realmente opera 24/7 o solo lo declara?
La evidencia más directa es un reporte operativo real (redactado) de un período activo. Busca timestamps reales de detección y respuesta en incidentes, métricas de MTTD/MTTR desglosadas por severidad, y registro de alertas procesadas. Si el reporte solo muestra “incidentes atendidos” sin tiempos ni evidencia de acciones tomadas, es un reporte de presentación, no un reporte operativo.
¿Qué pasa si quiero cambiar de MSSP después de firmar?
Depende de lo que diga el contrato y de si el proveedor tiene una política de transición de servicio documentada. Sin esa política, la devolución de accesos, configuraciones, datos y documentación técnica puede convertirse en una negociación difícil. Antes de firmar, asegúrate de que el contrato incluya cláusulas de transición con plazos y entregables definidos en caso de terminación, tanto por tu parte como por la del proveedor.
¿Cuántos MSSPs debo evaluar en paralelo?
Entre 2 y 4 es el rango razonable. Con menos de 2 no tienes punto de comparación real. Con más de 4, el proceso de evaluación consume tiempo interno que probablemente no tienes. Una evaluación rigurosa de 3 proveedores bien seleccionados produce mejores decisiones que una comparación superficial de 8.
