Tier-1 frente a tier-2 en proveedores de ciberseguridad: cómo elegir por tamaño

Vamos a escribir el artículo que una firma tier-1 no puede escribir y que el peor tipo de firma tier-2 no escribirá. Somos una firma tier-2. Tenemos interés. Lo decimos abiertamente: la mayor parte del tiempo, para empresas medianas europeas, una boutique tier-2 es el mejor encaje. También seremos específicos sobre cuándo no es así y por qué.

Este no es un artículo sobre precios. Es un artículo sobre encaje. Un encargo mal encajado a cualquier precio es caro; un encargo bien encajado a precio razonable es barato. La variable que importa es el encaje.

Qué entendemos por tier-1 y tier-2

Tier-1 en asesoría y servicios de ciberseguridad se refiere a las firmas globales con miles de consultores, fuerte reconocimiento de marca, presencia multijurisdicción y capacidad de escalar un programa por la huella global de una empresa. Los nombres conocidos (grandes consultoras con prácticas de cyber, grandes MSSP, grandes integradores globales) compiten por encargos a escala Fortune 500 y equivalentes.

Tier-2 se refiere a firmas especializadas medianas y boutique con experiencia profunda en dominios o sectores específicos, equipos más pequeños, mayor implicación sénior directa y alcances medidos típicamente en semanas o trimestres en lugar de años.

Tier-3 se refiere a consultores individuales, prácticas pequeñas de una a cinco personas y micro-firmas muy especializadas. Tienen su lugar; este artículo no se enfoca en ellas.

Cuándo tier-1 es la respuesta para una empresa mediana

Tres escenarios. Son estrechos pero reales.

Escenario 1 · Es la filial local de una multinacional

Si su entidad mediana en España o Rumanía es filial de una multinacional con programa global de ciberseguridad ya ejecutado por una tier-1, se incorpora al programa. Pelear con el proveedor heredado no es uso productivo de energía. Quizá quiera un asesor tier-2 paralelo para interpretar el programa global en realidades locales, pero el encargo dominante sigue siendo tier-1.

Escenario 2 · Va a ser adquirida por un cliente tier-1

Si su pipeline incluye un cliente Fortune 500 que exigirá, como condición de aprovisionamiento, que su programa de seguridad lo lleve o audite una firma tier-1 que reconozca, el encargo es decisión comercial, no de seguridad. La prima que paga es el coste de acceder al aprovisionamiento de ese cliente.

Escenario 3 · Opera en sector regulado con expectativa tier-1 explícita

Algunos subsectores muy regulados (ciertos segmentos de servicios financieros, ciertos operadores de infraestructura crítica nacional) tienen expectativas de supervisión que se alinean con capacidades tier-1. La expectativa no siempre está escrita; está en los hábitos del supervisor. Una entidad mediana dentro de ese sector lee la sala y se alinea.

Fuera de estos tres escenarios, el encargo tier-1 para una empresa mediana suele ser por defecto, no elección deliberada. Los defaults existen porque el equipo de compras conoce los nombres, el equipo legal conoce los contratos y el CISO anterior trabajó en una tier-1 y reproduce lo que sabe.

Cuándo tier-2 es la respuesta para una empresa mediana

La imagen reflejada. Cinco escenarios.

Escenario 1 · El alcance es acotado y de profundidad técnica

Un uplift NIS2 de 90 días, un pentest de alcance fijo, un vCISO a 3 días/mes, un sprint OSINT defensivo. Estos encargos prosperan con implicación sénior directa, equipo nombrado pequeño y velocidad de comunicación. Una tier-1 los entregará; el precio reflejará el coste de su estructura y los consultores entregando serán a menudo júnior porque los séniors están en encargos más grandes.

Escenario 2 · Valora que aparezca la misma persona cada vez

En un encargo tier-2, el sénior que vendió es habitualmente el sénior que entrega. En un encargo tier-1 esto es cierto el primer mes y se erosiona con el tiempo. Para empresas medianas donde la relación y el contexto institucional importan, la consistencia es ventaja estructural.

Escenario 3 · Quiere respuestas "no" honestas

Una boutique que dice sí a cada alcance no es una boutique; es una tier-1 pequeña intentando crecer. La boutique a buscar es la que rechaza el 20-30% de encargos que podría ganar por razones de encaje. Las firmas tier-1 tienen presión estructural para decir sí más a menudo.

Escenario 4 · Su presupuesto es real pero no ilimitado

Un presupuesto mediano que financia un encargo tier-1 al 60% del alcance pretendido suele financiar un encargo tier-2 al 100% del alcance pretendido. La aritmética favorece a tier-2 en el rango de presupuesto donde vive la mayoría de empresas medianas.

Escenario 5 · Quiere séniors en sala desde la semana uno

En un encargo tier-2, el responsable de proyecto es sénior y está presente desde la semana uno. En un encargo tier-1, el socio está en el kick-off y en el comité de dirección; el día a día es júnior. Ambos modelos pueden entregar. El modelo que encaja con empresas medianas más a menudo es el primero.

Los trade-offs de los que nadie habla

Riesgo tier-1 que las empresas medianas subestiman

• Personal júnior en asuntos sénior. El socio que vendió no es el consultor de su reunión semanal.
• Inflación de alcance. La estructura tiene incentivos de crecimiento; espere conversaciones de ampliación cada trimestre.
• Documentación como entregable. Los entregables tier-1 son pesados en documentación, a veces a costa de cambio operativo.
• Tiempos lentos en preguntas pequeñas. Una pregunta de 30 minutos se convierte en solicitud, estimación, modificación de SOW.

Riesgo tier-2 que las empresas medianas subestiman

• Dependencia de persona clave. Si el sénior se va de la boutique, la calidad del encargo puede caer.
• Banco limitado para pico. Una tier-2 no puede aportar 20 consultores para una semana de crisis.
• Brechas de cobertura por especialización. Una tier-2 profunda en tres cosas no es profunda en veinte. Encaje la firma con su alcance.
• Reconocimiento de marca por su auditor. Algunos auditores y clientes prefieren ver un logo tier-1 en el informe. El informe tier-2 puede ser técnicamente superior y aun así enfrentar fricción de marca.

Los trade-offs más pequeños de lo que parecen

• Calidad de séniors. Los séniors de una boutique seria suelen ser personas que vinieron de tier-1, aprendieron el oficio y eligieron deliberadamente el modelo boutique. No son de menor calidad; están incentivados de forma distinta.
• Alineación con estándares. Una boutique seria alinea su metodología con los mismos estándares (NIST CSF, ISO 27001, MITRE ATT&CK) que la tier-1. El vocabulario es compartido.
• Seguros y cobertura contractual. Las firmas tier-2 serias contratan la responsabilidad civil profesional y cyber que los equipos de compras exigen. Verifique en due diligence; no asuma.

Marco de decisión en una página

| Señal | Si sí, hacia tier-1 | Si sí, hacia tier-2 |

|---|---|---|

| Es filial de empresa global | Sí | |

| Su mayor cliente exige auditoría tier-1 | Sí | |

| Su supervisor espera alineamiento tier-1 | Sí | |

| Alcance acotado, profundidad técnica, 1-6 meses | | Sí |

| Valora la continuidad sénior en el tiempo | | Sí |

| Necesita respuestas "no" honestas como parte del valor | | Sí |

| Presupuesto real pero no ilimitado | | Sí |

| La capacidad de pico es requisito duro | Sí | |

| Multi-región y multi-idioma es dominante | Sí | |

| El idioma local y la jurisdicción importan | | Sí |

| La marca en el informe es condición de compra | Sí | |

| La calidad del informe es condición de compra | | Sí |

Si las señales se reparten, ejecute un piloto pequeño de alcance fijo con ambos tipos de firma antes de comprometerse a un encargo plurianual. La fricción de cambiar tras doce meses es alta; el coste del piloto es bajo.

Cómo entrevistar a una firma tier-2

Pregunte lo que un equipo de compras tier-1 preguntaría y algo más:

• ¿Quién es el responsable nombrado y cuál es su utilización en otros encargos durante mi ventana?
• ¿Qué encargos rechazaron en los últimos 12 meses y por qué?
• Muéstreme un entregable redactado de un encargo comparable (anonimizado).
• ¿Cuál es el límite de su seguro de responsabilidad civil profesional y quién es la aseguradora?
• ¿Qué pasa si el responsable nombrado se va de la firma durante mi encargo?
• ¿Puedo hablar con dos clientes referencia, idealmente uno satisfecho y uno que decidió no renovar?

Una firma tier-2 que no responda con claridad, o que se ponga a la defensiva sobre la segunda y la última, no es la indicada.

> "Hemos perdido evaluaciones competitivas con firmas tier-1 cuando el cliente necesitaba genuinamente un encaje tier-1. Hemos ganado evaluaciones frente a firmas tier-1 cuando el cliente necesitaba un encaje tier-2. El patrón es encaje, no precio." — Revisión interna de desarrollo de negocio IBL, 2026

Qué hacemos en IBL

Somos explícitamente una firma boutique tier-2. Rechazamos encargos donde el encaje tier-1 es genuinamente mejor y lo decimos en la primera conversación. Cuando aceptamos, el sénior nombrado es el que está en su reunión semanal, el entregable lo firma una persona real a la que puede llamar y el alcance es el acordado, no un 20% más.

Si quiere conversar sobre si tier-2 es el encaje para su alcance específico, escriba a [email protected]. Respondemos en un día hábil.

---

Ibida Black Level S.L. es una consultora boutique de ciberseguridad con sede en Málaga y equipo operativo en Rumanía. Trabajamos con empresas medianas europeas que prefieren la honestidad técnica al envoltorio comercial. Fuimos fundados en 2026; no inventamos una historia más larga.

Lectura relacionada

• vCISO frente a CISO interno: cuándo cada modelo tiene sentido
• Auditoría OSINT: qué entregamos y cuánto tarda realmente (cluster pillar Q4)
• Autoevaluación NIS2: 25 preguntas para saber si su empresa cumple (cluster pillar Q3)

Etiquetas: selección-proveedor, compras, empresa-mediana, boutique, tier-1, tier-2, marco-decisión