Consultoría Estratégica para el Sector Público

Soberanía Digital sobre México.

Frente a la ola creciente de ciberataques contra dependencias mexicanas, arquitectamos redes resilientes y ejecutamos inteligencia profunda para garantizar la integridad de las operaciones del Estado.

Explorar Capacidades Portal de Licitaciones
0

Tolerancia a la Corrupción

100%

Apego Normativo Nacional

24/7

Disponibilidad Táctica

AES-256

Cifrado de Evidencia

Contexto Nacional

La amenaza ya está adentro

Los últimos años han evidenciado vulnerabilidades estructurales en la infraestructura digital del Estado mexicano. Exfiltración de correos institucionales, ransomware en organismos críticos y compromisos de cadenas de suministro han pasado de ser excepciones a patrones recurrentes.

Incidentes en aumento

Dependencias federales, estatales y municipales reportan brechas con frecuencia creciente, muchas vinculadas a vulnerabilidades públicas sin parchar.

Datos sensibles expuestos

Las filtraciones recientes han incluido información de seguridad nacional, datos personales de funcionarios y comunicaciones internas clasificadas.

Servicios al ciudadano interrumpidos

Trámites, recaudación, registro civil y servicios de salud han sido temporalmente suspendidos como consecuencia directa de incidentes cibernéticos.

Leer boletines de inteligencia
Por qué Aldana Cyberdefense

Seis razones por las que las dependencias confían en nosotros

No somos una empresa generalista de TI haciendo ciberseguridad como complemento. Somos especialistas en defensa cibernética para el sector público mexicano.

100% capital mexicano

Sin dependencias extranjeras en estructura accionaria, infraestructura o personal técnico. Soberanía operativa garantizada.

Personal con perfil sector público

Auditores con experiencia comprobable en dependencias federales, paraestatales y entidades fiscalizadoras. Conocemos sus procesos.

Confidencialidad absoluta

NDAs firmados antes del primer reconocimiento. Cifrado AES-256 en todo entregable. Destrucción verificable al término del contrato.

Cumplimiento normativo nativo

Cada intervención se documenta con apego a ISO 27001, NIST CSF, MAAGTICSI y la normativa federal vigente de protección de datos.

Respuesta táctica 24/7

Retainer de respuesta a incidentes con tiempos de activación definidos por contrato. Cobertura federal, estatal y municipal.

Documentación auditable

Entregables firmados, trazables y diseñados para resistir auditorías de la SFP, ASF y órganos internos de control.

Capacidades Técnicas

Cuatro líneas de defensa para el sector público

Intervenciones diseñadas para la complejidad operativa del Estado mexicano, ejecutadas por personal con experiencia comprobable en dependencias federales y locales.

Pentesting Gubernamental

Auditorías ofensivas alineadas a NIST SP 800-115, PTES y OWASP para identificar brechas antes que los adversarios.

Infraestructura Crítica

Arquitectura Zero Trust, segmentación avanzada y bastionado de activos esenciales para la operación del Estado.

Respuesta a Incidentes

Contención inmediata, análisis forense bajo cadena de custodia y restauración segura de servicios al ciudadano.

Gobernanza y Cumplimiento

Diagnóstico de brechas, desarrollo de políticas y planes BCP/DRP alineados a la normativa federal y mejores prácticas.
Ver catálogo completo de servicios
Metodología

Un proceso de seis fases verificables

Cada intervención sigue el mismo proceso documentado, con entregables firmados al cierre de cada fase. Sin sorpresas, sin opacidad, sin alcances inflados.

01

Diagnóstico

Reunión bajo NDA, definición de alcance y firma de orden de servicio.

02

Planeación

Plan táctico, ventanas de intervención y matriz de comunicaciones con la dependencia.

03

Ejecución

Trabajo técnico con bitácoras horarias y reporte semanal al enlace institucional.

04

Validación

Verificación cruzada de hallazgos, reporte ejecutivo y técnico, sesión de retroalimentación.

05

Entrega

Entregables firmados, transferencia de conocimiento y recomendaciones priorizadas por CVSS.

06

Acompañamiento

Soporte post-intervención, retesteo de remediaciones y reporte de cierre.

Conocer metodología completa
A Quiénes Servimos

Capacidad para atender al Estado completo

Operamos con dependencias federales, paraestatales, gobiernos estatales y municipales, así como organismos autónomos. Cobertura técnica y administrativa en toda la República.

Federal

Secretarías de Estado, INM, SAT, Aduanas, organismos centralizados.

Estatal y Municipal

Gobiernos estatales, ayuntamientos, secretarías locales.

Paraestatales

Pemex, CFE, IMSS, ISSSTE, organismos descentralizados.

Autónomos

Órganos constitucionales autónomos y entes fiscalizadores.

Seguridad Nacional

SEDENA, SEMAR, Guardia Nacional, CNI.

Salud y Justicia

Sistemas hospitalarios, fiscalías, poder judicial.

Ver sectores con detalle
Compromiso Institucional

Seis compromisos
por escrito.

Cada uno de estos compromisos se incorpora como cláusula contractual en nuestros instrumentos jurídicos. No son promesas de marketing: son obligaciones exigibles.

Solicitar Cláusulas Modelo
1

Confidencialidad absoluta bajo NDA bilateral firmado antes de cualquier reconocimiento.

2

Cero subcontratación: todo el personal técnico es de plantilla y con vetting documentado.

3

Apego al marco normativo: ISO 27001, NIST CSF, MAAGTICSI y normativa federal vigente.

4

Entregables auditables, trazables y diseñados para resistir revisiones de la SFP y ASF.

5

Comunicación 24/7 con el enlace institucional durante toda la ventana operativa.

6

Destrucción segura de evidencia al cierre del contrato, con constancia entregable.

Inteligencia de Amenazas

Boletines técnicos para tomadores de decisión

Ver todos
alto ·

Ola de ciberataques al sector público mexicano: lecciones de los últimos años

Resumen ejecutivo de los incidentes de mayor impacto contra dependencias gubernamentales mexicanas y los controles que pudieron mitigarlos.

Leer boletín
alto ·

Ransomware contra municipios mexicanos: anatomía y defensa

Por qué los ayuntamientos son blanco preferente del cibercrimen organizado y qué controles permiten reducir el riesgo con presupuesto limitado.

Leer boletín
medio ·

Cadena de suministro de software en gobierno: el riesgo invisible

Cuando el ataque entra por un proveedor de confianza. Análisis del riesgo de cadena de suministro en sistemas gubernamentales y controles defensivos aplicables.

Leer boletín
Preguntas Frecuentes

Lo que las dependencias nos preguntan con frecuencia

Respuestas directas a las consultas más recurrentes de áreas de TI, compras y enlaces institucionales.

¿Pueden participar en procesos de licitación pública o adjudicación directa?

Sí. Aldana Cyberdefense cuenta con la estructura administrativa, fiscal y técnica para participar en procesos al amparo de la LAASSP, incluyendo licitaciones públicas, invitación a cuando menos tres personas y adjudicaciones directas debidamente justificadas. Disponemos de Constancia de Situación Fiscal vigente, opinión positiva de cumplimiento y la documentación complementaria que cada convocatoria solicite.

¿Cómo manejan la información clasificada de la dependencia?

Toda la información obtenida durante una intervención se clasifica como Confidencial y de Uso Restringido. Cifrado AES-256 en reposo, controles estrictos de acceso bajo el principio de menor privilegio, bitácoras de acceso, y destrucción verificable al término del contrato. El equipo opera bajo NDA bilateral firmado antes del primer reconocimiento.

¿Qué metodologías utilizan en pentesting?

Nuestras pruebas se ejecutan conforme a NIST SP 800-115, PTES (Penetration Testing Execution Standard) y OWASP Testing Guide. La fase de modelado de amenazas se alinea a MITRE ATT&CK. Cada hallazgo se documenta con su vector, vector CVSS v4.0, prueba de concepto y recomendación de remediación priorizada.

¿Existe riesgo de afectación a sistemas en producción?

Las pruebas se ejecutan en ventanas de mantenimiento acordadas, con criterios de paro explícitos por escrito. Toda la explotación es controlada y no destructiva. Para sistemas de altísimo riesgo (registro civil, recaudación, salud), se ofrece la opción de pentesting en entorno espejo previo despliegue en producción.

¿Cuál es el tiempo de respuesta para un incidente activo?

Bajo retainer firmado, el equipo de respuesta se activa en menos de 2 horas para la fase de contención inicial remota, y despliegue presencial en menos de 24 horas en territorio nacional. Sin retainer previo, ofrecemos activación de emergencia sujeta a disponibilidad del equipo y orden de servicio formalizada.

¿Realizan transferencia de conocimiento al personal de la dependencia?

Sí. Cada intervención incluye sesiones de transferencia técnica al CSIRT o área de TI de la dependencia, manuales operativos de los controles desplegados, y opcionalmente programas de capacitación a funcionarios sobre manejo seguro de información clasificada y respuesta inicial a incidentes.

¿Cómo evitan conflictos de interés con otras dependencias?

Mantenemos un registro interno de conflictos y firmamos declaraciones de no conflicto al inicio de cada proyecto. Ningún auditor técnico participa en procesos donde exista vínculo personal o económico previo, y separamos estrictamente las operaciones de la división gubernamental respecto a nuestra división del sector privado (Aldana Innovations).

¿Pueden firmar contratos en moneda nacional y bajo legislación mexicana?

Sí. Todos nuestros contratos se formalizan en pesos mexicanos, bajo legislación mexicana, con jurisdicción en tribunales federales. Aceptamos los modelos contractuales estándar del sector público (CompraNet) y podemos ajustar cláusulas específicas según la normativa interna de cada dependencia.
¿No encuentra su pregunta? Contáctenos directamente.
Siguiente Paso

Su dependencia merece más que una propuesta genérica.

Iniciemos una conversación bajo NDA. Le entregamos un diagnóstico preliminar sin costo, con alcance acotado a su realidad operativa.

Agendar Sesión de Alcance Ver Catálogo de Servicios