NexisraNEXISRA
·
28 de febrero de 20266 min
GUÍA

Cómo elegir una consultoría tecnológica en España: guía objetiva

El mercado IT español mueve más de 72.000 millones de euros y cuenta con más de 57.000 empresas. En este artículo analizamos los criterios objetivos, certificaciones reales, SLAs que importan y las señales de alarma que deberían hacerte descartar a un proveedor.

El mercado de consultoría tecnológica en España: las cifras

Antes de hablar de criterios de selección, conviene entender el tamaño y la estructura del mercado en el que vas a buscar proveedor. Según el Barómetro de la Economía Digital 2024 de AMETIC, el subsector de tecnologías de la información generó 72.738 millones de euros en 2024, un crecimiento del +7,9% respecto al año anterior. El sector emplea a más de 577.000 profesionales y representa un 26% del PIB español.

Dentro de este ecosistema, la Asociación Española de Empresas de Consultoría (AEC) cifra los ingresos del sector consultoría en 21.982 millones de euros (+8,8%), de los cuales el 82% corresponde a consultoría tecnológica. El segmento específico de consultoría TI y outsourcing alcanzó los 14.650 millones de euros en 2024 (+8,9%), según IT Reseller.

El Observatorio Sectorial DBK contabiliza más de 57.000 empresas en el sector, donde las 10 primeras concentran el 57% del volumen de negocio. Este nivel de concentración significa que la inmensa mayoría de las empresas del sector son pymes especializadas, algo que no es necesariamente negativo si sabes cómo evaluarlas.

Top 10 integradoras y consultoras TI en España (2024)

CaracterísticaPosiciónEmpresaFacturación EspañaCrecimiento
1Indra / Minsait4.843 M€+11,5%
2Accenture1.791 M€+2,2%
3NTT Data~1.200 M€
4Seidor (Carlyle)1.121 M€+30%
5Inetum~1.000 M€+17%
6Ayesa790 M€
7Kyndryl788 M€
8Capgemini700 M€
9DXC Technology580 M€
10Grupo Econocom480 M€

7 criterios para elegir bien una consultoría tecnológica

Basándonos en las mejores prácticas de selección de proveedores TI y en estándares como ISO 9001:2015 (que exige a las empresas definir criterios para evaluar a sus proveedores), estos son los siete factores que deberías analizar:

1. Experiencia sectorial demostrable. No basta con que una consultora tenga experiencia genérica. Necesitas referencias verificables en tu sector: casos de uso documentados, clientes que puedas contactar y proyectos similares al tuyo en alcance. Pregunta por proyectos concretos, no por logotipos en una web.

2. Certificaciones reales y verificables. Las certificaciones son el primer filtro objetivo. Pero no todas valen igual: una ISO 27001 auditada externamente tiene más peso que un badge de partner autoconcedido. En la siguiente sección detallamos qué certificaciones importan y qué significan realmente sus niveles.

3. Modelo de SLA con penalizaciones. Un proveedor que no te ofrece un SLA escrito con métricas concretas (uptime, MTTR, tiempo de respuesta) y penalizaciones reales por incumplimiento está vendiendo promesas, no servicios. La sección de SLAs de este artículo te dará los números de referencia.

4. Equipo dedicado e identificado. Deberías saber quién va a trabajar en tu proyecto antes de firmar. Pregunta por los perfiles, las certificaciones individuales y la rotación de personal. Según TD SYNNEX, una de las causas más frecuentes de fracaso es que el equipo que te vende el proyecto no es el que lo ejecuta.

5. Transparencia en precios. Desconfía de presupuestos "a medida" sin desglose. Un buen proveedor te da precios unitarios, tarifas horarias y un coste total estimado con desviación máxima. Si no puede dar un rango antes de la primera reunión, su estructura de costes no está definida.

6. Escalabilidad técnica. Tu proveedor debería poder acompañarte cuando crezcas. Pregunta qué pasa si necesitas duplicar usuarios, añadir módulos o migrar a un entorno más potente. Si la respuesta es "lo vemos cuando llegue el momento", no hay plan.

7. Proceso de salida documentado. Este es el criterio que más se ignora y el que más problemas genera. Antes de entrar, asegúrate de saber cómo sales: portabilidad de datos, formato de exportación, plazo de entrega del código fuente, coste de la transición. Si el proveedor se resiste a negociar una cláusula de salida, es una señal de alarma directa.

El ranking es útil como referencia, pero una empresa grande no es automáticamente la mejor opción para tu proyecto. La clave está en aplicar criterios objetivos de selección.

La ISO 27001 es el estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Garantiza que el proveedor tiene procesos auditados de confidencialidad, integridad y disponibilidad de datos.

La ISO 9001 acredita un sistema de gestión de calidad con enfoque en el cliente y mejora continua.

Según ANCO, ambas certificaciones son auditadas anualmente por organismos acreditados, lo que les da un peso que los sellos autoconcedidos no tienen.

Niveles de disponibilidad SLA: qué es normal y qué es marketing

CaracterísticaNivel de disponibilidadInactividad máx./mesInactividad máx./año
99%7 horas 18 min3 días 15 horas
99,5%3 horas 39 min1 día 19 horas
99,9% ("tres nueves")43 min 50 seg8 horas 46 min
99,99% ("cuatro nueves")4 min 23 seg52 min 36 seg

Un SLA de 99,9% permite casi 44 minutos de caída al mes. Eso puede ser aceptable para muchas pymes, pero necesitas saber que ese es el compromiso real, no "prácticamente nunca se cae".

Lo que un SLA real debería incluir

Más allá del uptime, un SLA profesional según los estándares ITIL v4 y las prácticas documentadas por Computing.es debería especificar:

  • MTTD (Mean Time to Detect): tiempo máximo para detectar un incidente. Estándar para incidentes críticos: 5 minutos o menos.
  • MTTA (Mean Time to Acknowledge): tiempo máximo para confirmar la recepción del incidente. Estándar: 15 minutos para críticos.
  • MTTR (Mean Time to Resolve): tiempo máximo para resolver el incidente. Estándar: 4 horas para críticos, 24 horas para severidad media.
  • Penalizaciones: créditos de servicio, extensión de contrato o resolución sin penalización en caso de incumplimiento grave y reiterado. Como señala Computing.es, las penalizaciones del SLA no sustituyen a la indemnización por daños y perjuicios.
  • Exclusiones: mantenimientos programados, fuerza mayor, incidentes causados por el cliente. Estas exclusiones deben estar listadas explícitamente.

Si tu proveedor te ofrece "99,9% de disponibilidad" pero no detalla MTTR, penalizaciones ni exclusiones, no tienes un SLA: tienes una declaración de intenciones.

ALERTA

5 red flags al evaluar un proveedor IT

Vendor lock-in por diseño

Toda la arquitectura propuesta depende de tecnología propietaria sin alternativas de portabilidad. No hay cláusula de exportación de datos ni documentación de APIs. Según TrustCloud, menos del 1% de los clientes cambia de proveedor al año por estas barreras.

Sin SLA escrito con penalizaciones

Si el contrato no incluye métricas de servicio medibles y penalizaciones por incumplimiento, el proveedor no tiene incentivos reales para cumplir. Un compromiso verbal de disponibilidad no tiene valor legal ni operativo.

Sin certificaciones verificables

No pueden mostrar certificados ISO vigentes, no tienen empleados certificados en las tecnologías que venden, o los badges que exhiben no se pueden verificar en los registros públicos del organismo emisor.

Precios opacos

Presupuestos sin desglose, tarifas que cambian según el proyecto, costes adicionales que aparecen después de firmar. Un proveedor profesional tiene una estructura de precios clara y puede justificar cada partida.

Sin proceso de offboarding

No existe documentación sobre qué pasa cuando termina la relación: quién se queda con el código, en qué formato se exportan los datos, cuál es el plazo de transición. Si el proveedor se resiste a hablar de la salida, hay un problema.

El contexto regulatorio que tu proveedor debe cumplir

La regulación española y europea impone obligaciones concretas a los proveedores de servicios IT. Si tu consultoría no las menciona proactivamente, es una señal de falta de rigor.

RGPD: contrato de encargado de tratamiento

Si tu proveedor IT va a tener acceso a datos personales de tu empresa (lo cual es casi inevitable), la LOPDGDD (Ley Orgánica 3/2018) exige un contrato de encargado de tratamiento (DPA) por escrito. No tenerlo es una infracción grave. Según INCIBE, este contrato debe incluir: objeto y duración del tratamiento, tipo de datos personales, obligaciones del responsable y del encargado, y el derecho del cliente a auditar al proveedor.

El proveedor, como encargado del tratamiento, está obligado según EdorTeam a: tratar datos solo según instrucciones del responsable, garantizar la confidencialidad del personal, aplicar medidas de seguridad, no subcontratar sin autorización previa, y devolver o destruir los datos al finalizar el servicio.

NIS2: la directiva que afecta a proveedores IT

La Directiva NIS2 clasifica a los proveedores de servicios digitales como sectores críticos. Aplica a empresas medianas y grandes (más de 50 empleados o 10 millones de euros de ingresos). Según Channel Partner, las multas pueden alcanzar el 2% de la facturación global anual o 10 millones de euros (lo que sea mayor). España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en enero de 2025, con transposición definitiva pendiente.

ENS: obligatorio si tu empresa trabaja con la Administración Pública

Como ya mencionamos, el Esquema Nacional de Seguridad es obligatorio para cualquier empresa privada que preste servicios TI a organismos públicos. Si tu proveedor no tiene al menos una Declaración de Conformidad para sistemas de categoría básica, no cumple la ley.

10 preguntas que deberías hacer en la primera reunión

Esta checklist resume todo lo anterior en preguntas concretas que puedes llevar a cualquier reunión con un proveedor IT potencial:

  1. ¿Pueden mostrarme 3 casos de éxito documentados en mi sector con clientes que pueda contactar?
  2. ¿Qué certificaciones ISO, ENS o de partner tienen vigentes? ¿Dónde puedo verificarlas?
  3. ¿Quién será mi equipo dedicado? ¿Cuáles son sus certificaciones individuales?
  4. ¿Cuál es su SLA estándar? ¿Incluye MTTR, penalizaciones y exclusiones por escrito?
  5. ¿Cuál es su estructura de precios? ¿Pueden desglosar el presupuesto por partidas?
  6. ¿Qué pasa si necesito duplicar usuarios o añadir módulos en 12 meses?
  7. ¿Cómo funciona el proceso de salida? ¿En qué formato exportan mis datos y código?
  8. ¿Firman contrato de encargado de tratamiento (DPA) conforme al RGPD?
  9. ¿Subcontratan alguna parte del servicio? ¿A quién y con qué condiciones?
  10. ¿Tienen plan documentado de continuidad de negocio y recuperación ante desastres?

Si un proveedor no puede responder con claridad a estas diez preguntas, no está preparado para gestionar tu infraestructura tecnológica. No se trata de descartarlos por una respuesta incompleta, sino de evaluar su nivel de madurez y profesionalidad.

Si quieres saber cómo evaluamos nosotros la infraestructura tecnológica de nuestros clientes potenciales, te recomendamos leer nuestra guía sobre qué analizamos en una auditoría tecnológica.

Preguntas frecuentes sobre consultoría tecnológica

¿Quieres evaluar tu infraestructura antes de elegir proveedor?

Ofrecemos una evaluación tecnológica gratuita de 30 minutos basada en los mismos criterios objetivos que describimos en este artículo. Sin compromiso, sin presión comercial.

MC

Mandy Cortés

Fundadora & CTO

Fundadora de Nexisra (Sphyrna Solutions S.L.) en Málaga. Especializada en infraestructura gestionada, desarrollo web y software empresarial para PYMES en toda España.

Artículos relacionados

Alternativas2 de marzo de 2026

Alternativa a Sesame HR para Fichaje: Por Qué las PYMEs Eligen Nexisra

Comparativa objetiva entre Sesame HR y Nexisra Fichaje. Precios para 10, 25 y 50 empleados.

Leer más
CHECKLIST28 de febrero de 2026

Checklist de infraestructura IT para pymes: lo que deberías tener (y lo que probablemente te falta)

Los 10 puntos clave que toda pyme debería revisar en su infraestructura IT: backups, antivirus, firewall, actualizaciones y más. Checklist descargable incluido.

Leer más
SERVICIOS28 de febrero de 2026

Auditoría tecnológica: qué analizamos y por qué la ofrecemos gratis

Qué analizamos en una auditoría tecnológica gratuita: infraestructura, seguridad, licencias, backups y procesos. Descubre vulnerabilidades antes de que sean problemas.

Leer más