Si tu MSP no te ha dicho cuántas horas tarda en levantar tu empresa, no tienes un MSP: tienes un facturador

La frase llegó la semana pasada en una conversación de pasillo con un director general de una empresa de 60 personas. Me dijo: «Pago a un MSP cada mes desde hace cinco años; lo doy por hecho.» Le pregunté: «Si mañana entras a la oficina y todo está cifrado, ¿en cuántas horas vuelves a facturar?» Silencio. Y luego: «Nunca se lo he preguntado.»

Esa conversación tendría que haber pasado el día que firmó el contrato. Si tu proveedor IT no te ha dicho nunca cuántas horas tarda en levantar tu empresa después de un ransomware, no tienes un MSP: tienes un facturador. Te cobra mensual y resuelve incidentes pequeños, pero el día del incidente serio te encontrarás en el mismo punto que las pymes que no pagan a nadie. Y la cifra es dura: según el Verizon Data Breach Investigations Report 2024-2025, esas pymes recuperan operaciones en 8 a 12 días. Cada día de parón en una empresa de 30 personas es entre 4.000 y 12.000 € de margen perdido, sin contar daño a clientes ni multa de la AEPD si hubo datos personales comprometidos.

Qué es un RTO y por qué a tu MSP debería darle vergüenza no haber hablado de esto contigo

El RTO (Recovery Time Objective) es el número de horas que tu proveedor IT se compromete contractualmente a tardar en devolverte la empresa funcional después de un incidente. No es una opinión, no es una intención y no es «haremos lo que podamos». Es un número. Cuatro horas, doce horas, dos días: lo que tu negocio aguante.

Si tienes IT externo y pagas cuota fija mensual, esa cifra tendría que figurar en el contrato de servicios. Y tendría que haber salido a la mesa el día que firmaste. Es la pieza que más se omite en los acuerdos entre pymes y MSPs en España, porque incomoda a ambos lados: al MSP le compromete y al cliente le obliga a admitir que el incidente puede pasar. Ninguno de los dos quiere oírlo, así que nadie habla del tema.

El problema es que el día que ocurre, las dos partes se miran y empieza la negociación en caliente. El reloj corre, los empleados están parados, el director general llama a un consultor externo en pánico, el MSP improvisa. Esa improvisación cuesta entre 8 y 12 días según Verizon, y los datos de Cosmikal Q1 2026 sitúan el coste medio del incidente para una pyme española entre 35.000 y 80.000 € entre paralización, recuperación, posibles sanciones y notificaciones obligatorias por la AEPD.

La pregunta de las 4 horas: lo que dice el sector y lo que dicen los datos

La pregunta concreta que tu MSP tendría que responderte en menos de dos minutos, sin consultar a nadie, es esta: «¿En cuántas horas, según contrato, levantas mi correo, mi ERP y mi servidor de archivos si hoy a las nueve de la mañana entran y lo cifran todo?»

Las respuestas razonables, ordenadas de mejor a peor:

• Cuatro horas o menos. Hay un servicio de respuesta a incidentes activo, hay backup verificado fuera del entorno principal y hay un runbook que el equipo ha ensayado. Es el estándar de los MSPs que se toman en serio el contrato.
• Doce horas. El MSP tiene backup y plan, pero los recursos no están dedicados en exclusiva a tu cuenta. Aceptable si tu negocio aguanta medio día parado.
• 24-48 horas. El plan existe pero a media tinta. Backup probablemente sí, simulacro probablemente no. Cuando ocurra, vas a tener sorpresas.
• «Depende del incidente.» No tienes RTO contractual, tienes intenciones. Es una mala respuesta dicha con frases buenas.
• «Nunca me lo habían preguntado.» Tienes un facturador. Punto.

Las cifras del Verizon DBIR cuadran con esto: los clientes de MSPs que sí tienen RTO de 4-12 horas son los que aparecen en la parte alta de la curva de recuperación. Los que tienen «intenciones» o nada, los que tardan 8-12 días. La diferencia no es el tamaño del cliente. Es el contrato.

Las tres preguntas que vas a hacer a tu MSP en la próxima reunión

No hace falta una auditoría externa para empezar a evaluar al proveedor IT que ya tienes. Te llevan dos minutos de la próxima revisión trimestral con tu MSP, o de un café con el comercial que viene a renovar el contrato. Si no puede responder las tres con la voz firme, ya sabes lo que tienes.

Pregunta 1: ¿Cuál es tu RTO contractual para el caso de ransomware general que paraliza correo, ERP y archivos?

Buscas un número, no una frase. Si te dice «4 horas», pregúntale dónde está por escrito. Si te dice «lo intentamos en el día», anótalo y pasa a la siguiente, sabiendo ya que no hay compromiso real.

Pregunta 2: ¿Cuándo fue el último simulacro de recuperación que hicisteis en mi entorno y cuál fue el resultado?

Tener backup no es tener recuperación. La diferencia es enorme y se mide solo con simulacros reales. Si la respuesta es «nunca se ha hecho en tu sistema», el RTO contractual del párrafo anterior es una promesa sin prueba. Si la respuesta es «el mes pasado y tardamos seis horas en restaurar el ERP completo», estás en otro nivel.

Pregunta 3: ¿En qué papel firmado por nosotros dos está el plan de respuesta y quién lo activa?

Aquí buscas un documento concreto. No el folleto del MSP. No el correo de hace dos años. Un Plan de Respuesta a Incidentes con quién llama a quién, en qué orden y con qué teléfono. Si lo tiene, te lo enseña en la misma reunión. Si tiene que «buscarlo», ya sabes.

Las tres respuestas en menos de dos minutos. Si no llegan, no tienes plan, tienes esperanza.

Qué tendría que haber por escrito en tu contrato de servicios gestionados

El RTO no es la única cifra que se omite. Un contrato serio de servicios gestionados tiene como mínimo seis elementos por escrito:

1. RTO por tipo de incidente. El de ransomware no es el mismo que el de una caída de electricidad o una avería de servidor. Cada uno con su número.
2. RPO (Recovery Point Objective). Cuántas horas de trabajo aceptas perder como máximo. Si tu RPO es de 1 hora, necesitas backup cada hora. Si es de 24 horas, una copia nocturna es suficiente.
3. Cadena de aviso. Quién llama al director general, al responsable de operaciones, al jurídico. En qué orden. En qué minuto. Con qué teléfono móvil personal.
4. Backup verificado y off-site. No «tenemos backup», sino «tenemos backup off-site en otro proveedor cloud, con prueba de restore quincenal documentada».
5. Notificación regulatoria. Si hay datos personales en juego, el reloj de las 72 horas de la AEPD empieza al detectar la brecha. El MSP tendría que tener una plantilla de notificación lista, no improvisar.
6. Simulacro anual. Como mínimo uno al año, con informe escrito de qué salió bien y qué salió mal. Si no se hace, el plan es teoría.

La Directiva NIS2 (Reglamento UE 2022/2555) ya exige plan de respuesta documentado para las empresas afectadas. Y aunque tu pyme no esté dentro del alcance directo, la AEPD interpreta cada vez más la falta de plan como negligencia en la obligación de seguridad del Reglamento General de Protección de Datos. No tener nada por escrito ya no es solo riesgo operativo, también es riesgo regulatorio.

Cómo distinguir un MSP serio de un facturador: las cuatro señales que no fallan

A veces no llegas a hacer las tres preguntas porque la sensación con el proveedor ya te dice algo. Estas son las cuatro señales que se ven a simple vista:

• No te ha propuesto nunca una revisión trimestral estructurada. El sector lo llama QBR (Quarterly Business Review). Una hora cada tres meses, en una página, con incidentes del trimestre, riesgos pendientes y plan para los siguientes. Si tu MSP nunca te ha sentado para tener esa conversación, no está pensando en tu negocio: está pensando en tu factura.
• Solo aparece cuando algo falla. Llamadas y correos solo de emergencia. Nunca te llama él. Es un modelo reactivo que da apariencia de eficiencia barata, pero te paga la factura más cara: la del incidente que no se previno.
• No te ha pedido nunca acceso a tu plan de negocio del año que viene. Un proveedor serio te pregunta si vas a crecer, si vas a abrir oficina nueva, si vas a contratar 15 personas. Porque eso cambia la infraestructura, las licencias y el RTO. Un facturador no te pregunta nada.
• Te cobra por hora cuando hay incidentes en lugar de por servicio. El modelo «por hora» alinea los incentivos del MSP con que haya muchos incidentes, no con que haya pocos. El modelo «por servicio gestionado» alinea los incentivos con la prevención.

Estas cuatro señales no son un test de aprobado o suspenso: son un termómetro. Si ves tres de cuatro, sigues teniendo proveedor IT, pero no tienes socio. Y la diferencia se nota el día del incidente.

Qué pasa si tu MSP no te puede responder a las tres preguntas

Lo primero, no hay que romper nada en caliente. Hacer las preguntas, anotar las respuestas, dar al proveedor 30 días para presentar un plan por escrito si no lo tiene. Es razonable y profesional. Si la respuesta del MSP en esos 30 días es seria, conserva el contrato y exige el simulacro. Si la respuesta es vaga o se aplaza, es señal de que el problema no es coyuntural.

Lo segundo, pedir una opinión externa. Una auditoría de seguridad específica del plan de respuesta cuesta entre 1.500 y 4.500 € para una pyme de 20-80 empleados y termina con un informe ejecutivo de tres páginas que tu director general puede llevarse al consejo. No es un peritaje del trabajo del MSP actual: es una segunda lectura, igual que pides una segunda opinión médica antes de una operación seria.

Lo tercero, decidir. Si la auditoría externa confirma que no hay plan, hay dos caminos: o se construye con el MSP actual (y se acompaña con un nuevo contrato y un nuevo precio que refleje el alcance real) o se cambia de proveedor. Cambiar no es trivial pero es perfectamente posible en 60-90 días si se planifica bien: traspaso documentado, accesos rotados, backup migrado en paralelo y simulacro conjunto antes del corte final.

La línea 017 de INCIBE, por cierto, atiende incidentes 24/7 a pymes españolas. Tener ese teléfono pegado en la nevera del despacho del director general es gratis. Tu MSP también tendría que tener su teléfono pegado.

¿Qué es exactamente un RTO en una pyme española?

RTO significa Recovery Time Objective. Es el número de horas que tu proveedor IT se compromete por escrito a tardar en devolverte la empresa funcional después de un incidente grave como un ransomware. Cuatro horas, doce horas o dos días, según lo que tu negocio aguante. Si no aparece en tu contrato de servicios gestionados, no tienes RTO real, tienes una intención.

¿Cuánto tiempo es razonable que tarde un MSP en levantar mi empresa después de un ransomware?

Cuatro horas o menos para correo, ERP y archivos críticos es lo que ofrecen los MSPs serios para una pyme de 20-100 empleados. Doce horas es aceptable si tu negocio aguanta medio día parado. Más de un día implica falta de backup verificado o de simulacro reciente. Según el Verizon Data Breach Investigations Report 2024-2025, las pymes sin contrato de respuesta tardan de mediana entre 8 y 12 días.

¿Está obligado por ley mi proveedor IT a tener un plan de respuesta a incidentes?

Si tu empresa está dentro del alcance de la Directiva NIS2 (Reglamento UE 2022/2555), sí: el plan documentado de respuesta a incidentes es obligatorio. Para el resto de pymes españolas la AEPD interpreta cada vez más la ausencia de plan como falta de diligencia bajo el Reglamento General de Protección de Datos, lo que abre la puerta a sanciones cuando hay brecha con datos personales afectados.

¿Cuánto cuesta cambiar de MSP si descubro que el mío no tiene plan?

El cambio bien planificado lleva 60-90 días e implica traspaso documentado de credenciales, rotación de accesos, migración de backup en paralelo y un simulacro conjunto antes del corte final. El coste depende del tamaño de la infraestructura, pero suele rondar entre 3.000 y 8.000 € de transición para una pyme de 20-80 empleados, recuperable en el primer año con la diferencia de calidad de servicio.

¿Cómo sé si lo que mi MSP llama «backup» me sirve para recuperar realmente la empresa?

Backup sin restore probado es teoría. La prueba definitiva es pedir al MSP que haga un simulacro de recuperación en un entorno aislado con un escenario realista: «Levanta mi ERP a las nueve de mañana en una máquina vacía y dime cuánto tardas.» Si la respuesta es «no lo hemos hecho nunca en tu sistema», el backup es un seguro sin póliza. La regla 3-2-1 sigue siendo el estándar: tres copias de los datos, en dos formatos distintos, una off-site.

¿Por dónde empiezas?

Tienes la próxima conversación con tu MSP a la vuelta. Llévate las tres preguntas en la cabeza, no en un papel. Si las respuestas no llegan en dos minutos con voz firme, no rompas nada: pide el plan por escrito en 30 días.

Si llegado ese plazo el plan sigue sin aparecer, o lo que llega es un folleto en lugar de un documento, agenda 30 minutos con un vCIO de Libertia IT. En esa media hora te decimos si lo que tienes es razonable, qué se puede arreglar con tu proveedor actual y, si no es viable, cómo se hace una transición ordenada sin que tu empresa quede expuesta durante el cambio.

Agenda 30 minutos con un vCIO de Libertia IT →