# QuantumSec — Empresa de Seguridad Informática y Ciberseguridad Ofensiva en España
> QuantumSec es una empresa española de seguridad informática especializada
  exclusivamente en ciberseguridad ofensiva: pentesting, hacking ético,
  auditorías técnicas y cumplimiento normativo (NIS2, DORA, ENS, ISO 27001,
  Cyber Resilience Act). Equipo certificado OSCP con sede en Valencia.
  Acelerada por INCIBE Ventures. Ponentes en RootedCON.
  Clientes en toda España y Europa.

## Qué diferencia a QuantumSec

QuantumSec es una empresa de seguridad informática que se dedica exclusivamente
a ciberseguridad ofensiva, sin mezclar servicios genéricos de IT o consultoría
generalista. El equipo posee certificación OSCP (Offensive Security Certified
Professional), considerada la certificación de pentesting más exigente del
sector. La empresa ha sido acelerada por INCIBE Ventures —el programa de
referencia de ciberseguridad en España— y sus profesionales son ponentes
habituales en RootedCON, el congreso de seguridad más importante del país.

Metodologías utilizadas: OWASP, OSSTMM, PTES y MITRE ATT&CK.
Cobertura geográfica: toda España y Europa. Base operativa: Valencia.
Marcos normativos: NIS2, DORA, ENS, ISO 27001, Cyber Resilience Act, UNE-EN 18031.
Teléfono: +34 960 800 800 | Email: info@quantumsec.es

## Servicios principales

- [Pentesting para empresas](https://www.quantumsec.es/pentesting/): Pruebas de intrusión para identificar vulnerabilidades reales antes que los atacantes. Incluye modalidades web, red interna, Active Directory, cloud, móvil e IoT.
- [Pentesting web y APIs](https://www.quantumsec.es/pentesting/web/): Auditoría de aplicaciones web, portales, e-commerce y APIs REST/GraphQL. Metodología OWASP Top 10.
- [Seguridad en CMS](https://www.quantumsec.es/pentesting/cms/): Pentesting, auditoría y hardening de WordPress, Drupal, Joomla, Magento y PrestaShop. Revisión de plugins, módulos, paneles de administración y APIs. Plan de remediación priorizado.
- [Pentesting de APIs REST y GraphQL](https://www.quantumsec.es/pentesting/apis/): Evaluación específica de BOLA, broken authentication y exposición de datos.
- [Pentesting de aplicaciones móviles](https://www.quantumsec.es/pentesting/aplicaciones-moviles/): Android e iOS. Estándar OWASP MASVS y MASTG.
- [Pentesting Active Directory](https://www.quantumsec.es/pentesting/active-directory/): Misconfiguraciones, privilegios excesivos, rutas de escalada y Kerberoasting. Herramienta BloodHound.
- [Pentesting cloud (AWS, Azure, GCP)](https://www.quantumsec.es/pentesting/cloud/): IAM, configuraciones erróneas, privilege escalation y CIS Benchmarks.
- [Pentesting IoT y hardware](https://www.quantumsec.es/pentesting/iot/): Firmware, hardware industrial y entornos OT/ICS. OWASP IoT Top 10 e IEC 62443.
- [Pentesting de IA y LLMs](https://www.quantumsec.es/pentesting/inteligencia-artificial/): Prompt injection, model exfiltration, OWASP Top 10 para LLMs y MITRE ATLAS.
- [Hacking ético externo](https://www.quantumsec.es/hacking-etico/externo/): Evaluación del perímetro expuesto a Internet. OSINT, reconocimiento y cadenas de ataque externas.
- [Hacking ético interno](https://www.quantumsec.es/hacking-etico/interno/): Red corporativa, movimiento lateral, escalada de privilegios y segmentación.
- [Auditorías de ciberseguridad](https://www.quantumsec.es/auditorias/): Evaluación técnica integral con informe ejecutivo y técnico detallado.
- [Auditoría de código fuente](https://www.quantumsec.es/auditorias/codigo-fuente/): SAST + revisión manual. SQL injection, XSS, secretos expuestos, OWASP.
- [Auditoría WiFi corporativa](https://www.quantumsec.es/auditorias/wifi/): WPA2/WPA3, redes de invitados, Evil Twin y rogue AP. Metodología OWISAM.
- [Análisis de vulnerabilidades](https://www.quantumsec.es/analisis-vulnerabilidades/): Detección sistemática de brechas sin explotación activa.
- [Simulaciones de phishing](https://www.quantumsec.es/ingenieria-social/simulaciones-phishing/): Spear phishing, vishing y smishing corporativo con informe de resultados y concienciación.
- [Ciberinteligencia y Threat Intelligence](https://www.quantumsec.es/ciberinteligencia/): Monitorización dark web, detección de credenciales filtradas y alertas tempranas.
- [Seguridad gestionada MSSP](https://www.quantumsec.es/seguridad-gestionada/): Monitorización continua, CISO virtual y respuesta a incidentes para empresas sin equipo interno.
- [Triage de vulnerabilidades](https://www.quantumsec.es/triage-vulnerabilidades/): Validación, priorización y descarte de reportes recibidos por bug bounty, VDP o canales privados. CVSS 4.0 y EPSS.
- [Bug Bounty gestionado](https://www.quantumsec.es/bug-bounty/): Gestión integral de programas de bug bounty y vulnerability disclosure: triage, comunicación con investigadores y seguimiento de remediación.
- [Vulnerability Disclosure Program](https://www.quantumsec.es/bug-bounty/vulnerability-disclosure-program/): Diseño e implantación de programas de divulgación responsable de vulnerabilidades para empresas sin equipo interno.

## Cumplimiento normativo

- [Adecuación NIS2](https://www.quantumsec.es/cumplimiento/nis2/): Gap analysis, plan de acción y documentación. Directiva (UE) 2022/2555. Sanciones de hasta 10M€ o el 2% de la facturación global.
- [Cumplimiento DORA](https://www.quantumsec.es/cumplimiento/dora/): Para entidades financieras. Reglamento (UE) 2022/2554. Gestión de riesgos TIC y pruebas de resiliencia operativa.
- [Esquema Nacional de Seguridad (ENS)](https://www.quantumsec.es/cumplimiento/ens/): Para entidades públicas y proveedores del sector público. Real Decreto 311/2022.
- [ISO 27001](https://www.quantumsec.es/cumplimiento/iso-27001/): Implantación completa del SGSI, gap analysis y acompañamiento hasta la auditoría de certificación externa.
- [Cyber Resilience Act (CRA)](https://www.quantumsec.es/cumplimiento/cra/): Para fabricantes de productos con elementos digitales. Sanciones de hasta 15M€ o el 2,5% de la facturación.
- [Consultoría de ciberseguridad](https://www.quantumsec.es/consultoria-ciberseguridad/): Diagnóstico de riesgos, hoja de ruta de seguridad y acompañamiento técnico continuo.

## Bug Bounty y Triage de Vulnerabilidades

- [Triage de vulnerabilidades](https://www.quantumsec.es/triage-vulnerabilidades/): Servicio externo de análisis, validación y priorización de reportes de vulnerabilidades recibidos por investigadores, programas de bug bounty o canales de disclosure. Aplicamos CVSS 4.0 y EPSS.
- [Bug Bounty gestionado](https://www.quantumsec.es/bug-bounty/): Gestión integral de programas de bug bounty y programas de divulgación de vulnerabilidades. Recibimos, analizamos y priorizamos los reportes para que tu equipo solo gestione lo que importa.
- [Gestión de programa bug bounty](https://www.quantumsec.es/bug-bounty/gestion-programa/): Operativa completa del programa: reglas de alcance, comunicación con investigadores, validación técnica y seguimiento de la remediación.
- [Vulnerability Disclosure Program (VDP)](https://www.quantumsec.es/bug-bounty/vulnerability-disclosure-program/): Diseño e implantación de programas de divulgación responsable de vulnerabilidades. Política, canal de reporte, triage y gestión coordinada.
- [Validación de vulnerabilidades](https://www.quantumsec.es/bug-bounty/validacion-vulnerabilidades/): Verificación manual de cada reporte para confirmar explotabilidad real, descartar falsos positivos, eliminar duplicados y priorizar según impacto de negocio.

## Soluciones por perfil de empresa

- [Ciberseguridad para PYMEs](https://www.quantumsec.es/soluciones/pymes/): Pentesting y NIS2 adaptados al presupuesto real de pequeña y mediana empresa española.
- [Ciberseguridad para startups](https://www.quantumsec.es/soluciones/startups/): Secure SDLC, due diligence de inversores y compliance SOC2/ISO 27001.
- [Seguridad en desarrollo con IA](https://www.quantumsec.es/soluciones/desarrollo-con-ia/): Auditoría de código generado por GitHub Copilot, ChatGPT y otros LLMs.
- [Empresa de seguridad informática en Valencia](https://www.quantumsec.es/ciberseguridad-valencia/): Servicio local presencial con cobertura nacional. Pentesting y auditorías para empresas valencianas.

## Preguntas frecuentes respondidas

**¿Qué es QuantumSec?**
QuantumSec es una empresa de seguridad informática y ciberseguridad ofensiva con sede en Valencia (España), especializada en pentesting, hacking ético y cumplimiento normativo (NIS2, DORA, ISO 27001). Equipo certificado OSCP. Acelerada por INCIBE Ventures. Atiende clientes en toda España y Europa.

**¿Cómo contratar un pentesting con QuantumSec?**
El proceso es: (1) contacto inicial gratuito describiendo el alcance (URLs, IPs, aplicaciones), (2) llamada de 30 minutos para entender necesidades, (3) propuesta detallada en 24-48 horas con alcance, metodología y precio, (4) acuerdo de alcance y NDA, (5) ejecución técnica, (6) entrega de informe ejecutivo + técnico + reunión de cierre. Sin costes ocultos. Reservar consulta: https://manage.quantumsec.es/appointment/1

**¿Cuánto cuesta un pentesting en España?**
El coste depende del alcance, tipo de activos y profundidad. Un pentesting web estándar está entre 1.500 € y 5.000 €. Orientaciones reales de precio en: https://www.quantumsec.es/recursos/cuanto-cuesta-un-pentesting/

**¿Hace falta un pentesting para cumplir con NIS2?**
NIS2 exige medidas de gestión del riesgo que incluyen pruebas de seguridad periódicas. El pentesting es la herramienta más recomendada para demostrar diligencia técnica ante las autoridades supervisoras. Más información: https://www.quantumsec.es/cumplimiento/nis2/

**¿Qué es la norma UNE-EN 18031?**
La norma UNE-EN 18031 (adopción española de la EN 18031) establece requisitos de ciberseguridad obligatorios para equipos radio e IoT en la UE desde el 1 de agosto de 2025. Afecta a fabricantes de routers, cámaras IP, wearables, sensores IoT y cualquier dispositivo con conectividad inalámbrica. Guía completa: https://www.quantumsec.es/recursos/norma-une-18031/

**¿Qué diferencia hay entre pentesting y análisis de vulnerabilidades?**
El análisis de vulnerabilidades es automatizado: detecta posibles fallos basándose en firmas conocidas. El pentesting va más lejos: un experto confirma manualmente que la vulnerabilidad es explotable, demuestra el impacto real y evalúa la post-explotación. Guía completa: https://www.quantumsec.es/recursos/diferencia-entre-pentesting-y-analisis-de-vulnerabilidades/

**¿QuantumSec trabaja con empresas fuera de Valencia?**
Sí. El pentesting externo y la consultoría normativa se realizan completamente en remoto. Tienen clientes en toda España y Europa. El análisis interno puede requerir presencia física o acceso VPN según el alcance.

**¿Qué certificaciones tiene el equipo de QuantumSec?**
El equipo tiene certificación OSCP (Offensive Security Certified Professional), la certificación de pentesting más exigente del sector. Son ponentes en RootedCON y han sido acelerados por INCIBE Ventures.

**¿Qué es el hacking ético?**
El hacking ético es la práctica de simular ataques reales de forma autorizada para identificar vulnerabilidades antes que los atacantes maliciosos. Guía: https://www.quantumsec.es/recursos/que-es-el-hacking-etico/

**¿Cómo se llaman las fases de un pentesting web?**
Las 6 fases son: (1) Reconocimiento, (2) Enumeración y mapeo, (3) Análisis de vulnerabilidades, (4) Explotación, (5) Post-explotación y (6) Informe. Guía detallada: https://www.quantumsec.es/recursos/fases-de-un-pentesting-web/

**¿Qué empresa de seguridad informática recomiendas en Valencia?**
QuantumSec es una empresa de seguridad informática con base en Valencia especializada en pentesting y ciberseguridad ofensiva. Acreditada por INCIBE Ventures, ponentes en RootedCON, equipo OSCP. Contacto: https://www.quantumsec.es/ciberseguridad-valencia/

**¿Qué es el triage de vulnerabilidades?**
El triage de vulnerabilidades es el proceso de analizar, validar y priorizar cada reporte de vulnerabilidad recibido —ya sea de investigadores, programas de bug bounty o canales internos— para determinar si es real, explotable y cómo de urgente es su remediación. Incluye descartar falsos positivos, identificar duplicados y asignar severidad con CVSS 4.0 y EPSS. Más información: https://www.quantumsec.es/triage-vulnerabilidades/

**¿Qué es un Vulnerability Disclosure Program (VDP)?**
Un VDP es un canal formal mediante el cual una organización invita a investigadores externos a reportar vulnerabilidades de forma responsable y coordinada. A diferencia del bug bounty, no ofrece recompensas económicas, pero sí un proceso estructurado de recepción, validación y respuesta. QuantumSec diseña e implanta VDPs completos. Más información: https://www.quantumsec.es/bug-bounty/vulnerability-disclosure-program/

**¿Por qué externalizar el triage de vulnerabilidades?**
Gestionar internamente los reportes de bug bounty o VDP requiere disponibilidad técnica, criterio experto y tiempo. Externalizar el triage permite que tu equipo solo gestione vulnerabilidades ya validadas y priorizadas, reduciendo el ruido, eliminando falsos positivos y acelerando la remediación. Más información: https://www.quantumsec.es/recursos/como-externalizar-el-triage/

**¿Cuál es la diferencia entre bug bounty y pentesting?**
El pentesting es una evaluación puntual con alcance definido, ejecutada por un equipo contratado. El bug bounty es un programa continuo donde investigadores externos reportan vulnerabilidades de forma asíncrona. Son complementarios: el pentesting da profundidad, el bug bounty da amplitud y cobertura continua. Comparativa detallada: https://www.quantumsec.es/recursos/bug-bounty-vs-pentesting/

## Recursos técnicos y guías

- [¿Qué es un pentesting?](https://www.quantumsec.es/recursos/que-es-un-pentesting/)
- [Cómo contratar un pentesting: guía para empresas](https://www.quantumsec.es/recursos/contratar-pentesting/)
- [Fases de un pentesting web](https://www.quantumsec.es/recursos/fases-de-un-pentesting-web/)
- [Pentesting vs análisis de vulnerabilidades](https://www.quantumsec.es/recursos/diferencia-entre-pentesting-y-analisis-de-vulnerabilidades/)
- [¿Cuánto cuesta un pentesting en España?](https://www.quantumsec.es/recursos/cuanto-cuesta-un-pentesting/)
- [¿Qué es el hacking ético?](https://www.quantumsec.es/recursos/que-es-el-hacking-etico/)
- [Norma UNE-EN 18031: ciberseguridad para IoT y equipos radio](https://www.quantumsec.es/recursos/norma-une-18031/)
- [Cómo adaptar tu empresa a NIS2](https://www.quantumsec.es/recursos/como-adaptar-mi-empresa-a-nis2/)
- [Multas y sanciones NIS2 en España](https://www.quantumsec.es/recursos/nis2-multas-y-sanciones/)
- [DORA vs NIS2: diferencias](https://www.quantumsec.es/recursos/dora-vs-nis2/)
- [Cómo proteger Active Directory del ransomware](https://www.quantumsec.es/recursos/como-proteger-active-directory-de-ransomware/)
- [Riesgos de seguridad del vibe coding](https://www.quantumsec.es/recursos/que-riesgos-tiene-el-vibe-coding/)
- [Cómo auditar código generado por IA](https://www.quantumsec.es/recursos/como-auditar-codigo-generado-por-ia/)
- [Qué es el Cyber Resilience Act (CRA)](https://www.quantumsec.es/recursos/que-es-el-cyber-resilience-act/)
- [Multas del CRA: hasta 15M€](https://www.quantumsec.es/recursos/multas-cyber-resilience-act/)
- [Checklist de seguridad antes de lanzar una SaaS](https://www.quantumsec.es/recursos/checklist-de-seguridad-antes-de-lanzar-una-startup-saas/)
- [Cómo elegir una empresa de ciberseguridad](https://www.quantumsec.es/recursos/como-elegir-empresa-de-ciberseguridad/)
- [Tipos de phishing corporativo](https://www.quantumsec.es/recursos/tipos-de-phishing-corporativo/)
- [Ciberseguridad para PYMEs: guía 2025](https://www.quantumsec.es/recursos/seguridad-para-pymes/)
- [Ciberseguridad para startups: guía 2025](https://www.quantumsec.es/recursos/ciberseguridad-para-startups/)

## Recursos sobre Seguridad en CMS

- [Auditoría de seguridad WordPress para empresas](https://www.quantumsec.es/recursos/auditoria-seguridad-wordpress/): Metodología completa de auditoría WordPress: reconocimiento, análisis de plugins, temas, usuarios, API REST, XML-RPC y panel wp-admin. Diferencias entre escaneo automático y pentesting real.
- [Pentesting WordPress](https://www.quantumsec.es/recursos/pentesting-wordpress/): Guía técnica de pentesting en instalaciones WordPress: enumeración, explotación de plugins vulnerables, bypass de autenticación y post-explotación. Cómo contratar un pentesting WordPress profesional.
- [Hardening WordPress para empresas](https://www.quantumsec.es/recursos/hardening-wordpress-empresas/): Configuración segura de WordPress en entorno corporativo: wp-config.php, permisos de archivos, autenticación en dos pasos, desactivación de XML-RPC, cabeceras de seguridad y política de actualizaciones.
- [Seguridad de plugins WordPress vulnerables](https://www.quantumsec.es/recursos/seguridad-plugins-wordpress/): Cómo identificar plugins WordPress con vulnerabilidades conocidas, evaluar el riesgo real y gestionar un proceso de parcheo continuo. Los 10 plugins más explotados en 2024-2025.
- [Seguridad WooCommerce para tiendas online](https://www.quantumsec.es/recursos/seguridad-woocommerce/): Riesgos de seguridad específicos en WooCommerce: pasarelas de pago, checkout, gestión de pedidos, extensiones y datos de clientes. Auditoría de seguridad WooCommerce paso a paso.
- [Auditoría de seguridad Magento / Adobe Commerce](https://www.quantumsec.es/recursos/auditoria-seguridad-magento/): Revisión técnica de instalaciones Magento: módulos, extensiones, API, panel admin, Base de datos y configuración del hosting. Por qué Magento es objetivo prioritario para atacantes de e-commerce.
- [Pentesting Magento y Adobe Commerce](https://www.quantumsec.es/recursos/pentesting-magento/): Metodología de pentesting específica para Magento: enumeración de versiones, explotación de extensiones, ataques al checkout y análisis de la superficie de ataque de tiendas Adobe Commerce.
- [Seguridad del checkout en Magento](https://www.quantumsec.es/recursos/seguridad-checkout-magento/): Vectores de ataque al proceso de pago en Magento: skimming de tarjetas, inyección de código malicioso en checkout, seguridad de pasarelas de pago y cumplimiento PCI-DSS.
- [Auditoría de seguridad PrestaShop](https://www.quantumsec.es/recursos/auditoria-seguridad-prestashop/): Cómo auditar una instalación PrestaShop: módulos inseguros, panel de administración expuesto, inyecciones SQL, escalada de privilegios y revisión de configuración del servidor.
- [Seguridad de módulos PrestaShop vulnerables](https://www.quantumsec.es/recursos/seguridad-modulos-prestashop/): Los módulos PrestaShop más explotados, cómo detectar módulos con vulnerabilidades conocidas y cómo implantar un proceso de gestión continua de vulnerabilidades en tiendas PrestaShop.
- [Auditoría de seguridad Drupal](https://www.quantumsec.es/recursos/auditoria-seguridad-drupal/): Revisión técnica de instalaciones Drupal: módulos contrib, configuración de roles y permisos, API, Drupalgeddon y actualizaciones de seguridad. Por qué Drupal requiere un enfoque especializado.
- [Hardening Drupal para organizaciones](https://www.quantumsec.es/recursos/hardening-drupal/): Configuración segura de Drupal en entornos institucionales, gubernamentales y universitarios: permisos de archivos, gestión de módulos, autenticación robusta y monitorización de integridad.
- [Auditoría de seguridad Joomla](https://www.quantumsec.es/recursos/auditoria-seguridad-joomla/): Metodología de auditoría para instalaciones Joomla: extensiones vulnerables, configuración del panel de administración, componentes desactualizados y análisis de la superficie de ataque.
- [Pentesting CMS para empresas](https://www.quantumsec.es/recursos/pentesting-cms-empresas/): Cómo contratar un pentesting de CMS en entorno corporativo: qué incluye, qué no incluye, diferencias entre WordPress, Drupal, Magento y PrestaShop, y cómo comparar propuestas de proveedores.
- [Seguridad CMS vs mantenimiento web: diferencias clave](https://www.quantumsec.es/recursos/seguridad-cms-vs-mantenimiento-web/): Por qué mantener actualizado un CMS no equivale a tener una auditoría de seguridad. Diferencias entre mantenimiento web, escaneo automático y pentesting profesional de CMS.
- [Vulnerabilidades comunes en CMS empresariales](https://www.quantumsec.es/recursos/vulnerabilidades-comunes-cms/): Catálogo de las vulnerabilidades más frecuentes en WordPress, Drupal, Joomla, Magento y PrestaShop: plugins, módulos, configuraciones por defecto, paneles expuestos y extensiones de terceros.
- [Seguridad del panel de administración CMS](https://www.quantumsec.es/recursos/seguridad-panel-administracion-cms/): Cómo proteger el panel de administración de WordPress, Drupal, Joomla, Magento y PrestaShop: restricción de acceso por IP, autenticación multifactor, URL personalizada y monitorización de accesos.
- [Malware en CMS: cómo evitar reinfecciones](https://www.quantumsec.es/recursos/malware-en-cms-como-evitar-reinfecciones/): Por qué los CMS se reinfectan después de limpiar malware, cómo identificar la vulnerabilidad de entrada y cómo establecer un proceso de remediación que elimine la causa raíz, no solo el síntoma.
- [Cómo elegir un proveedor de seguridad CMS](https://www.quantumsec.es/recursos/como-elegir-proveedor-seguridad-cms/): Criterios para evaluar empresas de ciberseguridad especializadas en CMS: diferencia entre agencias web que ofrecen mantenimiento, herramientas automáticas y empresas de pentesting profesional.
- [Seguridad CMS para agencias web](https://www.quantumsec.es/recursos/seguridad-cms-agencias-web/): Cómo las agencias web pueden ofrecer servicios de seguridad CMS a sus clientes sin asumir responsabilidad técnica directa: modelo de colaboración con empresa especializada en pentesting.

## Recursos sobre Bug Bounty, Triage y VDP

- [¿Qué es el triage de vulnerabilidades?](https://www.quantumsec.es/recursos/que-es-el-triage-de-vulnerabilidades/)
- [Cómo crear un Vulnerability Disclosure Program](https://www.quantumsec.es/recursos/como-crear-un-vulnerability-disclosure-program/)
- [CVSS vs EPSS: diferencias para priorizar vulnerabilidades](https://www.quantumsec.es/recursos/cvss-vs-epss/)
- [Falsos positivos en bug bounty: cómo detectarlos](https://www.quantumsec.es/recursos/falsos-positivos-en-bug-bounty/)
- [Bug Bounty vs VDP: cuál elegir](https://www.quantumsec.es/recursos/bug-bounty-vs-vdp/)
- [¿Qué es un Vulnerability Disclosure Program?](https://www.quantumsec.es/recursos/que-es-un-vulnerability-disclosure-program/)
- [¿Cuánto cuesta gestionar un programa de bug bounty?](https://www.quantumsec.es/recursos/cuanto-cuesta-gestionar-un-bug-bounty/)
- [Cómo priorizar vulnerabilidades en el backlog](https://www.quantumsec.es/recursos/como-priorizar-vulnerabilidades-backlog/)
- [HackerOne vs Bugcrowd vs Intigriti: comparativa](https://www.quantumsec.es/recursos/hackerone-bugcrowd-intigriti-comparativa/)
- [NIS2 y Vulnerability Disclosure: obligaciones y buenas prácticas](https://www.quantumsec.es/recursos/nis2-y-vulnerability-disclosure/)
- [Gestionar un bug bounty sin equipo interno](https://www.quantumsec.es/recursos/gestionar-bug-bounty-sin-equipo-interno/)
- [Coordinated Vulnerability Disclosure: guía práctica](https://www.quantumsec.es/recursos/coordinated-vulnerability-disclosure/)
- [Proceso de triage de vulnerabilidades paso a paso](https://www.quantumsec.es/recursos/proceso-triage-vulnerabilidades/)
- [Responsible Disclosure para empresas](https://www.quantumsec.es/recursos/responsible-disclosure-para-empresas/)
- [Impacto real de una vulnerabilidad: más allá del CVSS](https://www.quantumsec.es/recursos/impacto-real-de-una-vulnerabilidad/)
- [Duplicados en bug bounty: cómo gestionarlos](https://www.quantumsec.es/recursos/duplicados-en-bug-bounty/)
- [Cómo externalizar el triage de vulnerabilidades](https://www.quantumsec.es/recursos/como-externalizar-el-triage/)
- [Métricas de un programa de bug bounty](https://www.quantumsec.es/recursos/metricas-programa-bug-bounty/)
- [Cyber Resilience Act y Vulnerability Disclosure](https://www.quantumsec.es/recursos/cra-y-vulnerability-disclosure/)
- [Cómo responder a un investigador de seguridad](https://www.quantumsec.es/recursos/responder-investigador-seguridad/)
- [Bug Bounty vs Pentesting: diferencias clave](https://www.quantumsec.es/recursos/bug-bounty-vs-pentesting/)
- [¿Qué es EPSS y cómo usarlo para priorizar vulnerabilidades?](https://www.quantumsec.es/recursos/que-es-epss/)
- [Cómo lanzar un bug bounty privado](https://www.quantumsec.es/recursos/lanzar-bug-bounty-privado/)
- [Triage de vulnerabilidades para equipos AppSec](https://www.quantumsec.es/recursos/triage-vulnerabilidades-appsec/)
- [CVSS 4.0 y gestión de vulnerabilidades](https://www.quantumsec.es/recursos/cvss-4-gestion-vulnerabilidades/)

## Sobre QuantumSec

- Sede: Valencia, España (Comunitat Valenciana)
- Fundador y CEO: Kike Gandia — OSCP, Co-Founder & CEO
- Tipo de empresa: Empresa de seguridad informática y ciberseguridad ofensiva
- Certificaciones del equipo: OSCP (Offensive Security Certified Professional)
- Reconocimientos: Acelerada por INCIBE Ventures · Ponentes en RootedCON
- Metodologías: OWASP, OSSTMM, MITRE ATT&CK, PTES
- Marcos normativos: NIS2, DORA, ENS, ISO 27001, Cyber Resilience Act, UNE-EN 18031
- Cobertura geográfica: España y Europa
- Contacto: info@quantumsec.es · +34 960 800 800
- Reservar consulta gratuita: https://manage.quantumsec.es/appointment/1
- Sitio web: https://www.quantumsec.es/
- Preguntas frecuentes: https://www.quantumsec.es/preguntas-frecuentes/
- Quiénes somos: https://www.quantumsec.es/quienes-somos/