Casa certificadora ISO 27001 en México: qué buscar y qué preguntar

PA
Espero que disfrutes este artículo. Si quieres que te ayudemos con tu certificación, haz clic aquí.
Por: Pilar Andrade Publicado: 3 marzo, 2026

Ya tienes varias cotizaciones sobre la mesa. Tal vez dos o tres casas certificadoras ISO 27001 en México te han enviado propuestas y los precios varían más de lo que esperabas. ¿Cómo saber cuál elegir? El certificado ISO 27001 es el mismo sin importar quién lo emita, pero la experiencia de certificarte y lo que obtienes en el proceso puede ser radicalmente diferente. En esta guía te damos los criterios concretos para evaluar a tu futura certificadora y las preguntas que deberías hacer antes de firmar.

Puntos clave

  • La acreditación es innegociable: sin ella, tu certificado no tiene reconocimiento internacional
  • Experiencia en tu sector es más valiosa que el nombre o tamaño de la certificadora
  • El modelo de trabajo importa: pregunta si además de auditar ofrecen servicios permitidos como diagnóstico y capacitación (la implementación siempre la haces tú o un consultor independiente)
  • Los tiempos varían mucho: de 4 meses a más de 12, según la certificadora y su modelo
  • Haz 10 preguntas clave antes de decidir (las listamos abajo)

¿Qué es una casa certificadora y qué hace exactamente?

Una casa certificadora (el término técnico es "organismo de certificación" u OC) es una entidad independiente que evalúa si tu Sistema de Gestión de Seguridad de la Información cumple con ISO 27001. Si pasas la auditoría, te emite un certificado con validez internacional.

Es importante distinguir entre tres actores que participan en el ecosistema de certificación:

Por imparcialidad (ISO/IEC 17021), el organismo de certificación no implementa tu sistema: la implementación la realiza tu equipo o un consultor independiente, y el organismo se encarga de auditar y certificar. Lo que sí puede ofrecerte un mismo organismo acreditado son servicios permitidos como diagnóstico (gap analysis) y capacitación, que acompañan tu proyecto sin sustituir la implementación.

Por qué la acreditación es el primer filtro

Antes de evaluar precios, tiempos o experiencia, verifica una sola cosa: ¿la certificadora está acreditada?

La acreditación es la garantía de que el organismo de certificación opera bajo estándares internacionales (ISO/IEC 17021-1 e ISO/IEC 27006 para ISO 27001). Sin acreditación, tu certificado es un papel sin valor real.

Cómo verificar la acreditación

  1. Pide el número de acreditación: Toda certificadora acreditada tiene un número asignado por su organismo de acreditación.
  2. Verifica en el sitio del organismo de acreditación: Consulta el directorio público de organismos acreditados en el sitio de tu organismo de acreditación nacional o en el directorio del IAF.
  3. Confirma el alcance: No basta con estar acreditado. La acreditación debe incluir específicamente ISO 27001 (ISO/IEC 27001:2022).
  4. Reconocimiento IAF: Asegúrate de que la acreditación tenga reconocimiento del International Accreditation Forum. Esto garantiza que tu certificado sea válido en cualquier país.
Característica Certificadora acreditada Certificadora no acreditada
Reconocimiento internacional Sí, a través de IAF MLA No
Supervisión externa Auditorías periódicas del organismo de acreditación Ninguna
Auditores calificados Requisitos de competencia verificados Sin verificación externa
Validez para clientes corporativos Aceptado universalmente Puede ser rechazado
Validez para licitaciones Cumple requisitos legales Puede no cumplir

7 criterios para evaluar una certificadora ISO 27001

Una vez que confirmas la acreditación, estos son los criterios que deberían guiar tu decisión:

1. Experiencia en tu sector

No es lo mismo auditar una empresa manufacturera que una empresa de tecnología. Los riesgos de seguridad de la información son completamente diferentes. Pregunta cuántas empresas de tu giro han certificado. Una certificadora con experiencia en SaaS, fintech o empresas de tecnología entenderá mejor tu contexto y hará la auditoría más eficiente.

2. Modelo de trabajo

Este es un diferenciador importante entre certificadoras. Todas auditan tu SGSI ya implementado (la implementación la haces tú o un consultor independiente, nunca el organismo que certifica). Pero algunas suman servicios permitidos como diagnóstico previo y capacitación, que preparan a tu equipo sin sustituir la implementación. El modelo que elijas impacta en costos, tiempos y probabilidad de éxito en la primera auditoría.

3. Perfil de los auditores

Los auditores son quienes realmente hacen la diferencia. Un auditor con experiencia en tecnología hará preguntas relevantes y entenderá tus controles técnicos. Un auditor generalista puede perderse en detalles irrelevantes y pasar por alto lo importante. Pregunta si puedes conocer el perfil del auditor asignado antes de la auditoría.

4. Tiempos de respuesta

¿Cuánto tardan en programar tu auditoría una vez que estás listo? Algunas certificadoras grandes tienen calendarios saturados y pueden hacerte esperar 2-3 meses. Eso retrasa todo tu proyecto. Pregunta cuál es su disponibilidad típica y si pueden ajustarse a tus fechas.

5. Transparencia en costos

La cotización debe incluir todo: días de auditoría, viáticos (si aplica), costos de emisión del certificado, auditorías de seguimiento y recertificación. Las sorpresas financieras a medio proceso son señal de una certificadora poco profesional. Revisa la comparativa de costos ISO 27001 para tener un marco de referencia.

6. Soporte post-certificación

La certificación no termina cuando recibes el certificado. Durante los siguientes 3 años tendrás auditorías de seguimiento, y tu equipo puede tener dudas sobre mantenimiento del SGSI. Una buena certificadora ofrece canales de comunicación claros y soporte continuo.

7. Reputación y referencias

Pide referencias de empresas similares a la tuya que hayan certificado con ellos. Habla directamente con los responsables del proyecto en esas empresas. Pregunta sobre la experiencia real: ¿fue fluido el proceso? ¿Los auditores fueron profesionales? ¿Hubo problemas inesperados?

Tipos de certificadoras en el mercado mexicano

En México operan diferentes tipos de organismos de certificación ISO 27001. Conocerlos te ayuda a entender qué esperar de cada uno:

Tipo Ventajas Desventajas Ideal para
Multinacionales grandes Marca reconocida, presencia global Procesos rígidos, tiempos largos, costos altos Corporativos que necesitan una marca global en el certificado
Certificadoras nacionales tradicionales Conocimiento del mercado mexicano, precios competitivos Solo auditan, sin diagnóstico ni capacitación previos Empresas que ya tienen su SGSI implementado
Certificadoras con diagnóstico y capacitación Diagnóstico y capacitación + certificación con un mismo organismo acreditado, tiempos cortos Menos opciones disponibles Empresas que quieren preparar a su equipo antes de auditar

10 preguntas que debes hacer antes de contratar

Lleva esta lista a tu próxima reunión con cualquier casa certificadora ISO 27001. Las respuestas te dirán mucho más que el precio:

  1. ¿Cuál es su número de acreditación y por quién están acreditados? Verifica que incluya ISO 27001.
  2. ¿Cuántas empresas de tecnología/mi sector han certificado en ISO 27001? La experiencia sectorial es clave.
  3. ¿Quién será mi auditor y cuál es su experiencia? Pide CV o perfil profesional.
  4. ¿Cuál es el tiempo estimado desde el inicio hasta la emisión del certificado? Compara con el benchmark de 4-6 meses (con diagnóstico y capacitación) vs. 8-12 meses (modelo tradicional con consultor por separado).
  5. ¿La cotización incluye todo o hay costos adicionales? Pregunta específicamente por viáticos, emisión del certificado y seguimientos.
  6. ¿Qué pasa si la auditoría detecta no conformidades mayores? Entiende el proceso de seguimiento y costos asociados.
  7. ¿Ofrecen diagnóstico y capacitación además de la auditoría? La implementación la haces tú o un consultor independiente, pero el diagnóstico y la capacitación previos pueden marcar la diferencia.
  8. ¿Cómo son las auditorías de seguimiento de los años 2 y 3? Entiende el compromiso a largo plazo.
  9. ¿Puedo ver ejemplos de informes de auditoría? La calidad del informe refleja la calidad de la auditoría.
  10. ¿Qué canal de comunicación tendré durante el proceso? Pregunta si hay un punto de contacto dedicado o si es un call center genérico.

El modelo ONCE: diagnóstico, capacitación y certificación con un mismo organismo acreditado

En ONCE México somos un organismo de certificación acreditado. Por imparcialidad (ISO/IEC 17021) no implementamos sistemas de gestión —eso lo hace tu equipo o un consultor independiente—, pero sí ofrecemos servicios permitidos que preparan el terreno: diagnósticos que identifican tus brechas y capacitación para tu equipo, además de la auditoría y certificación. Puedes ver el alcance y el proceso de nuestra certificación ISO 27001 con un organismo acreditado.

Nuestro equipo técnico te prepara con diagnósticos que identifican brechas y capacitación que da a tu equipo las herramientas para que implemente su propio sistema de gestión. Así llegas a la auditoría con criterios claros desde el inicio.

¿Por qué funciona mejor para empresas de tecnología?

Con más de 38 empresas certificadas, hemos trabajado con startups SaaS, fintechs, empresas de desarrollo de software y compañías de servicios de TI que necesitaban ISO 27001 para cerrar contratos con clientes corporativos o expandirse internacionalmente.

Errores comunes al elegir certificadora

Estos son los errores que vemos repetirse entre empresas que eligen su primera certificadora ISO 27001:

¿Ya tienes certificado y quieres cambiar de certificadora?

Si tu empresa ya está certificada en ISO 27001 pero no estás satisfecho con tu certificadora actual, puedes transferir la certificación. El proceso es más sencillo de lo que piensas:

  1. Contacta a la nueva certificadora: Explica que quieres transferir tu certificación existente.
  2. Comparte documentación: Proporciona tu certificado actual, el último informe de auditoría y evidencia de que tu SGSI está activo.
  3. Auditoría de transferencia: La nueva certificadora realiza una evaluación para validar que tu sistema cumple.
  4. Emisión del nuevo certificado: Si todo está en orden, recibes un nuevo certificado que mantiene la continuidad del ciclo.

La transferencia es particularmente útil cuando sientes que tu certificadora actual no aporta valor, los tiempos de respuesta son malos o los auditores no entienden tu negocio. No estás atado a un proveedor para siempre.

Preguntas frecuentes

¿Qué es una casa certificadora ISO 27001?

+

Es un organismo de certificación independiente y acreditado que evalúa si tu Sistema de Gestión de Seguridad de la Información cumple con los requisitos de ISO 27001. Tras aprobar la auditoría, emite un certificado con validez internacional reconocido por el IAF.

¿Cómo verifico que una certificadora está acreditada?

+

Solicita el número de acreditación y verifícalo directamente en el sitio del organismo de acreditación correspondiente o en el directorio del IAF. Confirma que el alcance de la acreditación incluye específicamente ISO/IEC 27001:2022.

¿Una certificadora puede ayudarme a implementar ISO 27001?

+

No. Por imparcialidad (ISO/IEC 17021), un organismo de certificación no puede implementar tu sistema y luego certificarlo: solo audita y certifica. La implementación la hace tu equipo o un consultor independiente. ONCE México sí ofrece servicios permitidos como diagnóstico previo y capacitación —que no son implementación— además de la certificación.

¿Todas las certificadoras ISO 27001 son iguales?

+

No. Aunque el certificado cumple con la misma norma, las certificadoras varían significativamente en experiencia sectorial, modelo de trabajo, tiempos de respuesta, calidad de auditores y costos. Evalúa estos factores más allá del precio.

¿Puedo cambiar de certificadora sin perder mi certificación?

+

Sí. Puedes transferir tu certificación a otro organismo acreditado. La nueva certificadora realizará una auditoría de transferencia para validar que tu SGSI cumple. No necesitas empezar de cero ni perder la continuidad del ciclo de certificación.

Compara precios de certificación ISO 27001

Obtén un estimado directo del organismo certificador con nuestra calculadora gratuita. Sin intermediarios ni comisiones ocultas.

Calcular mi precio Conocer a ONCE México