Saltar al contenido principal
Volver a Guías
analisis-riesgos intermedio

Alternativa a PILAR para el ENS: cuándo usar la herramienta del CCN y cuándo no la necesitas

Comparativa honesta entre PILAR (la herramienta oficial del CCN) y esquema.dev para el análisis de riesgos y la documentación ENS. Cuándo PILAR es la mejor opción y cuándo una alternativa guiada con IA te ahorra semanas.

13 min de lectura
11 de junio de 2026

Datos clave de este artículo: Las cifras de mercado proceden de nuestro análisis de los 2.215 certificados ENS del registro público del CCN-CERT. Puedes explorar todos los datos en el análisis interactivo.

Si trabajas en cumplimiento ENS, tarde o temprano te encuentras con PILAR, la herramienta de análisis y gestión de riesgos desarrollada para el CCN (Centro Criptológico Nacional). Es la herramienta de referencia en la Administración española, implementa MAGERIT en profundidad y lleva más de dos décadas en uso.

Y aun así, cada vez más consultores y empresas buscan “alternativa a PILAR”. No porque PILAR sea una mala herramienta (no lo es), sino porque el perfil del usuario ENS ha cambiado. Tras el RD 311/2022, el ENS dejó de ser cosa exclusiva de grandes administraciones: las certificaciones pasaron de 54 en 2023 a casi 1.000 al año en 2024 y 2025, y una parte enorme de ese crecimiento son pymes proveedoras del sector público y consultoras que certifican a varios clientes a la vez.

Esta guía compara honestamente ambas opciones. Spoiler: hay escenarios donde PILAR sigue siendo la mejor elección, y te diremos cuáles son.

Qué es PILAR y por qué es la referencia

PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos) es la herramienta de análisis y gestión de riesgos del entorno CCN. Implementa la metodología MAGERIT y está profundamente integrada con el ecosistema normativo español: ENS, guías CCN-STIC y perfiles de protección.

Sus puntos fuertes son reales y conviene reconocerlos:

  • Profundidad metodológica: soporta análisis cualitativo y cuantitativo, dependencias entre activos, acumulación de valor, múltiples dimensiones y fases de tratamiento. Para escenarios complejos (sistemas interconectados, categoría ALTA, infraestructuras críticas) esa profundidad importa.
  • Respaldo institucional: es la herramienta del CCN. En la Administración General del Estado y en muchas CCAA es el estándar de facto, y los auditores la conocen perfectamente.
  • Gratuita para las AAPP: las Administraciones Públicas españolas pueden obtener licencias sin coste a través del CCN.
  • Familia de productos: existen ediciones reducidas (PILAR Basic, µPILAR) para análisis más sencillos.

Si eres un organismo público con un equipo de seguridad dedicado y sistemas de categoría ALTA, probablemente no necesitas seguir leyendo: PILAR es tu herramienta y además te sale gratis.

Dónde aprieta PILAR (y a quién)

Los problemas aparecen cuando el usuario no es ese organismo público con equipo dedicado:

  1. Curva de aprendizaje considerable. PILAR es una herramienta experta. Dominar su modelo de activos, dependencias, perfiles de seguridad y fases lleva tiempo; el propio CCN ofrece cursos específicos para aprender a manejarla. Para alguien que hace un análisis de riesgos al año, ese conocimiento se oxida entre proyecto y proyecto.
  2. Coste de licencia para el sector privado. Las empresas privadas necesitan licencia comercial. Para una consultora pequeña o una pyme que se certifica por obligación contractual, es un coste más sobre el proyecto de certificación.
  3. No te ayuda a redactar. PILAR calcula riesgos, pero no escribe tu alcance, no propone tus activos a partir de la descripción de tu organización, ni genera la documentación narrativa que la certificadora espera (BIA, valoración CITA, plan de tratamiento redactado). Ese trabajo sigue siendo manual.
  4. Sobredimensionada para la mayoría de los casos reales. De los 2.215 sistemas certificados en España, el 64,6% son categoría MEDIA y solo el 33% son ALTA. La mediana de los alcances certificados es de 267 caracteres: hablamos mayoritariamente de sistemas acotados (un ERP, una plataforma SaaS, los servicios TI de un ayuntamiento pequeño), no de infraestructuras críticas con cientos de activos interdependientes.

Dicho de otra forma: PILAR está diseñada para el 10% de casos más complejos, pero la usa (o lo intenta) el 100% del mercado.

La alternativa: esquema.dev

esquema.dev es un consultor ENS digital: una herramienta SaaS que sigue la misma metodología oficial (MAGERIT 3.0 para riesgos, CCN-STIC 803 para el BIA y la categorización, CCN-STIC 806 para el plan de adecuación), pero con una experiencia guiada y con IA que redacta los borradores por ti.

Las diferencias de enfoque:

  • Asistentes paso a paso, no una herramienta experta. El BIA es un asistente de 6 pasos que completas en unos 20 minutos. El análisis de riesgos es un asistente de 8 pasos que importa tus activos del BIA, genera las amenazas del catálogo MAGERIT por grupo de activo y calcula automáticamente riesgo inicial, residual y final. No hay manual de 200 páginas que estudiar.
  • La IA propone, tú apruebas. A partir de la descripción de tu organización, la IA propone alcance, servicios y activos siguiendo las guías CCN-STIC. Para el análisis de riesgos, sugiere amenazas, valoraciones CIDAT y salvaguardas por activo. Tú revisas y ajustas; el criterio sigue siendo tuyo.
  • Pensada para consultores multi-cliente. Suscripción plana de 69 EUR/mes sin coste por cliente, por análisis ni por usuario final. Si llevas 8 clientes ENS, el coste por cliente queda por debajo de 9 EUR/mes. Consulta los detalles en la página de precios. Si prefieres un plan anual, contáctanos.
  • Documentación lista para la certificadora: exportación profesional del BIA, el análisis de riesgos y el plan de tratamiento (PTR), en el formato que las entidades de certificación esperan.

Lo que esquema.dev no pretende ser: una herramienta de análisis cuantitativo avanzado con dependencias entre activos y acumulación de valor. Si tu escenario exige eso, PILAR es mejor opción.

Comparativa honesta

CriterioPILAResquema.dev
MetodologíaMAGERIT (implementación completa, cualitativa y cuantitativa)MAGERIT 3.0 cualitativa + CCN-STIC 803/806
Curva de aprendizajeAlta; herramienta experta con formación específicaBaja; asistentes guiados de 6-8 pasos
Tiempo hasta el primer BIADías (instalación, modelado, formación)Unos 20 minutos con la herramienta gratuita
Ayuda en la redacciónNo; solo cálculoSí; la IA redacta borradores de alcance, activos, amenazas y valoraciones
Escenarios complejos (dependencias, cuantitativo, ALTA multi-sistema)ExcelenteLimitado; no es su caso de uso
Precio para AAPPGratuita (licencia CCN)69 EUR/mes
Precio para empresas y consultorasLicencia comercial de pago69 EUR/mes, clientes ilimitados
Modelo multi-cliente para consultoresLicencias y ficheros por proyectoUna suscripción, todas tus organizaciones
InstalaciónAplicación de escritorioSaaS, sin instalación
Reconocimiento por auditoresEstándar de facto, universalmente conocidaAceptada; lo que se audita es la metodología (MAGERIT), no la herramienta

Sobre la última fila conviene insistir: ninguna certificadora exige PILAR. El requisito del ENS (control op.pl.1) es un análisis de riesgos formal y metodológicamente sólido. Lo que el auditor revisa es que los activos estén identificados, las amenazas valoradas, los cálculos sean trazables y los riesgos por encima del umbral tengan tratamiento. Eso lo cumple cualquier herramienta seria que implemente MAGERIT.

Cuándo elegir cada una

Elige PILAR si:

  • Eres una Administración Pública con licencia gratuita y personal formado en la herramienta.
  • Tu sistema es de categoría ALTA con arquitecturas complejas, fuertes dependencias entre activos o necesidad de análisis cuantitativo.
  • Tu organización ya tiene años de análisis históricos en PILAR y la continuidad importa.

Elige esquema.dev si:

  • Eres una consultora que gestiona varios clientes ENS y necesitas un flujo repetible sin coste marginal por cliente.
  • Eres una pyme proveedora del sector público que se certifica por primera vez (normalmente categoría MEDIA o BÁSICA) y no quieres aprender una herramienta experta para usarla una vez al año.
  • Valoras que la herramienta redacte contigo: alcance, BIA, valoraciones y plan de tratamiento, no solo los números.
  • Quieres empezar hoy, sin instalación ni licencias que tramitar.

Y una tercera vía perfectamente legítima: usar ambas. Algunos consultores hacen el BIA, la categorización y la documentación narrativa en esquema.dev, y reservan PILAR para los clientes con escenarios de riesgo especialmente complejos.

”¿Y si mi certificadora espera ver PILAR?”

Es la objeción que más escuchamos, así que merece respuesta propia. Las entidades de certificación acreditadas por ENAC auditan contra el RD 311/2022 y las guías CCN-STIC, no contra una herramienta. En nuestro análisis de los 2.215 certificados ENS aparecen 22 certificadoras distintas (APPLUS, AENOR y OCA Global concentran el 57% del mercado), y ninguna publica como requisito el uso de PILAR.

Lo que sí revisará el auditor de tu análisis de riesgos, lo hagas con la herramienta que lo hagas:

  • Que el inventario de activos sea coherente con el alcance declarado y con el BIA.
  • Que las amenazas procedan de un catálogo reconocido (el de MAGERIT lo es) y estén asociadas a vulnerabilidades concretas.
  • Que las valoraciones de impacto y probabilidad tengan criterios documentados, no números puestos a ojo.
  • Que el cálculo del riesgo sea trazable y reproducible: de la valoración al riesgo inicial, de las salvaguardas al residual.
  • Que exista un umbral de riesgo aceptado formalmente y que todo riesgo por encima tenga su proyecto en el plan de tratamiento.

esquema.dev genera exactamente esa cadena de evidencias, con las fórmulas de MAGERIT explícitas en el informe. En la guía de análisis de riesgos ENS paso a paso puedes ver cada fórmula y umbral que aplica la herramienta.

Pruébalo con tu propio sistema, gratis

La mejor forma de comparar no es leer una tabla, es hacer un análisis real. Nuestra herramienta gratuita de BIA te permite completar el análisis de impacto y la categorización de tu sistema según la guía CCN-STIC 803 en unos 20 minutos, sin registro ni tarjeta. Es el mismo primer paso que darías en cualquier proyecto ENS.

Si después quieres el ciclo completo (análisis de riesgos MAGERIT con IA, salvaguardas del Anexo II, plan de tratamiento y exportación profesional), la suscripción Pro cuesta 69 EUR/mes con clientes ilimitados. Tienes todos los detalles en la página de precios.

Siguientes pasos

  1. Análisis de riesgos ENS paso a paso para ver exactamente qué fórmulas y umbrales aplica la herramienta
  2. Cómo realizar un análisis de riesgos según MAGERIT 3.0 si quieres la base metodológica completa
  3. Análisis de 2.215 certificaciones ENS para entender el mercado en el que te mueves

Preguntas frecuentes

¿Es obligatorio usar PILAR para certificarse en el ENS?

No. El ENS exige un análisis de riesgos formal (op.pl.1), pero no impone ninguna herramienta concreta. Las certificadoras aceptan cualquier análisis metodológicamente sólido, ya esté hecho con PILAR, con otra herramienta o incluso con hojas de cálculo, siempre que siga una metodología reconocida como MAGERIT.

¿PILAR es gratis?

PILAR es gratuita para las Administraciones Públicas españolas, que pueden solicitar su licencia a través del CCN. Las empresas privadas (incluidas las que se certifican en ENS por el RD 311/2022) necesitan adquirir una licencia comercial.

¿Qué metodología usa esquema.dev para el análisis de riesgos?

La misma que PILAR: MAGERIT 3.0, la metodología española de referencia recomendada por el CCN. La diferencia está en la experiencia de uso: un asistente guiado de 8 pasos con propuestas generadas por IA, en lugar de una herramienta experta de propósito general.

¿Puedo usar esquema.dev para varios clientes si soy consultor?

Sí. La suscripción Pro (69 EUR/mes) no tiene coste por cliente ni por análisis. Puedes gestionar tantas organizaciones, BIAs y análisis de riesgos como necesites con una sola suscripción.

¿Listo para categorizar tu sistema?

Usa nuestra herramienta gratuita para realizar el análisis de impacto

Usar Herramienta Gratis

Guías relacionadas

Cómo realizar un Análisis de Impacto en el Negocio (BIA) para el ENS

Guía paso a paso para completar el Análisis de Impacto en el Negocio según los requisitos del Esquema Nacional de Seguridad. Aprende a identificar servicios críticos, evaluar impactos y determinar el RTO.

Leer guía

Cómo realizar un Análisis de Riesgos según MAGERIT 3.0 para el ENS

Guía completa para ejecutar un análisis de riesgos conforme a la metodología MAGERIT 3.0 y el Esquema Nacional de Seguridad. Aprende a valorar activos, identificar amenazas y calcular riesgos.

Leer guía

2.215 Certificaciones ENS Analizadas: 6 Hallazgos que Todo Consultor Debe Conocer

Resumen ejecutivo del primer análisis estadístico completo de las certificaciones ENS en España. 6 hallazgos sorprendentes sobre categorías, certificadoras, geografía y predicción con IA.

Leer guía