Caso: democratiza el phishing ético SaaS con eCirce

¡Hola líderes de proyectos!

Este caso práctico detalla la trayectoria de eCIRCE, una startup SaaS de ciberseguridad que democratiza el phishing ético para pequeñas y medianas empresas. Descubre cómo su fundador identificó la gran vulnerabilidad del factor humano y validó una plataforma automatizada y autogestionada, logrando preparar un modelo sólido sin necesidad de grandes rondas de inversión externa inicial. Una guía práctica e inspiradora que repasa métricas reales, retos superados y aprendizajes sobre el modelo SaaS, la captación B2B y la vital gestión emocional del emprendedor en solitario.

Resumen ejecutivo. One pager de la empresa

• Nombre empresa: eCIRCE.
• País (ISO‑2): ES.
• Año fundación: 2024.
• Empleo creado (destacado): 1 empleo directo (fundador), plan de crecimiento a 3–4 personas en 18 meses.
• Sector principal | secundarios: Ciberseguridad | SaaS, formación digital.
• Fases tratadas en el caso: Idea · Validación · Early‑Revenue.
• Redes sociales
  • LinkedIn.
• Resultados actuales (último cierre): Facturación: 0 € (fase pre-ventas) · EBITDA: N/A · Nº empleados: 1 · Nº usuarios/clientes: 0 (pilotos en preparación).
• Dato destacado de la aceleración: Producto SaaS funcional, validación técnica avanzada, modelo de negocio definido y estrategia de captación lista para ejecución.

Resumen:

eCIRCE nace para democratizar el acceso al phishing ético y la concienciación en ciberseguridad, permitiendo que cualquier pyme pueda medir y mejorar su resiliencia frente a ataques cibernéticos de ingeniería social. Tras años de experiencia en consultoría especializada, su fundador detectó que casi todas las empresas subestiman el enorme riesgo humano, dependiendo a menudo de servicios externos muy costosos y escasamente accesibles.

eCIRCE automatiza todo el proceso, desde la simulación de campañas de phishing hasta el análisis de resultados, eliminando la barrera de los conocimientos técnicos avanzados para el cliente final. El modelo, un SaaS por suscripción, brilla por su transparencia en precios, autogestión y gran facilidad de uso, encontrándose actualmente en la antesala comercial con sus pilotos listos para ejecutarse.

Origen de la oportunidad de negocio. Primeros pasos

Problema / “Aha moment”: necesidad detectada + cliente objetivo

El origen de este proyecto se cimienta en la frustración vivida en primera persona. Durante sus intensos años de trabajo en consultoría de ciberseguridad, Antonio Amado experimentó un verdadero «aha moment»: por muchos miles de euros que las corporaciones invirtieran en tecnología puntera y firewalls impenetrables, los hackers siempre encontraban una puerta trasera a través del eslabón más débil, el factor humano. La realidad demostraba que la inmensa mayoría de las organizaciones ignoraban por completo cómo reaccionarían sus empleados ante un correo malicioso convincente. Las soluciones que existían para simular esto eran costosas, sumamente complejas de implementar y, en casi todos los casos, obligaban a contratar a costosas consultoras externas.

Ante esta brecha, el cliente objetivo se definió con absoluta claridad: empresas medianas (de entre 20 y 100 empleados) de sectores sensibles que manejan diariamente información crítica por email, como la sanidad, el ámbito legal y el sector financiero. Estas pymes, desprovistas de equipos internos especializados en seguridad, necesitaban urgentemente herramientas accesibles, fáciles de manejar e impactantes para reducir su exposición al riesgo.

Validación inicial: cómo ajustaron solución‑problema; propuesta de valor

El fundador entendió que escribir líneas de código sin consultar al mercado era una receta para el fracaso, por lo que se lanzó a validar el dolor del cliente mediante entrevistas cualitativas con diversos directivos de las empresas objetivo. Estas conversaciones confirmaron una hipótesis fundamental: el phishing preocupaba, pero los directivos rara vez lo consideraban una prioridad operativa inmediata debido al temor a la fricción técnica y la pesada implementación de los sistemas disponibles. Con este oro informativo en sus manos, la propuesta de valor de eCIRCE pivotó hacia la eliminación drástica de barreras.

Se diseñó como una plataforma SaaS extremadamente ligera que promete a cualquier responsable de IT lanzar simulaciones completas de phishing ético en menos de cinco minutos. Gracias al uso de plantillas predefinidas y a la generación de informes automáticos, el usuario obtiene un diagnóstico profesional sin necesidad de poseer conocimientos técnicos previos. En definitiva, la simplicidad y la total autogestión apartan a los intermediarios del camino.

Primeros pasos: de la idea a la oportunidad (equipo, prototipo, primeras acciones)

Convertir esta visión en una plataforma funcional requirió un enorme esfuerzo en solitario. Combinando su pericia en hacking ético con sólidas habilidades de desarrollo de software, Antonio invirtió dos años en esculpir las entrañas de la herramienta. El hito legal y administrativo clave llegó en julio de 2024, cuando se constituyó formalmente la Sociedad Limitada y se blindó la propiedad intelectual registrando la marca a nivel europeo. Para garantizar que eCIRCE fuera impecable antes de su comercialización, las primeras acciones se enfocaron en blindar la arquitectura tecnológica y forjar un Producto Mínimo Viable (MVP) extremadamente seguro y escalable. Posteriormente, la herramienta superó exigentes validaciones técnicas en entornos controlados, lo que dio paso a la planificación estratégica de pilotos asistidos para las pymes objetivo. Así nació una estructura de negocio SaaS clara, dividida en tres planes de suscripción mensual y potenciada por una agresiva estrategia inicial de prospección en LinkedIn y redes de networking profesional.

Historia de la empresa

Cronograma de hitos:

Anécdotas interesantes

Un hecho que validó contundentemente el modelo fue cuando, en plenas pruebas, el fundador descubrió que plantillas enteras de empresas que se dedicaban profesionalmente a la protección de datos caían sistemáticamente en sus trampas de phishing simulado. Esto le confirmó irrefutablemente que el mayor agujero de seguridad de una compañía no es el software, sino la falta de concienciación y el deficiente entrenamiento de su personal.

Momentos difíciles: crisis/errores y cómo se superaron

El principal demonio a batir durante estos dos años fue la profunda soledad del fundador único, lo que le provocó severos episodios de estrés y agotamiento mental originados por la presión técnica y la natural incertidumbre comercial. Para sobreponerse a este bloqueo, Antonio tuvo que intervenir su propio estilo de vida instaurando estrictas rutinas de autocuidado, marcando límites horarios saludables y sumándose a redes de apoyo como el programa de aceleración de mentorDay. A nivel técnico, enfrentó una crisis con la reputación de sus servidores de correo; si los emails simulados acababan en spam, el servicio era inútil, por lo que invirtió en asesoría experta para perfeccionar su infraestructura.

Retos y estrategias aplicadas:

• Financieros: El desarrollo 100% autofinanciado ahogaba la capacidad de inversión en marketing. La estrategia fue operar con una eficiencia monacal y retrasar la búsqueda de inversión hasta confirmar la validación del mercado.
• Mercado: La barrera de entrada más dura fue que las pymes no ven la ciberseguridad como una prioridad. La solución fue brillante: ofrecer pilotos gratuitos que generaban un «shock de realidad» al mostrarle al jefe cuántos empleados habían abierto correos maliciosos simulados.
• Equipo: Al carecer de perfil comercial, el fundador técnico asumió el rol de ventas inicial a través de redes, planificando la inminente incorporación de un especialista en ventas B2B.

Lecciones aplicables para otros emprendedores:

• Antes de quemar tus ahorros en desarrollo avanzado, valida tu problema frente a clientes que estén dispuestos a pagar.
• El autocuidado y la gestión de la salud mental del fundador son tan cruciales como el plan de negocio.

Sprints realizados por la empresa

Sprint 1 – Modelo de negocio y ajuste al mercado

Canvas actual (Business Model Canvas):

• Segmentos de cliente: Pymes medianas (20–100 empleados), priorizando sectores regulados o sensibles como sanidad y finanzas, atacando directamente a los responsables de IT y directivos.
• Propuesta de valor: SaaS simple, automatizado y autogestionado para lanzar simulaciones de phishing y entrenar al talento sin intermediarios.
• Canales: Captación digital pura en LinkedIn, pilotos de prueba y divulgación de contenido educativo.
• Relación con clientes: Soporte técnico ágil, reuniones de seguimiento para planes premium e informes automatizados de impacto.
• Fuentes de ingresos: Modelo de suscripción recurrente mensual (tres niveles).
• Recursos clave: La propiedad del software cloud escalable, conocimiento técnico especializado y la marca registrada.
• Actividades clave: Mantener operativa la plataforma, idear campañas novedosas y liderar la captación en red.
• Socios clave: Agencias de marketing y consultoras tecnológicas que revenden el servicio como «marca blanca».
• Estructura de costes: Sueldo vital del fundador, mantenimiento en la nube (DigitalOcean), gestoría legal y licencias comerciales.

Evolución del modelo y pivotes

A lo largo de los meses, la compañía dio un giro estratégico fundamental: abandonó el formato consultivo clásico basado en la venta de intervenciones de seguridad esporádicas para transformarse en un SaaS de suscripción. Este pivote democratizó los costes y fomentó una cultura de vigilancia continua en la pyme.

Plan de validación y evidencias

El termómetro de validación es severo pero realista. El equipo fijó la meta de asegurar al menos 10 pilotos empresariales y conseguir que el 30% de ellos se transforme en clientes recurrentes. A pesar de encontrarse en etapa pre-comercial, las métricas tempranas extraídas de entrevistas con directores de IT demuestran una avidez genuina por este modelo.

Sprint 2 – Viabilidad

Viabilidad económica

Se ha estructurado un pricing altamente competitivo sin compromisos de permanencia. Los planes se escalan según el número de trabajadores en: 99 €, 399 € y 999 € mensuales. Operar en un entorno SaaS provee un apalancamiento operativo brutal: los costes fijos apenas rozan los 400 € al mes (más los 1.500 € del sueldo del emprendedor), lo que supone un coste variable irrisorio de aproximadamente 7 € por cliente. Esto arroja márgenes de contribución superlativos, superando el 95% de margen bruto. Para alcanzar la estabilidad (Break-Even), eCIRCE requiere captar tan solo 8 clientes en activo para generar 2.000 € de ingresos recurrentes, un hito que prevén cruzar en su noveno mes operativo.

Viabilidad legal

Constituidos en España como S.L. con el escudo de marca comunitaria, garantizan el cumplimiento absoluto del RGPD actuando de encargados del tratamiento y forzando la destrucción automática de la información sensible obtenida.

Tecnología y Roadmap

Lejos de complicarse con stacks de moda, utilizan una base robusta y rápida construida con Django, Vue y PostgreSQL bajo infraestructura alojada en DigitalOcean. El camino tecnológico traza un futuro cercano donde se integrará la Inteligencia Artificial de forma nativa para que la plataforma lance simulaciones de manera predictiva dependiendo de las amenazas estacionales.

Innovación

Aportan una innovación rotunda en el proceso: automatizar integralmente procesos tan oscuros para una pyme como la compra segura de dominios falsos y la estructuración de informes estadísticos, algo nunca visto en esta franja de precios.

Sprint 3 – Marketing & Ventas

Plan de ventas

El cliente principal es enteramente B2B (empresas medianas reguladas). El embudo comercial es agresivo pero metódico: prospección en LinkedIn -> Breve llamada introductoria -> Despliegue de un piloto de prueba -> Presentación del informe de vulnerabilidades («Shock de Realidad») -> Conversión a la suscripción. eCIRCE apalanca 3.000 € del programa Kit Digital para exprimir este funnel a través del email marketing y LinkedIn.

Plan de crecimiento de clientes

El ataque frontal a los primeros 100 usuarios consiste en contactar al menos 20 perfiles altamente filtrados semanalmente ofreciendo bonificaciones agresivas para «early adopters». Al ser un software que no exige casi personal humano para dar servicio, es inmensamente escalable.

Plan de internacionalización

La expansión mirará primero a sus vecinos inmediatos: el desembarco en Francia será el primer hito, seguido por Italia y Portugal. Estos mercados comparten una elevada digitalización y están sujetos al mismo ecosistema legal europeo.

Sprint 4 – Financiación

Necesidades y Autofinanciación

La plataforma despegó gracias al bootstrap absoluto; 30.000 € que salieron de los bolsillos del propio emprendedor. Ahora enfrentan el famoso «valle de la muerte», precisando unos 20.000 € para garantizar el oxígeno operativo de los próximos 9 meses.

Financiación pública e Inversores

El objetivo es validar la facturación mensual recurrente gracias a subvenciones como el Kit Digital (3.000 €) y solicitar ayudas directas de ENISA. Una vez afianzado el flujo de caja, eCIRCE abrirá sus puertas a un «Business Angel» especializado, dispuesto a aportar un ticket inteligente (de entre 15.000 y 30.000 €) que incluya aceleración y red de contactos. No se contempla emitir deuda bancaria.

Sprint 5 – Estrategia y desarrollo personal

Estrategia competitiva

Dentro de España operan cerca de 80.000 empresas que cuadran con su modelo (TAM). Estando en un nicho de baja rivalidad nacional para pymes, el verdadero foso defensivo o ventaja competitiva de eCIRCE reside en su simplicidad disruptiva frente a las farragosas interfaces de las soluciones norteamericanas y el prohibitivo precio de la consultoría artesanal local.

Equipo humano

Antonio Amado capitanea esta nave en solitario armado con un arsenal de certificaciones de altísimo nivel en hacking ético (OSCP, OSWE) y años de picar código empresarial. Su flaqueza autodiagnosticada reside en la trinchera de la pura venta B2B, habilidad que ha comenzado a moldear mediante estudio autodidacta a la espera de sumar a un socio especializado.

Sostenibilidad e Impacto

Al erradicar la complejidad técnica, este proyecto aporta un tremendo valor al ODS 9 (innovación tecnológica) y al ODS 8, cimentando una fuerza laboral más consciente del peligro en el ciberespacio, resguardando a las empresas contra ciberestafas potencialmente mortales para sus finanzas.

Consejos accionables para otros emprendedores

• Prueba antes de construir: No caigas en la trampa del perfeccionismo técnico; sal de inmediato a validar tu tesis de negocio utilizando pilotos gratuitos e indagando a fondo en los problemas de tu futuro cliente.
• La simplicidad vende: Si tu cliente objetivo es una pequeña empresa sin un departamento de IT gigantesco, prioriza un producto que pueda gestionarse con apenas tres clics y escasa intervención.
• Programa tus descansos: Tu empresa fracasará si tu salud mental colapsa. Aléjate de las pantallas obligatoriamente y encuentra grupos de mentores que hayan caminado ya por tus mismos senderos oscuros.

Aprendizajes del programa mentorDay

La participación en mentorDay trajo consigo claroscuros que transformaron diametralmente la estrategia. Antonio recalca el inmenso impacto que supuso trabajar dinámicas concretas para calcular rigurosamente los costes y trazar el proceso de ventas. El programa le inculcó la urgencia vital de validar a puerta fría en vez de seguir programando mejoras secundarias. Además, las mentorías sobre autocontrol y salud preventiva terminaron siendo su mejor salvavidas contra la ansiedad técnica y comercial.