¿Qué es un SLA y cómo verificar si el del proveedor es real?

SLA (Service Level Agreement) es el acuerdo de nivel de servicio: define tiempos de respuesta, horarios de cobertura y consecuencias del incumplimiento. Para verificar si es real: pide que definan exactamente qué es 'respuesta' (¿acuse de recibo o inicio de resolución?), pide las penalizaciones por incumplimiento (si no existen, el SLA es declarativo), pide métricas históricas de cumplimiento de SLA con clientes actuales, y verifica que el SLA distingue entre incidencias críticas y no críticas con tiempos diferentes.

Cómo elegir un proveedor IT externo sin morir en el intento

Q: ¿Qué debe incluir un contrato de mantenimiento informático para pymes?

Los elementos mínimos: definición exacta del alcance (qué sistemas cubre), SLA con tiempos de respuesta y resolución diferenciados por prioridad, horario de cobertura y procedimiento para incidencias críticas fuera de horario, métricas de servicio y reporting periódico, condiciones de salida del contrato con entrega de documentación y credenciales, y listado de exclusiones claras (qué no cubre el contrato). Sin estos elementos, el contrato es ambiguo y los conflictos son inevitables.

Q: ¿Cuánto cuesta el mantenimiento informático externo para una empresa de 15 empleados?

El rango habitual en España para una pyme de 10-20 empleados está entre 200 y 600 euros al mes, dependiendo del alcance del servicio. El nivel básico (soporte reactivo, actualizaciones, monitoring básico) está en 150-300 €/mes. Un servicio completo con monitoring proactivo 24/7, gestión de seguridad, backups verificados y SLA de respuesta garantizada está entre 350-600 €/mes. Los precios muy por debajo de ese rango suelen indicar cobertura reactiva pura sin proactividad.

Q: ¿Qué preguntas hay que hacer antes de contratar a un proveedor IT?

Las preguntas que mejor filtran: ¿Cuántos clientes similares a nosotros tenéis y podéis dar referencias? ¿Qué pasa con mi servicio si el técnico que me atiende se va de vacaciones o deja la empresa? ¿Quién tiene las contraseñas de mis sistemas, vosotros o nosotros? ¿Qué documentación me entregáis si decido cambiar de proveedor? ¿Cuánto tiempo teníais de media para resolver las últimas 10 incidencias de clientes similares? Las respuestas evasivas o vagas a alguna de estas preguntas son señal de alerta.

Q: ¿Es recomendable contratar a un proveedor IT local o puede ser remoto?

La mayoría de tareas de mantenimiento IT (monitoring, actualizaciones, soporte helpdesk, gestión de Microsoft 365) se hacen perfectamente en remoto. La presencia física se necesita para instalaciones de hardware, cableado de red, configuración de dispositivos físicos, o cuando un problema no puede resolverse remotamente. Un proveedor remoto con buena capacidad de diagnóstico y un acuerdo para desplazamientos puntuales (o un tercero local para el hardware) es perfectamente viable para pymes con infraestructura cloud.

Q: ¿Qué señales indican que hay que cambiar de proveedor IT?

Señales claras: incidencias repetidas del mismo tipo que no se resuelven definitivamente, no recibes informes de lo que se ha hecho cada mes, no sabes quién tiene las contraseñas de tus sistemas críticos, el tiempo de respuesta no se cumple sistemáticamente y no hay consecuencias, el proveedor no ha propuesto mejoras proactivas en los últimos 6 meses, o no puedes obtener un inventario actualizado de tu infraestructura. Si identificas tres o más de estos puntos, la relación ya no funciona.

Q: ¿Cómo hacer la transición entre proveedores IT sin interrupciones?

La transición limpia requiere: documento de inventario completo de sistemas del proveedor saliente, transferencia de todas las credenciales a un gestor de contraseñas bajo control de la empresa, periodo de solapamiento de 2-4 semanas donde ambos proveedores tienen acceso, verificación de que el nuevo proveedor puede acceder y gestionar todos los sistemas antes de dar de baja al anterior. El mayor riesgo de la transición es que el proveedor saliente retenga credenciales o documentación como elemento de presión.

Cambiar de proveedor IT externo cada año o dos años cuesta más que pagar bien al primero. La migración de datos, el tiempo que pierde el equipo en readaptarse, la pérdida de contexto histórico sobre la infraestructura, las semanas de incertidumbre durante la transición: todo eso tiene un coste que raramente se calcula cuando se toma la decisión de cambiar. El problema suele ser que la elección inicial se hizo por precio, sin las preguntas correctas.

Esta guía no evalúa si externalizar el IT es buena idea: para la mayoría de pymes sin capacidad para mantener un equipo IT propio, la externalización es la única opción económicamente sensata. Lo que sí analiza es cómo distinguir a un proveedor que añade valor real de uno que solo está facturando el tiempo mínimo necesario para que no le llames para protestar.

1. El SLA: lo que garantiza, no lo que dice que garantiza

Un SLA (Service Level Agreement) que promete respuesta en 1 hora pero no define qué es "respuesta" no te está garantizando nada útil. "Respuesta" puede significar que alguien lee el ticket y escribe "recibido, lo miramos": eso no es resolución. Las cuatro preguntas que hay que hacer sobre el SLA de cualquier proveedor:

Tiempo de respuesta vs tiempo de resolución: el SLA debe definir ambos por separado. Para una incidencia crítica (servidor caído), el tiempo de inicio de resolución importa más que el acuse de recibo.
Horario de cobertura: ¿es 8x5, 12x5, 24x7? ¿Qué ocurre con las incidencias críticas fuera de horario? ¿Hay un número de emergencia o eso se queda en el buzón hasta el día siguiente?
Penalizaciones por incumplimiento: si no cumplen el SLA, ¿qué consecuencias tiene? Si la respuesta es "nada", el SLA es marketing. Las penalizaciones pueden ser créditos de servicio, descuentos en factura, o simplemente que queda documentado el incumplimiento. Lo importante es que haya consecuencia.
Categorías de prioridad definidas: el SLA debe distinguir entre incidencia crítica (sistema de producción caído, brecha de seguridad), incidencia alta (funcionalidad crítica degradada), incidencia media (problema con impacto limitado), e incidencia baja (consultas, peticiones de cambio). Los tiempos de resolución deben ser diferentes para cada categoría.

Un proveedor que no puede o no quiere detallar estos cuatro puntos probablemente no ha pensado seriamente en su nivel de servicio. El SLA vago protege al proveedor, no al cliente. Para empresas con actividad crítica que no puede detenerse, el contrato de mantenimiento informático debe ser el primer documento a revisar antes de firmar cualquier cosa.

2. Transparencia: informes, métricas y comunicación proactiva

Un buen proveedor IT no solo resuelve problemas: te explica qué ha pasado y qué ha hecho para evitar que vuelva a ocurrir. Si cada vez que hay una incidencia recibes un "ya está arreglado" sin más explicación, no sabes si has mejorado o si el mismo problema va a reaparecer en tres semanas. La opacidad no es discreción profesional: es falta de documentación y de capacidad de análisis.

El informe mensual de actividad es el indicador más claro de si un proveedor trabaja de forma profesional. No tiene que ser un documento extenso: una página con las incidencias gestionadas ese mes (tipo, tiempo de respuesta, tiempo de resolución, estado), las tareas proactivas realizadas (actualizaciones, verificación de backups, revisiones de seguridad), y las recomendaciones para el mes siguiente. Los proveedores que no tienen este tipo de reporting o que no ven valor en darlo operan en modo reactivo puro: esperan que algo falle para actuar.

Las métricas mínimas que deberías poder consultar como cliente: disponibilidad real de tus sistemas en el último mes, tiempo medio de resolución de incidencias desglosado por prioridad, número de incidencias abiertas vs cerradas, y estado de los backups (último backup exitoso, último backup verificado mediante restauración de prueba). Si estas métricas no están disponibles en un portal o en un informe periódico, no puedes saber si estás recibiendo lo que estás pagando.

3. Comparativa de niveles de servicio IT externalizado

Nivel	Qué incluye	Coste típico (10-20 usuarios)	Para qué pyme
Soporte por horas	Solo cuando llamas. Sin monitoring ni proactividad	50-80 €/hora	Infraestructura mínima, pocas incidencias
Mantenimiento básico	Actualizaciones, backups, soporte helpdesk 8x5	150-300 €/mes	Pymes con infraestructura estándar, bajo riesgo
Mantenimiento gestionado	Monitoring proactivo, seguridad, SLA documentado, informes	300-500 €/mes	Pymes con dependencia alta de IT para operar
MSP completo	Todo lo anterior + seguridad avanzada, cumplimiento, 24x7	500-900 €/mes	Sectores regulados, datos sensibles, alta disponibilidad

4. Equipo asignado y continuidad del servicio

En empresas IT pequeñas y unipersonales, hay una persona que sabe todo de tu infraestructura. Cuando esa persona se va de vacaciones, enferma o deja la empresa, el servicio se degrada o desaparece. Este es el riesgo más subestimado al elegir proveedor IT: no el coste inicial, sino la dependencia de un técnico concreto.

Las preguntas concretas para evaluar este riesgo: ¿hay un mínimo de dos personas que conocen tu infraestructura? ¿Existe documentación técnica actualizada de tu entorno (inventario de sistemas, diagrama de red, credenciales en gestor compartido del equipo) que permite a alguien nuevo ponerse al día sin depender de la memoria del técnico habitual? ¿Cuál es el procedimiento cuando el técnico asignado no está disponible?

La documentación de tu infraestructura no debería vivir solo en la cabeza o en el portátil del técnico externo. Debería estar en un sistema de gestión del proveedor que sobrevive a la rotación de personal. Si el día que el técnico habitual deja la empresa tu proveedor IT tiene que "reaprender" tu infraestructura desde cero, ese proveedor no tiene procesos internos adecuados. Esto conecta directamente con el plan de continuidad: un buen plan de recuperación ante desastres requiere que la documentación de infraestructura esté actualizada y accesible, lo que también depende de que el proveedor IT la mantenga.

5. Plan de salida: la pregunta que nadie hace y la más importante

La pregunta que más filtra la calidad de un proveedor IT es la que menos hacen los clientes: ¿qué pasa si en dos años decido cambiar de proveedor? La respuesta a esa pregunta revela la filosofía de trabajo del proveedor mejor que cualquier presentación comercial.

Los elementos que debe garantizar el plan de salida: toda la documentación técnica de tu infraestructura en un formato portable (PDF, documentación en wiki transferible), todas las credenciales de sistemas críticos en un gestor de contraseñas al que tú tienes acceso permanente (no solo el proveedor), dominio y registros DNS bajo control de la empresa cliente (no del proveedor), y un periodo de transición asistida de 2-4 semanas si decides cambiar.

Si las contraseñas de tus sistemas críticos están solo en la cabeza del proveedor o en sus sistemas propios a los que tú no tienes acceso, estás en una posición de dependencia que limita tu capacidad real de cambiar. Esto no es una ventaja para el proveedor: es una señal de alerta de que trabajan de forma que genera dependencia, no valor. Un buen proveedor trabaja para que puedas irte fácilmente, porque saben que si el servicio es bueno no te irás. Para asegurarte de que el inventario de tus activos IT está documentado correctamente, el artículo sobre inventario de activos IT para pymes describe qué debe incluirse en ese registro.

6. Cobertura de seguridad: qué está incluido y qué no

La ambigüedad sobre qué cubre el proveedor en materia de seguridad es la fuente de los conflictos más costosos. "Mantenimiento informático" puede incluir o no incluir: gestión de actualizaciones de seguridad, monitoring de intentos de acceso no autorizado, gestión del antivirus/EDR, revisión de logs de seguridad, respuesta ante incidentes de seguridad, o asesoramiento sobre cumplimiento RGPD. Si no está explícito en el contrato, no está incluido.

Para empresas con datos de clientes, el mínimo es que el proveedor gestione las actualizaciones de seguridad del sistema operativo y del software crítico, verifique los backups mensualmente mediante restauración de prueba, y tenga un procedimiento documentado de respuesta ante incidentes que incluya notificación a la empresa cliente en un plazo máximo de 4 horas desde la detección. Sin ese protocolo de notificación, una brecha puede estar activa días antes de que te enteres.

La cobertura de seguridad básica incluye también asesoramiento sobre las medidas mínimas que la empresa debe implementar: autenticación de doble factor en los sistemas críticos, política de contraseñas, gestión de accesos de usuarios que entran y salen de la empresa. Un proveedor IT que nunca ha mencionado el MFA o la gestión de accesos al offboarding no está prestando atención a la seguridad de tu empresa. Los servicios de ciberseguridad para empresas incluyen esta capa de forma explícita y documentada.

7. Caso real: tres proveedores en cuatro años

Una inmobiliaria de Alicante con 11 empleados tuvo tres proveedores IT en cuatro años. El primero era un técnico autónomo que cobraba 45 euros la hora y no tenía contrato formal: cuando tuvo una crisis personal estuvo dos semanas sin responder. El segundo era una empresa más grande, con contrato, pero el SLA era tan vago que cuando el servidor del software de gestión estuvo caído 11 horas un jueves no había consecuencia contractual.

Al cambiar al tercer proveedor, el proceso de transición reveló los problemas acumulados: el proveedor anterior tenía las contraseñas del servidor en su propio gestor de contraseñas sin acceso de la empresa, el dominio corporativo estaba registrado a nombre del primer técnico autónomo y requirió un proceso de transferencia que tardó tres semanas, y no existía documentación de la infraestructura más allá de un correo antiguo.

El coste real de esos cuatro años de proveedores inadecuados, incluyendo las horas del propietario y del equipo en gestionar transiciones, las horas paradas por incidencias no resueltas rápidamente, y la transición técnica del tercer cambio, superó los 18.000 euros. Ese coste habría sido suficiente para cuatro años de un proveedor con SLA real, documentación de infraestructura y plan de salida limpio.

Por dónde empezar mañana

Verifica quién tiene las contraseñas de tus sistemas críticos: servidor, router, firewall, panel de dominio, Microsoft 365 administrador. Si alguna de esas credenciales está solo en poder del proveedor IT actual y tú no tienes acceso, pídelas esta semana. Si el proveedor se niega o pone obstáculos, eso es información muy relevante sobre la relación.
Pide el informe de actividad del último mes: qué incidencias se gestionaron, cuánto tardaron, qué proactivo se hizo. Si no existe ese informe o si el proveedor no puede generarlo, estás pagando un servicio que no puedes medir.
Lee el contrato y busca las definiciones: ¿cómo define el contrato "incidencia crítica"? ¿Qué horario de cobertura garantiza exactamente? ¿Qué ocurre si no cumplen el SLA? Si el contrato no tiene respuesta a estas preguntas, el SLA es decorativo.
Si estás evaluando un proveedor nuevo, pide contacto con dos clientes actuales de perfil similar al tuyo. Un proveedor con servicio real no tendrá problema en facilitarlos. Si los pone como obstáculo o los da de mala gana, es información relevante.

Preguntas frecuentes

¿Qué debe incluir un contrato de mantenimiento informático para pymes?

Alcance exacto de cobertura, SLA con tiempos diferenciados por prioridad, horario de cobertura y procedimiento para críticas fuera de horario, métricas y reporting periódico, condiciones de salida con entrega de documentación y credenciales, y exclusiones claras.

¿Cuánto cuesta el mantenimiento informático externo para una empresa de 15 empleados?

El rango habitual en España está entre 200 y 600 euros al mes. Soporte básico reactivo: 150-300 €/mes. Servicio completo con monitoring proactivo y SLA garantizado: 350-600 €/mes. Precios muy por debajo suelen indicar cobertura reactiva sin proactividad.

¿Qué preguntas hay que hacer antes de contratar a un proveedor IT?

Las que más filtran: ¿qué pasa con mi servicio si el técnico asignado se va de vacaciones? ¿Quién tiene las contraseñas de mis sistemas? ¿Qué documentación me entregáis si cambio de proveedor? ¿Podéis dar referencias de clientes similares?

¿Qué es un SLA y cómo verificar si es real?

SLA define tiempos de respuesta y consecuencias del incumplimiento. Para verificar si es real: pide la definición exacta de "respuesta", las penalizaciones por incumplimiento (sin penalizaciones, el SLA es declarativo), y métricas históricas de cumplimiento con clientes actuales.

¿Es recomendable contratar a un proveedor IT local o puede ser remoto?

La mayoría de tareas se hacen perfectamente en remoto. La presencia física se necesita para hardware, cableado o problemas que no pueden resolverse remotamente. Un proveedor remoto con un acuerdo para desplazamientos puntuales es viable para pymes con infraestructura principalmente cloud.

¿Qué señales indican que hay que cambiar de proveedor IT?

Incidencias repetidas del mismo tipo sin resolución definitiva, sin informes mensuales de actividad, credenciales de sistemas críticos solo en poder del proveedor, SLA incumplido sistemáticamente sin consecuencias, sin propuestas proactivas de mejora en los últimos 6 meses.

¿Cómo hacer la transición entre proveedores IT sin interrupciones?

Requiere: inventario completo de sistemas del proveedor saliente, transferencia de credenciales a gestor bajo control de la empresa, periodo de solapamiento de 2-4 semanas, y verificación de que el nuevo proveedor accede a todos los sistemas antes de dar de baja al anterior.