Has lanzado un calculador de valoración con v0, un bot de captación con Lovable o un portal de propietarios con Cursor. Auditamos antes de que un lead — o el censo de propietarios — acabe en manos de la competencia.
DNI / NIE para KYC, ingresos verificables para análisis de solvencia, copias de nómina, contratos de alquiler, datos del propietario y del inquilino, expedientes de comunidad. Las inmobiliarias y las gestoras de propiedades tocan PII de alto volumen y alto valor. Cuando una herramienta IA construida en seis semanas mezcla todo eso con un endpoint sin auth, lo que se filtra no es un bug — es un caso para la AEPD.
Auditamos los lead funnels, calculadoras y portales que tu equipo levantó con IA. La lente es específica del sector: protección de datos personales bajo RGPD/LOPD, contención de leads (que no se los lleve un scraper), y aislamiento entre cuentas en gestoras multi-cartera.
Ruta del documento desde la subida hasta el almacenamiento. Buscamos buckets públicos, URLs adivinables, falta de cifrado en reposo y nombres de archivo que filtran identidad.
Filtros de pertenencia en la base de datos de leads. Que un agente de Madrid no pueda listar leads de Valencia con un cambio de id en la URL.
Endpoints de listing, valoraciones y contactos protegidos con rate limit, autenticación y, donde aplique, contramedidas de scraping. La competencia no se lleva tu cartera vía API.
Quién accedió a qué dato personal, cuándo y desde dónde. Plazo de retención, política de borrado, derecho al olvido implementado en código — no solo en la página de privacidad.
El portal del propietario funcionaba: cada propietario veía sus inmuebles. El listado de inmuebles, sin embargo, se servía por una API pública que aceptaba cualquier id de propietario. Cualquiera con curl podía iterar y bajar la cartera entera con datos de contacto. El bot de captación guardaba copias de nómina en un bucket de Supabase con políticas USING (true).
17 hallazgos. 5 críticos: filtro de pertenencia añadido al listado, RLS aplicado a las tablas de captación, bucket de nóminas pasado a privado con URLs firmadas, claves rotadas, política de borrado implementada en código. La auditoría llegó al inversor como anexo del data-room.
CRM para empresas medianas con APIs amplias — ideal para agentes comerciales y enriquecimiento de contactos.
CRM con buena penetración en pyme española — automatizaciones y agentes con coste contenido.
Correo, calendario y SharePoint como canal y como contexto — triaje, redacción y búsqueda con RAG en tu correo y archivos.
Solo necesitamos acceso de lectura al repositorio. No copiamos datos reales: trabajamos sobre la estructura del código, las migraciones de la base de datos y, cuando hace falta, datos sintéticos. Tus PII no salen de tu infraestructura.
Miramos cómo el código maneja los datos: dónde se guardan, qué retención tienen, si el derecho al olvido está implementado, qué viaja a logs y a proveedores externos. No emitimos un certificado de cumplimiento — para eso necesitas un DPO o auditor jurídico — pero damos el material que necesitan.
Auditamos los endpoints y vemos si están abiertos al scraping (sin auth, sin rate limit, ids predecibles). No es monitorización en tiempo real — eso es otro servicio — pero te decimos qué cambiar para que el scraping deje de ser trivial.
Sí. Auditamos el conector que tu equipo construyó: qué permisos pidió, qué objetos puede leer y escribir, cómo maneja autenticación y errores. Si la integración usa tokens del proveedor, miramos dónde viven esos tokens.
Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
