Trabajamos cada día con clientes regulados (banca, sanidad, AAPP, industria, energía, educación, retail y SaaS B2B) bajo nuestros propios marcos: ENS categoría ALTA, ISO 27001 y otras cuatro ISOs auditadas. Tenemos producto propio y un programa de I+D en IA defensiva con reconocimiento de Pyme Innovadora. Si buscas un equipo técnico exigente, sin venta de humo y con margen para crecer en profundidad, este es el sitio.
Predicamos con el ejemplo ENS categoría ALTA + 5 ISOs propias Operamos bajo los marcos que recomendamos Sede operativa
Parque Tecnológico de Leganés (Madrid)
Domicilio social
Las Rozas (Madrid)
Áreas habituales
SOC · DFIR · GRC · Pentest · I+D · Sistemas
Por qué Hard2bit es un buen sitio para crecer técnicamente
Hard2bit está certificada en ENS categoría ALTA (RD 311/2022) y en ISO/IEC 27001:2022, sumando cinco certificaciones ISO (27001, 22301, 20000-1, 9001, 14001) y el sello de Pyme Innovadora. Eso significa que el equipo trabaja dentro de un sistema de gestión auditado de verdad, con reglas claras, evidencias y mejora continua. Es exactamente lo que recomendamos a nuestros clientes.
Áreas en las que solemos contratar
Siempre estamos buscando personal con buena actitud, ganas de aprender y ganas de aportar. Más allá de los puestos abiertos en cada momento, si traes esos tres ingredientes y tu perfil encaja con alguna de las áreas siguientes, envía candidatura espontánea: la revisamos cuando hay un proceso abierto y te avisamos cuando cuadra.
Analistas de seguridad de niveles 1, 2 y 3, ingeniería de detección, threat hunting y especialistas en triaje. El SOC opera 24/7 sobre clientes regulados (financiero, sanidad, AAPP, industria) y trabaja con SLAs por criticidad.
Conocer el área en el sitio →Incident responders y peritos forenses para retainer 24/7, cadena de custodia y soporte en procedimientos disciplinarios, regulatorios o judiciales. Los incidentes en sectores críticos no esperan al horario de oficina.
Conocer el área en el sitio →Consultores y consultoras de cumplimiento para implantar y mantener ENS, ISO 27001, NIS2, DORA, RGPD y marcos sectoriales (ISO 27019, IEC 62443, PCI DSS). Trabajamos con auditores y supervisores reales, no sobre presentaciones.
Conocer el área en el sitio →Pentesters web, infraestructura, cloud e identidades. Operadores Red Team con criterio TIBER-EU para clientes financieros bajo DORA. Aceptamos perfiles con OSCP, OSWE, CRTO, BSCP o trayectoria equivalente acreditable.
Conocer el área en el sitio →Desarrolladores y desarrolladoras (Python, TypeScript, full-stack), ingeniería de ML aplicada a ciberseguridad y compliance, MLOps y prototipado medible. Trabajamos sobre producto propio: NormexAI (IA aplicada a compliance y gobernanza) y CortexShield. Pyme Innovadora reconocida.
Conocer el área en el sitio →Sysops, ingeniería de plataforma y administración de sistemas para los servicios gestionados que damos a clientes. Sin sysops sólido no hay SOC ni cumplimiento defendible.
Conocer el área en el sitio →Perfiles consultivos con conocimiento técnico real para acompañar a clientes regulados desde la fase de descubrimiento hasta la firma, incluyendo respuesta a pliegos del sector público y due diligence enterprise. No es venta transaccional.
Conocer el área en el sitio →Lo que ofrecemos
Hablamos sin inflar: no prometemos beneficios espectaculares ni lemas vacíos. Sí podemos garantizarte un entorno técnico exigente, marcos certificados de verdad y proyectos con clientes reales que llegan al sitio porque la operación les sostiene.
Compañeros y compañeras que saben de lo que hablan. Sin venta de humo, sin presentaciones que prometen lo que después la operación no sostiene. La discusión técnica es parte del día a día, no una excepción.
Hard2bit está certificada en ENS categoría ALTA (cert. ENS_2.026.061), ISO/IEC 27001:2022, ISO 22301, ISO 20000-1, ISO 9001 e ISO 14001. Operamos bajo los mismos marcos que recomendamos al cliente. No es teoría, es nuestro día a día.
Tenemos productos propios (NormexAI y CortexShield) y un programa interno de I+D en IA defensiva. Pyme Innovadora reconocida. Si te interesa el cruce entre investigación aplicada y producto, hay sitio para ese perfil.
Oficina operativa en el Parque Tecnológico de Leganés (Avenida Juan Caramuel, 1) y domicilio social en Las Rozas. Trabajamos en modalidad híbrida: combinamos presencia en oficina y trabajo remoto según el rol y el momento del proyecto.
Apoyamos la formación continua del equipo y las certificaciones técnicas y de gestión que sean relevantes para el rol. La ciberseguridad cambia rápido y formarse es parte del trabajo, no algo que se hace a costa del fin de semana.
Trabajamos con clientes en sectores regulados: banca y servicing financiero, aseguradoras, sanidad pública y privada, sector público español, industria y manufactura, energía y educación superior. Los proyectos exigen rigor y los entregables se miden.
Cultura del equipo
Cuatro principios que aplicamos de verdad, no una placa decorativa para el hall de la oficina.
Si una vulnerabilidad es crítica, la decimos crítica. Si un control no se sostiene en una auditoría, lo decimos. Si no sabemos algo, lo decimos. La credibilidad ante un cliente regulado se construye con verdad, no con folletos.
La mayor parte del trabajo es recurrente: SOC/MDR, gestión de vulnerabilidades, vCISO, retainers 24/7. Eso significa estabilidad, profundidad técnica con cada cliente y poco churn artificial entre proyectos cortos.
No somos una consultora masiva. Los equipos son pequeños, las decisiones técnicas se toman cerca del trabajo y la autoridad se gana demostrando criterio, no por antigüedad ni por jerarquía.
Los servicios se entregan con SLAs, KRIs y evidencias auditables. Lo que se compromete se mide y se reporta. Esto exige disciplina, pero también protege al equipo: las expectativas son claras desde el primer día.
Proceso de selección
Un proceso corto, transparente y diseñado para no hacer perder el tiempo a nadie. El detalle exacto de cada paso varía según el rol, pero la estructura general es esta.
Por correo a info@hard2bit.com con CV (y portfolio o GitHub si aplica al rol) y unas líneas explicando qué área te interesa y por qué Hard2bit. También puedes usar el formulario de contacto con el motivo "Empleo" seleccionado.
Una primera videollamada con la persona responsable del área a la que aplicas. Hablamos de tu trayectoria, lo que buscas, lo que ofrecemos y resolvemos las dudas evidentes antes de invertir tiempo de ambas partes.
Una prueba breve y centrada en lo que harías de verdad en el puesto. Para roles técnicos, casos prácticos cerrados con tiempo razonable. Para roles consultivos, escenarios de cliente. Sin trampas ni "prueba para ver si te rindes".
Conversación con dos o tres personas del equipo: revisamos la prueba, profundizamos en aspectos técnicos del rol y vemos cómo encajaría tu trabajo con la operación. Se va a doble vía: nosotros también respondemos a preguntas exigentes sobre cómo trabajamos.
Si encaja, propuesta concreta con condiciones, área, ubicación y plan de incorporación. Onboarding pensado para que el equipo nuevo entienda los marcos (ENS, ISOs), las herramientas y los procesos antes de tomar decisiones de operación.
Preguntas frecuentes
Las preguntas que más recibimos en los procesos de selección, respondidas con el mismo criterio con el que las contestamos en una conversación inicial.
El catálogo de vacantes vivas cambia con frecuencia y no siempre está publicado aquí. Si tu perfil encaja con alguna de las áreas listadas, envía candidatura espontánea: la guardamos y la revisamos cuando hay un proceso abierto. Si en ese momento ya hay un proceso adecuado, te avisamos en pocos días.
No. Operamos en modalidad híbrida desde Madrid. La presencialidad concreta depende del rol y del proyecto, pero la mayoría de los puestos combinan oficina (Leganés) con trabajo remoto. Para algunos roles muy específicos podemos valorar mayor flexibilidad geográfica, pero no por defecto.
Sí, especialmente en SOC, GRC y desarrollo. Damos peso a la actitud y al criterio técnico, no sólo a los años de experiencia. Para perfiles junior valoramos proyectos personales, retos CTF, contribuciones open source o, en GRC, formación específica.
Depende del área. En ofensiva, OSCP, OSWE, CRTO, BSCP o equivalentes. En defensa y SOC, GIAC, Microsoft SC, certificaciones de fabricantes EDR/SIEM. En GRC, certificaciones ISO 27001 LA/LI, ENS, lead implementer NIS2 y similares. En desarrollo e IA, no exigimos certificación concreta: pesa más el código.
En desarrollo, sí: Python y TypeScript son habituales, con stacks modernos según el producto. En operación de servicios gestionados convivimos con todo el espectro real del cliente español regulado: Microsoft 365 y Entra ID, infraestructura on-prem y cloud (Azure, AWS, GCP), entornos Linux y Windows, herramientas SIEM/EDR de varios fabricantes.
Tenemos un programa de I+D propio enfocado a aplicar inteligencia artificial donde aporta valor real (gobernanza, compliance, detección, automatización auditable) y a evaluar honestamente la IA del mercado. Lo materializamos en productos propios: NormexAI (compliance y gobernanza) y CortexShield. Postura interna clara: si no se puede auditar, no se debería automatizar.
La compensación se ajusta al rol, a la experiencia acreditada y a la criticidad del puesto, en línea con el mercado español de ciberseguridad de nivel medio y senior. La cifra concreta se aborda en la conversación inicial, antes de la prueba técnica, para no hacer perder el tiempo a nadie.
Los tratamos bajo la Política de Privacidad de Hard2bit y los conservamos sólo el tiempo necesario para evaluar la candidatura y, con tu consentimiento expreso, para procesos futuros. Puedes ejercer tus derechos en cualquier momento por correo a info@hard2bit.com.
Hablamos
Si tu perfil encaja con alguna de las áreas listadas, envía CV y unas líneas explicando qué buscas y por qué Hard2bit. Si en este momento hay un proceso abierto que cuadra, te avisamos en pocos días; si no, guardamos tu candidatura para procesos futuros con tu consentimiento expreso.
Página revisada: 2026-04-29. Hard2bit · Empresa de ciberseguridad en España desde 2013 · Sede operativa: Parque Tecnológico de Leganés (Madrid) · Domicilio social: Las Rozas (Madrid).
Antes de irte…
Te damos un diagnóstico rápido de 15 min y te decimos qué priorizar primero: M365, pentesting, vulnerabilidades, SOC y/o DORA, NIS2, ENS o ISO 27001.
Sin spam. Respuesta en 24h.
