← Volver a ercel.ai

Sobre Ercel Security

Por qué existe Ercel

Ercel Security nació de una necesidad real: mientras se desarrollaban sistemas de automatización con IA para clínicas de salud, se descubrieron fugas de datos y vulnerabilidades críticas en chatbots de IA — problemas que la mayoría de empresas ni saben que tienen.

El EU AI Act (Reg. 2024/1689) fue la pieza que faltaba: a partir de agosto de 2026, las empresas necesitan demostrar conformidad. Ercel automatiza esas evaluaciones con la misma metodología que usaría un red team manual, pero en minutos y por una fracción del coste.

Equipo

Emilio Molina Román

Emilio Molina Román — Fundador e ingeniero principal.

  • Ingeniero fullstack — plataformas SaaS y automatización con IA
  • Experiencia directa en seguridad de sistemas AI en producción (sector salud)
  • Stack: TypeScript, Node.js, React, PostgreSQL, Playwright, LLMs

LinkedIn · Contacto profesional: [email protected]

Metodología

Cada evaluación ejecuta 550+ vectores de ataque en 9 categorías, con 223 prompts custom y 26 secuencias multi-turn. El motor combina Promptfoo (open-source) con Claude AI para enriquecimiento regulatorio:

  • Extracción de system prompt (LLM07)
  • Filtración de datos personales — PII (LLM06)
  • Secuestro de propósito — jailbreak (LLM01)
  • Agencia excesiva (LLM08)
  • Generación de contenido dañino (LLM09)
  • Abuso de herramientas — tool abuse (LLM05)
  • Inyección indirecta — RAG poisoning (LLM02)
  • Exfiltración cross-tenant
  • 10 técnicas de evasión: Skeleton Key, ArtPrompt, Many-shot, Base64, leetspeak, reversed, idiomas minoritarios

Los resultados se mapean artículo por artículo al Reglamento (UE) 2024/1689, ISO 27001:2022 y SOC 2 Type II, con enriquecimiento mediante IA para generar contexto regulatorio, cuantificación de exposición financiera y plan de acción regulatorio priorizado. Cobertura OWASP LLM Top 10: 10/10.

Infraestructura

  • EU Data Residency: toda la infraestructura reside en la Unión Europea. Servidores: Hetzner (Alemania). Base de datos: Supabase (EU). CDN: Cloudflare (EU endpoints).
  • Cifrado: AES-256-GCM en reposo, TLS 1.3 en tránsito. Pagos procesados íntegramente por Stripe (PCI DSS Level 1).
  • Retención RGPD-compliant: los datos de evaluación se eliminan automáticamente en 90 días.
  • Evaluación externa (black-box): evaluamos tu sistema de IA desde fuera, como lo haría un atacante o un inspector. No accedemos a código, bases de datos ni infraestructura interna.
  • Estándares abiertos: la metodología se basa en OWASP LLM Top 10 (público, mantenido por la OWASP Foundation).

Contacto

Para consultas sobre evaluaciones de conformidad: [email protected]