Tu facturación es crítica. La tratamos como tal.
Cofactu trata la facturación electrónica como infraestructura, no como un panel más. 2FA nativo, audit log con cadena de hashes, certificados cifrados con clave separada y datos siempre en territorio europeo. Sin promesas vacías — abajo te enseñamos en qué nos diferenciamos competidor a competidor.
Cero facturas perdidas. Por escrito.
En el research que publicamos en /comparativas destapamos un patrón documentado en Trustpilot: facturas TicketBAI de Billin que se quedan en borrador, bugs de Anfix que invierten signos, errores VeriFactu de Sage que requieren escalado a soporte. La gente lo descubre meses después al cuadrar trimestres.
Nos comprometemos a lo contrario:
>24h
Te avisamos por email
Si una factura queda en estado pending/processing/submitted más de 24h sin transición, nuestro worker scheduled-tasks lo detecta y te manda email proactivo + alerta in-app.
>72h
Te llamamos
En planes Pyme y Gestoría, si la factura sigue zombi a las 72h escalamos a contacto humano. Algo está roto y no debería ser problema tuyo resolverlo solo.
0
Badge persistente
En tu dashboard verás siempre el contador de facturas zombi. Si es 0 (lo normal) lo verás en verde como recordatorio de que el sistema está vigilando por ti.
¿Y si una factura se nos cuela?
Si por un fallo nuestro una factura se queda zombi sin alerta y se traduce en sanción AEAT por incumplimiento del plazo VeriFactu, nos hacemos cargo del importe de la sanción. La condición es que esté demostrablemente causada por un fallo del sistema de alertas — no aplica a errores del usuario, datos incorrectos del cliente, o errores AEAT por contenido. Si quieres el detalle escrito antes de contratar, escríbenos a hola@cofactu.com y te enviamos el compromiso firmado.
Los datos contables son objetivo principal de los ataques. Nadie está hablando de esto.
En 2024-2026 ha habido al menos 3 incidentes serios en software de facturación y contabilidad usado en España. Aquí los listamos sin edulcorar — y al final, cómo Cofactu está diseñada para que esto no pase aquí.
Cegid — 74.000 IBANs y datos personales filtrados al dark web
Feb 2026Un actor publicó en un foro del dark web un dataset con IBANs, nombres y emails extraídos de Cegid (proveedor ERP/contabilidad con miles de despachos en España y Francia). El alcance del incidente sigue creciendo en mayo-2026. La gestoría que usa Cegid no tiene mecanismos propios para limitar la exposición.
Cómo lo evitamos en Cofactu: datos cifrados en reposo (Neon AES-256), certificados .p12 cifrados AES-256-GCM con password separada en R2, sin export masivo de IBANs ni a empleados internos — solo el dueño de la cuenta puede descargar sus propios datos.
Contasimple — cuentas hackeadas y pagos desviados
2024Trustpilot acumula reseñas reportando cuentas accedidas por terceros, pagos desviados a IBANs ajenos y respuesta lenta del soporte. Cita textual de un usuario: "cuentas hackeadas, pagos desviados, seguridad de 2005".
Cómo lo evitamos en Cofactu: 2FA TOTP + passkeys WebAuthn (biometría) + rate limit Better Auth + bloqueo automático tras 5 intentos fallidos. El owner SIEMPRE necesita 2FA o passkey para cambiar IBANs de pago.
Si quieres ver el detalle de qué protege cada cosa, baja a la tabla comparativa — verás fila por fila qué tiene Cofactu vs el resto del mercado.
Acceso directo al fundador, sin tier 1.
Sage tiene partners que cobran horas para resolver bugs. Quipu bloquea el teléfono tras paywall Premium 49€. Anfix degrada la atención post-comercial. Cofactu, mientras seamos pequeños, funciona en "Founder Mode": cuando escribes te respondo yo directamente. Compromiso público de respuesta <8h en horario laboral.
Cómo funciona el soporte →Cinco pilares, ninguno opcional
No vendemos seguridad como upsell. Lo que ves aquí está activo en todos los planes — desde el de 9€ hasta el de gestoría.
Identidad y acceso
Better Auth + 2FA- 2FA TOTP nativo (Google Authenticator, 1Password, Authy).
- Sesiones revocables por dispositivo con device parsing.
- Magic link y password con haveibeenpwned.com check de filtraciones.
- Rate limiting por IP con Cloudflare KV — bloqueo automático ante brute force.
- Audit log de cada login, logout, cambio de contraseña, fallo de 2FA.
Datos en reposo y en tránsito
AES-256-GCM · TLS 1.3- Certificados .p12 cifrados con AES-256-GCM antes de subirlos a R2.
- Password del .p12 cifrada con clave separada (envelope encryption).
- Postgres en Neon EU (Frankfurt) — datos no salen del territorio europeo.
- TLS 1.3 estricto en todos los endpoints, HSTS activo, sin downgrade.
- Secrets en Wrangler Workers Secrets — nunca en código ni env públicas.
Inalterabilidad y trazabilidad
Hash chain + audit log- Audit log inmutable con cadena de hashes SHA-256 — un cambio retroactivo se detecta.
- Cada factura VeriFactu lleva el hash de la anterior en su serie (encadenamiento RD 1007/2023).
- Toda acción crítica deja entrada con userId, IP, before/after.
- Audit log accesible al owner — exportable como CSV.
Cumplimiento normativo
GDPR · RD 1007/2023- GDPR completo: derecho al olvido (DELETE soft → hard 30 días), exportación ZIP.
- Cookie consent banner con granularidad (analytics on/off independiente).
- DPA disponible para gestorías (subencargo de tratamiento).
- Conservación VeriFactu 5 años — borrado automático tras vencimiento legal.
- Subprocessor pública: Cloudflare, Neon, Resend, Stripe, Anthropic.
Operación y monitorización
Sentry + alertas proactivas- Sentry con sourcemaps en API y workers — diagnosticamos bugs en minutos.
- Alertas T-90 / T-30 / T-7 en certificados y apoderamientos AEAT.
- Email transaccional cuando AEAT rechaza, con explicación accionable.
- Status page en /status con incidentes históricos públicos.
- Backups Neon point-in-time 7 días — restauración granular.
Cofactu vs. Holded · Contasimple · Quipu · Sage
Datos públicos extraídos de su documentación oficial, reseñas en Trustpilot/Capterra y reclamaciones públicas (mayo 2026). Si detectas un dato desactualizado, escríbenos y lo corregimos.
| Feature | Cofactu | Holded | Contasimple | Quipu | Sage |
|---|---|---|---|---|---|
| 2FA nativo (TOTP) Quipu Trustpilot: "en 2024 no hay excusa para tener un nivel de seguridad tan anticuado" | Sí, sin coste adicional | Sólo planes superiores | No — fuente de hackeo 2024 | No (reseñas piden 2FA) | Variable según producto |
| Audit log inmutable con hash chain | Sí, exportable CSV | Parcial | No documentado | Parcial | Sólo planes enterprise |
| Cifrado certificado .p12 (envelope) | AES-256-GCM, password separada | Sí | No verificable | Sí | Variable |
| Bloqueo automático brute force Contasimple Trustpilot: "cuentas hackeadas, pagos desviados, seguridad de 2005" | Cloudflare KV, sin config | Sí | No (incidente 2024 lo confirma) | Sí | Variable |
| Datos siempre en EU (Frankfurt) | Sí — Neon EU + Cloudflare EU | Sí | Sí | Sí | Sí (productos cloud) |
| Alertas T-90/T-30/T-7 certificado | Sí — único en el mercado | T-30 sólo | Manual | T-30 sólo | Manual |
| Alertas apoderamiento AEAT caducado | Sí — único en el mercado | No | No | No | No |
| Email proactivo si AEAT rechaza Holded Capterra: "€50 extra solo para hablar con un humano cuando AEAT rechaza" | Sí — código + cómo arreglarlo | Notif sin explicación | Notif in-app | Notif in-app | Variable |
| Export GDPR ZIP propio Billin Trustpilot: "imposibilidad de exportar contactos/facturas tras adquisición" | Sí, 1 click | Sí | Limitado | Limitado | Manual |
| DPA pública para gestorías | Sí, en /legal/privacidad | Bajo petición | Bajo petición | Bajo petición | Bajo petición |
No nos inventamos los gaps
Estos son los problemas reales que ha sufrido el sector estos últimos años, documentados en fuentes públicas. Cofactu se diseñó leyendo cada queja.
Cuentas comprometidas masivamente — pagos desviados a cuentas fraudulentas. Reseñas señalan ausencia de 2FA y bloqueo IP.
"graves fallos de seguridad donde cuentas fueron hackeadas y se desviaron pagos a cuentas fraudulentas"Ver fuente
Bug VeriFactu (error 4124) bloqueando facturación en producción. Soporte humano cobrado aparte.
"€35 mensuales por un servicio que no cumple con la normativa legal y €50 extra solo para hablar con un humano por teléfono"Ver fuente
Reclamación pública en OCU por degradación del servicio tras absorción.
"prestación del servicio lamentable… cada consulta tarda una eternidad"Ver fuente
Preguntas frecuentes
¿Almacenan datos fuera de la UE?
¿Tienen DPA pública para gestorías?
Si me voy de Cofactu, ¿puedo llevarme mis datos?
¿Tienen un programa de divulgación responsable de vulnerabilidades?
Cualquier duda concreta sobre cómo manejamos tus datos
Escribe a hola@cofactu.com y respondemos con la documentación técnica que necesites — sin formularios, sin departamentos comerciales por medio.