Confidencial — Serie C Readiness

Resumen Ejecutivo

Technical Due Diligence
Readiness Report

Evaluación integral del backend core de Sesame HR. Riesgos identificados, fortalezas documentadas y plan de acción concreto para afrontar la auditoría de Serie C con garantías.

Alcance Backend PHP / Symfony

Snapshot del código 9 Diciembre 2025 Última migración Doctrine: Version20251209115608

Fecha del informe 14 Febrero 2026 Cambios posteriores al snapshot no reflejados

Destinatarios CEO / Board / CTO

Veredicto B+ — Corregible en 4-6 semanas

La arquitectura del codebase sigue patrones que competidores con 4x más recursos también adoptaron. Los hallazgos encontrados son de limpieza operativa — resolubles en semanas, no meses — no problemas de diseño estructural.

— Conclusión del análisis sobre 36,965 archivos y 2M líneas de código

Contexto

Qué es una due diligence técnica

Cuando un inversor de Serie C evalúa una empresa SaaS, contrata a una firma especializada (AKF Partners, madewithlove, Blue Hat Associates) para auditar el código y la infraestructura. Esta auditoría determina si la tecnología puede soportar el crecimiento que justifica la valoración.

Lo que buscan

Arquitectura escalable, código mantenible, seguridad robusta, procesos de desarrollo maduros, equipo sin dependencias críticas [1][2]

Lo que mata deals

Vulnerabilidades sin remediar, deuda técnica ingobernable, dependencia de 1-2 ingenieros, sin tests ni CI/CD, licencias open-source conflictivas [3][1]

Impacto en valoración

Hallazgos técnicos no resueltos dan al inversor palanca para negociar a la baja, imponer hitos de remediación, o condicionar desembolsos [4][5]

Métricas clave

Cifras principales del análisis

Módulos de negocio independientes
(bounded contexts)

✓ Excelente — nivel enterprise

93.5%

De errores que ocurren
sin que nadie se entere

✗ Crítico — deal-breaker si no se corrige

4-6 sem

Para cerrar todos los
hallazgos críticos

✓ Remediación rápida y viable

Semáforo de riesgo

Estado por área

Cada área evaluada según los criterios que firmas de due diligence como AKF Partners y Blue Hat Associates aplican en auditorías reales [1].

Arquitectura

49 bounded contexts con responsabilidad aislada. Los equipos pueden trabajar en paralelo sin conflictos, lo que permite escalar la organización de ingeniería sin desacelerar el desarrollo.

AKF Partners define la capacidad de escalar equipos sin pérdida de velocidad como criterio clave de due diligence [1]. El patrón CQRS complementa esta separación.

Seguridad

4 vectores de SQL injection activos y contraseñas que aparecen en texto legible en registros del sistema. Un auditor clasificaría estos hallazgos como deal-critical.

Según Black Duck, el 99% de las auditorías M&A encuentran vulnerabilidades [3]. El criterio de evaluación no es la ausencia de vulnerabilidades, sino la existencia de un proceso de remediación documentado.

Visibilidad de errores

El 93.5% de las excepciones del sistema no generan registro, alerta ni diagnóstico. Sin visibilidad de errores, los SLAs enterprise no son demostrables.

Las métricas DORA miden el MTTR como indicador de madurez operativa. Sin logging, el MTTR es impredecible [6].

Capacidad de crecimiento

53 operaciones cargan datos sin límite (findAll sin LIMIT). Con el volumen actual funcionan; al duplicar la base de clientes, estas queries intentarían cargar millones de registros en memoria simultáneamente.

Tradeoff: La corrección es mecánica pero requiere verificar cada punto de llamada. Sin corregirlo, el primer pico de carga expondría el problema en producción.

Documentación técnica

No existe documentación preparada para un auditor externo. Las decisiones arquitecturales no están registradas en ADRs. Sin documentación, el tiempo y coste de auditoría se incrementan.

Según madewithlove, la documentación reduce el tiempo de auditoría significativamente. Una auditoría de 4 semanas en vez de 2 duplica el coste y añade fricción al proceso [7].

Testing y calidad

5,492 archivos de test, quality gates automatizados con SonarQube, y validación pre-commit. Existe cultura de calidad con procesos automatizados.

AKF Partners establece un umbral de >75% de cobertura automatizada como indicador de madurez [1]. La presencia de quality gates en CI/CD es un indicador positivo relevante.

Activos tecnológicos

Fortalezas identificadas

Decisiones de diseño que facilitan escalar el equipo y el producto sin reescritura. Relevantes en contexto de auditoría técnica.

49 módulos independientes

Equipos pueden trabajar en paralelo sin conflictos. Preparado para crecer de 50 a 200 ingenieros.

CQRS: lectura y escritura separadas

Permite escalar rendimiento selectivamente. Patrón adoptado por Deel y empresas enterprise-grade.

Domain-Driven Design

El software refleja la estructura del negocio. Reduce errores de traducción entre producto y desarrollo.

9,641 clases blindadas (final)

26% del código protegido contra modificaciones accidentales. Indicador de disciplina de diseño.

28,670 datos inmutables (readonly)

Datos que no cambian por error una vez creados. PHP 8.1+ con prácticas modernas.

5,492 tests + SonarQube gates

Verificación automática continua. CI/CD con calidad controlada.

Eventos de dominio

Comunicación desacoplada entre módulos. Base para event sourcing y escalado futuro.

Value Objects

Conceptos de negocio tipados (Email, Phone, CompanyId). Previenen errores de datos en origen.

Impacto en la ronda

Qué preguntará el auditor Serie C

Basado en los frameworks de evaluación publicados por AKF Partners (200+ auditorías), Black Duck (1,700+ auditorías M&A) y el Software Improvement Group [1][3][5].

Vulnerabilidades de seguridad

"¿Han tenido un incidente de seguridad? ¿Tienen registro de accesos? ¿Qué protocolo de remediación siguen? ¿Con qué cadencia hacen pentesting?"

Observabilidad y SLAs

"Si algo falla, ¿cómo se enteran? ¿Cuál es el uptime real verificable? ¿Pueden garantizar SLAs a clientes enterprise T1/T2?"

Escalabilidad

"¿Qué pasa al duplicar la base de clientes? ¿El sistema aguanta? ¿Dónde está el cuello de botella? ¿Hay capacity planning?"

Dependencia de personas

"Si se van 2 ingenieros senior, ¿cuánto tarda un nuevo en ser productivo? ¿Hay documentación? ¿Cuál es el bus factor?" [8]

Deuda técnica gestionada

"¿Qué % del tiempo de ingeniería se dedica a deuda técnica? ¿Hay un tech debt register? ¿Se está reduciendo o acumulando?" El estándar es 12-25% [1].

Licencias open-source

"¿Han hecho análisis SCA? ¿Hay componentes con licencia copyleft (GPL/AGPL) en código propietario?" El 86% de auditorías M&A encuentran conflictos [3].

Cada hallazgo no resuelto da al inversor capacidad para negociar la valoración a la baja, o imponer condiciones como hitos de deuda técnica vinculados al desembolso. La remediación previa se estima en 4-6 semanas con 1 senior dedicado.

— Basado en datos de CohnReznick: hallazgos técnicos pueden generar ajustes de 15-25% en valoración [4]

Fuentes citadas en este resumen

[1] AKF Partners — Technology Due Diligence Checklist. akfpartners.com
[2] Blue Hat Associates — Technology Due Diligence for SaaS Investments. thinkbluehat.com
[3] Black Duck (Synopsys) — OSSRA (Open Source Security and Risk Analysis). blackduck.com
[4] CohnReznick — Strategic Imperative of Software Due Diligence in Tech Investments. cohnreznick.com
[5] Software Improvement Group (SIG) — How Code Quality Impacts Software Valuation. softwareimprovementgroup.com
[6] DORA — Software Delivery Performance Metrics. dora.dev
[7] madewithlove — Technical Due Diligence for SaaS Startups and VCs. madewithlove.com
[8] AKF Partners — Technical Due Diligence: Did We Get It Right. akfpartners.com

Métricas del codebase

Radiografía

Métrica	Valor	Contexto
Archivos PHP	36,965	Monolito estructurado con DDD
Líneas de código	~2M	Sin blancos ni comentarios
Bounded contexts	49	Alta separación de dominios
Entidades Doctrine	943	XML mapping
declare(strict_types=1)	52.2%	Objetivo: 100%
Clases final	26.1%	9,641 clases
Archivos de test	5,492	14.9% del codebase
Handlers > 200 líneas	216 / 4,749	4.5% necesitan split
@deprecated sin migrar	659	Código muerto activo
API pública	v3 (OpenAPI 3.0)	Spec validada en tests E2E

Seguridad — 1 Crítico, 15 Altos Deal-critical

Passwords en texto plano en string concatenation

Crítico

Passwords decodificadas se concatenan directamente en strings JSON. Si hay excepción, la password queda en logs/stack traces.

src/MarketPlaceContext/Infrastructure/Domain/Client/AdvancedSignature/Sign3G/Sign3GClient.php : L249, L253 — password en concatenación JSON

Fix

Objetos de request con serialización controlada que redacte campos sensibles.

1 día

Requiere test de integración con el servicio Sign3G para verificar que la firma sigue funcionando tras el refactor.

SQL Injection en producción (4 vectores)

Alto

companyId interpolado en query() sin prepare(). Sanitización con str_replace es insuficiente y bypasseable.

src/ModularReportContext/Infrastructure/Domain/Model/ModularReport/MySQLEmployeeReportProjectionRepository.php : L153, L192, L235 — query() con $companyId interpolado src/ModularReportContext/Infrastructure/Domain/Model/ModularReport/MySQLDailyReportProjectionRepository.php : L263, L349 — query() con $companyId interpolado

Fix

Migrar a prepare() con parámetros vinculados. 4 queries, 2 archivos.

2-3 días

Las queries son de proyección (lectura). Verificar que los índices DB siguen siendo eficientes con prepared statements. Bajo riesgo de regresión.

Inyección de comandos vía shell

Alto

Variables interpoladas en comandos de sistema sin escapar. Además, rm con wildcard en /tmp/*.pdf afecta procesos concurrentes.

src/PDFContext/Infrastructure/Service/PDFService.php : L47-50, L70 — variables en comandos de sistema src/PDFContext/Application/Command/Checks/CreatePdfMonthlyCompanyChecksHandler.php : L61-62, L67 — rm con wildcard en /tmp/

Fix

Usar funciones de escape nativas del lenguaje + directorio temporal único por proceso (sys_get_temp_dir + uniqid).

1-2 días

Secrets expuestos en URLs, cache keys y propiedades

Alto

Problema	Archivo	Riesgo
Token en URL path	GoHireHttpClient.php	Visible en logs de proxy/CDN
Mapbox token en query string	CoordinatesExternalService.php	Visible en referrer headers
API tokens como Redis cache keys	RedisApiConsumerSessionCallRepository.php	Visible en MONITOR/KEYS
DB password en cache key	RawORMMysqlConnections.php	Leakable vía debug endpoints
Client secret inline	Swan.php (SalaryInAdvance)	Hardcoded, no rotable

src/ThirdPartyContext/Infrastructure/Domain/Client/GoHireHttpClient.php — token en URL path src/ScheduleContext/Domain/Service/CoordinatesExternalService.php — Mapbox token en query string src/CoreContext/Infrastructure/Domain/Model/ApiConsumerSessionCall/RedisApiConsumerSessionCallRepository.php — API tokens como cache keys src/ModularReportContext/Infrastructure/RawORM/RawORMMysqlConnections.php — DB password en cache key src/SalaryInAdvanceContext/Infrastructure/Domain/Service/Swan/Swan.php — client secret inline

Fix

SecretAccessor service + hashear cache keys con HMAC + sacar tokens de URLs a headers.

3-4 días

Debug output en producción (print_r / var_dump)

Alto — Quick win

5 archivos con output directo a stdout/stderr en lugar de logger inyectado.

src/SesameV1Context/Infrastructure/Domain/Model/PDORepository.php : L33 — debugDumpParams() en catch src/ApiContext/Infrastructure/Listener/Kernel/ConsoleErrorListener.php : L76-86 — 10x print_r en listener src/ddd/MemoryUsage.php : L17, L19 — print_r con HTML en output src/CoreContext/Application/Queue/EchoJobHandler.php : L12 — var_dump en handler src/ContractContext/Application/Command/PrePayroll/CreatePrePayrollsByEmployeeIdsHandler.php : L132 — print_r en handler

Fix

Eliminar todos, reemplazar por llamadas al logger inyectado.

2 horas

Escalabilidad — 53 queries sin límite, 414 N+1 Alto

53 findAll() / all() sin LIMIT

Alto

53 repositorios Doctrine sin setMaxResults() ni paginación. Incluye: DoctrineExpenseRepository (6 métodos), DoctrineFormAnswerRepository, DoctrinePoolCandidateRepository, y 40+ más.

Impacto concreto: 1,000 clientes × 100 empleados × 12 meses = millones de registros en memoria de golpe.

src/ExpenseManagementContext/Infrastructure/Domain/Model/Expense/DoctrineExpenseRepository.php : L35, L183 — byCompanyId(), byStatus() sin limit src/PollContext/Infrastructure/Domain/Model/Form/DoctrineFormAnswerRepository.php : L58-62 — all() sin filtros ni limit src/RecruitmentContext/Infrastructure/Domain/Model/PoolCandidate/DoctrinePoolCandidateRepository.php : L13-20 — findAllByPoolId() sin limit + 40 repositorios más con el mismo patrón

Fix

Añadir setMaxResults() a los 53 métodos. Verificar cada caller para asegurar que maneja la paginación.

5-7 días

Algunos callers pueden depender de recibir TODOS los resultados (exports, reports). Identificar y migrar a cursor-based pagination o streaming. Priorizar por tráfico de endpoint.

414 patrones N+1

Alto

242 en Handlers, 172 en Services. Ejemplos críticos en endpoints de alto tráfico:

src/ApiContext/Infrastructure/Application/Query/Company/EmployeesQueryHandler.php — roles por empleado en loop src/ApiContext/Infrastructure/Domain/Security/AuthSessionService.php : L453, L474, L541 — getSubscriptionByCompanyId() en cada request src/ApiContext/Infrastructure/Application/Query/Company/FindMeQueryHandler.php : L319, L477, L561 — company/subscription/user por ID en loop + 411 patrones más (242 Handlers, 172 Services)

Fix

Priorizar top 20 en endpoints de API con más tráfico. Usar JOIN FETCH o batch loading.

2-3 semanas (top 20)

No todos los 414 N+1 son críticos. Muchos están en comandos o procesos batch con bajo volumen. Priorizar por RPS (requests per second) del endpoint.

Observabilidad — 93.5% de errores invisibles Deal-critical

Bloques catch con logging 6.5%

6.5%

850

Total catch blocks

Catch vacíos {}

156

Catch silenciosos totales

Ejemplos críticos:

src/ApiContext/Infrastructure/Listener/Kernel/KernelRequestListener.php — punto de entrada de cada request, catch sin log src/CoreContext/Infrastructure/ORM/DoctrineLifecycleListener.php — persistencia, catch sin log src/ThirdPartyContext/Infrastructure/Domain/Client/MergeSDKClient.php — 9 catches vacíos src/CoreContext/Infrastructure/Controller/PrivateApi/v3/AuditPortal/AuditPortalController.php — ironía: el controller de auditoría no audita sus errores

Benchmark: AKF Partners recomienda que el 100% de excepciones queden registradas, con alertas sobre las críticas [1]. El estándar mínimo aceptable en una auditoría es >80%.

Deuda estructural — God classes y código deprecated No quick wins, pero debe documentarse

Estos hallazgos no son quick wins, pero son visibles en una auditoría. Documentarlos como deuda conocida con timeline de remediación cambia la percepción del auditor.

Problema	Impacto	Remediación	Esfuerzo
ImportDefaultCalendarHandler — 8,758 líneas	Handler más grande que muchos proyectos enteros. Imposible de testear unitariamente.	Extraer en sub-handlers por tipo de calendario	2-3 meses
DoctrineCompanyRepository — 3,336 líneas	God class con 100+ métodos. Cuello de botella en merge conflicts.	Split por bounded context que consume company data	1-2 meses
DoctrineEmployeeRepository — 2,812 líneas	God class. Mismos problemas que Company.	Split similar al anterior	1-2 meses
659 @deprecated sin migrar	Código muerto que sigue en uso. Confunde a nuevos devs.	Audit + migrar callers + eliminar	Gradual (4-6 sem)
48% sin strict_types	Fragilidad de tipos en runtime. Bugs silenciosos por coerción.	Añadir con PHPStan rule progresiva	3-6 meses

src/ScheduleContext/Application/Command/DayOff/ImportDefaultCalendarHandler.php — 8,758 líneas, handler monolítico src/CoreContext/Infrastructure/Domain/Model/Company/DoctrineCompanyRepository.php — 3,336 líneas, 100+ métodos src/CoreContext/Infrastructure/Domain/Model/Employee/DoctrineEmployeeRepository.php — 2,812 líneas, God class

Referencia: Según SIG Research, el 31% del código en adquisiciones consiste en deuda técnica [5]. La deuda identificada, cuantificada y con plan de remediación se percibe de forma diferente a la deuda no documentada.

Hoja de ruta

4 fases, 18 acciones, 4-6 semanas

Cada fase tiene resultado medible. Ordenadas por prioridad de impacto en due diligence. Recursos: 1 senior developer dedicado + code review de segundo senior.

Nota sobre tiempos: El equipo de Sesame ha adoptado Claude Code (AI coding assistant) en su workflow diario. Los tiempos estimados ya incorporan esta aceleración (~2-3x en tareas de refactoring y migración mecánica). Sin esta herramienta, los tiempos se multiplicarían proporcionalmente.

Semana 1-2 — Quick wins de seguridad

Seguridad: eliminar deal-breakers

1 senior7 acciones~8-10 días efectivos

01Eliminar print_r/var_dump (5 archivos)2h ★

02Migrar 4 SQL injections a prepare() (2 archivos)2-3d

03Escapar variables en comandos shell (2 archivos)1d

04Eliminar password concat en Sign3GClient1d

05Crear SecretAccessor service, centralizar env vars2d

06Hash cache keys que contienen secrets (HMAC)0.5d

07Mover tokens de URL paths a headers Authorization1d

Resultado: 0 hallazgos de seguridad críticos/altos. Los deal-breakers principales eliminados.

Tradeoff: Acción 02 (SQL injection) requiere tests de regresión en los reports afectados. Acción 04 necesita test de integración con Sign3G externo. Planificar ventana de testing.

Semana 2-3 — Observabilidad

Observabilidad: de 6.5% a >50% catch con logging

1 senior4 acciones~6-7 días efectivos

08Añadir logging a 92 catch vacíos3d

09Añadir logging a 64 catch silenciosos restantes2d

10Documentar catch intencionalmente silenciosos con @suppress1d

11PHPStan custom rule: prohibir catch sin log ni @suppress0.5d

Resultado: De 6.5% a >50% catch con logging. Governance automática para código nuevo. MTTR medible.

Tradeoff: Algunos catch vacíos pueden ser intencionales (retry logic, fallbacks). El paso 10 documenta estos casos para que el auditor no los marque como hallazgos.

Semana 3-4 — Escalabilidad

Escalabilidad: queries que escalan con el negocio

1 senior3 acciones~8-9 días efectivos

12setMaxResults() en 53 findAll/all sin límite5-7d

13Fix top 10 N+1 en endpoints API de mayor tráfico3d

14Directorio temporal único por proceso en PDF gen0.5d

Resultado: Queries paginadas que escalan con el negocio. Endpoints principales optimizados.

Tradeoff: Acción 12 es la más laboriosa. Cada findAll() necesita que su caller maneje paginación. Priorizar los 15 repositorios con más tráfico primero, resto en fase posterior.

Semana 4-5 — Documentación para auditor

Documentación: material preparado para la auditoría

1 tech lead4 documentos~5 días efectivos

15Architecture Decision Records (ADR): bounded contexts, CQRS, stack decisions

16Tech debt register: deuda conocida con timeline de remediación y owner

17Security practices doc: políticas, proceso de remediación, cadencia de pentesting

18Testing strategy doc: cobertura, quality gates, CI/CD pipeline description

Resultado: Auditor tiene material preparado antes de empezar. Transmite madurez organizacional. Reduce tiempo y coste de auditoría.

Tradeoff: La documentación debe ser honesta. Incluir la deuda conocida y el plan demuestra madurez. Ocultarla y que el auditor la encuentre demuestra lo contrario.

Posicionamiento

Comparativa competitiva estimada

Estimaciones basadas en estándares del sector para scaleups B2B SaaS en rango Serie B-C. Las notas de competidores son aproximaciones basadas en información pública de stacks y prácticas.

Stacks verificados vía job postings, StackShare y blogs de ingeniería. Notas de calidad son estimaciones basadas en prácticas públicas.

Aspecto	Sesame (actual)	Sesame (post-fix)	Factorial	Personio	HiBob	BambooHR	Deel
Stack	PHP/Symfony DDD	PHP/Symfony DDD	Ruby on Rails	Kotlin/Spring (ex-PHP)	Kotlin/Scala	PHP, Java	Node.js/TS
Arquitectura	A	A	B+	A	A-	B	A
Seguridad	C	A-	B+	A-	B+	B	A
Observabilidad	D	B+	B	B+	B+	B	A
Escalabilidad	C+	B+	B	A-	B+	C+	A
Documentación	D	B+	C+	B+	B	C+	B
Nota global	B-	B+/A-	B	B+	B+	B	A-
Financiación	Serie B+, camino a C		$300M · $1B val.	$772M · $8.5B val.	$574M · $2.7B val.	No pública	$982M · $17.3B val.
Empleados (est.)	~370		~1,400-2,200	~2,020	~1,000-2,000	~1,600	~5,000-8,700
Eng Blog	No		No	Sí (Medium)	Sí (Medium)	No	No

Nota: Personio migró de PHP a Kotlin/Spring Boot (microservicios). BambooHR usa PHP+Java. Factorial usa Ruby on Rails. Dato relevante: Sesame comparte stack con Personio (origen PHP con DDD) y BambooHR. Fuentes: Crunchbase, job postings, StackShare, blogs de ingeniería.

Inversión vs. Retorno

4-6

Semanas

Senior dedicado

B- → B+/A-

Salto de nota

La remediación previa protege la valoración objetivo. Sin ella, los hallazgos de seguridad dan al auditor palanca para renegociar condiciones.

Riesgo de inacción

Coste de no actuar

Negociación a la baja

Cada hallazgo crítico da palanca al inversor. Dextralabs/Flippa documentan ajustes de 15-25% en valoración por hallazgos de DD técnica [4].

Hitos condicionados

El inversor puede condicionar tramos de desembolso a remediación de hallazgos técnicos. Más lento, más caro, con presión.

Auditoría más larga

Sin documentación preparada, la auditoría tarda 4 semanas en vez de 2. Doble coste y más fricción en el proceso.

Percepción de inmadurez

Según AKF Partners, si el equipo no tiene documentada su deuda técnica, el auditor tiende a asumir que hay más debajo [8]. La deuda documentada invierte esa percepción.

La arquitectura está construida. Los fundamentos están en su sitio.

Los hallazgos pendientes son de limpieza operativa, observabilidad y documentación. Estimación: 4-6 semanas, 1 senior dedicado.

Fuentes y referencias

[1] AKF Partners — Technology Due Diligence Checklist (200+ auditorías realizadas). akfpartners.com
[2] Blue Hat Associates — Technology Due Diligence for SaaS Investments. thinkbluehat.com
[3] Black Duck (Synopsys) — Open Source Security and Risk Analysis. 1,700+ auditorías M&A. blackduck.com
[4] CohnReznick — Strategic Imperative of Software Due Diligence in Tech Investments. cohnreznick.com
[5] Software Improvement Group (SIG) — How Code Quality Impacts Software Valuation. softwareimprovementgroup.com
[6] DORA (Google) — Software Delivery Performance Metrics. dora.dev
[7] madewithlove — Technical Due Diligence for SaaS Startups and VCs. madewithlove.com
[8] AKF Partners — Technical Due Diligence: Did We Get It Right. akfpartners.com
[9] FE International — SaaS Due Diligence: How to Evaluate a SaaS Business. feinternational.com
[10] Beyond M&A — What Investors Miss in Tech Due Diligence. beyond-ma.com

Investor Relations

Resumen para el financiero e inversores

Esta vista sintetiza el impacto financiero de los hallazgos técnicos y posiciona a Sesame frente al mercado. Datos verificados con fuentes públicas.

Posicionamiento de mercado

Sesame vs. competidores: contexto financiero

Empresa	Financiación total	Valoración	Empleados	Stack	Nota técnica (est.)
Sesame HR	Serie B+ (camino a C)	—	~370	PHP/Symfony DDD, CQRS	B- → B+/A-
Factorial	$300M (7 rondas)	$1B (2022)	~1,400-2,200	Ruby on Rails + React	B
Personio	$772M (8 rondas)	$8.5B (2022)	~2,020	Kotlin/Spring Boot (ex-PHP)	B+
HiBob	$574M	$2.7B (2023)	~1,000-2,000	Kotlin, Scala, Java	B+
BambooHR	No pública	No pública	~1,600	PHP, Java + AngularJS	B
Deel	$982M	$17.3B (2025)	~5,000-8,700	Node.js + TypeScript	A-

Fuentes: Crunchbase, TechCrunch, PitchBook, job postings, StackShare. Notas técnicas estimadas basadas en stacks y prácticas publicadas.

Impacto financiero de los hallazgos

Lo que dice la industria sobre deuda técnica y valoración

15-25%

Ajuste típico en valoración
por hallazgos en DD técnica

Riesgo evitable

20-40%

Del valor de un tech estate
puede ser deuda técnica

PwC UK, 2024

75%

De inversores evalúan
madurez digital como top 3

Sesame bien posicionado

25%

Mayor rentabilidad con
operaciones digitales maduras

Objetivo alcanzable

Fuentes: Dextralabs/Flippa (15-25% ajuste), PwC UK (20-40% tech debt), Dextralabs (75% inversores evalúan madurez digital, 25% mayor rentabilidad).

Caso de inversión

Narrativa para el inversor

El codebase presenta una arquitectura DDD con 49 bounded contexts y CQRS — patrones que competidores con 4x más recursos también adoptaron. La remediación de hallazgos (4-6 semanas, 1 senior) proyecta la nota técnica de B- a B+/A-, comparable a Factorial/Personio.

— Con un equipo de ~370 vs los 1,400-8,700 de competidores, el resultado arquitectural se ha logrado con 4-10x menos recursos.

Argumentos a favor

Arquitectura enterprise-grade con una fracción del equipo de competidores. DDD + CQRS = preparado para scale.

Eficiencia de capital: resultados técnicos comparables con ~10x menos financiación que Personio y ~3x menos que Factorial.

Remediación rápida y cuantificada: plan de 18 acciones con tiempos verificables. El equipo usa Claude Code (AI) para acelerar ~2-3x.

Deuda conocida y gestionada: hallazgos identificados, cuantificados y con plan de remediación documentado.

Riesgos a mitigar antes de la ronda

Seguridad: 4 SQL injection + passwords en texto plano. Deal-breaker hasta que se remedie (estimado: 1-2 semanas).

Observabilidad: 93.5% errores sin logging. Imposible garantizar SLAs enterprise sin ello (estimado: 1 semana).

Documentación: inexistente para auditor externo. Ralentiza y encarece la DD (estimado: 1 semana).

God classes: 3 archivos de 3,000-8,700 líneas. No es quick win pero debe estar en el tech debt register.

Análisis coste-beneficio

Coste de actuar vs. no actuar

Escenario	Coste	Impacto en valoración	Riesgo
Remediar ANTES de la ronda	4-6 semanas · 1 senior	Protege la valoración objetivo. Auditor encuentra codebase limpio y documentado.	Bajo
Remediar DURANTE la ronda	Mismas semanas + presión de timeline	Auditor ya ha visto los hallazgos. Puede negociar hitos condicionados a remediación.	Medio
No remediar	$0 upfront	Ajuste de 15-25% en valoración. Posibles cláusulas de earn-out vinculadas a remediación técnica.	Alto

Referencia: Dextralabs y Flippa documentan ajustes de 15-25% en valoración por hallazgos de DD técnica. PwC UK identifica que la deuda técnica puede representar 20-40% del valor de un tech estate.

Dato clave

Eficiencia de capital: Sesame vs. mercado

~370

Empleados Sesame

~2,000

Media competidores
(Factorial, Personio, HiBob)

5.4x

Ratio eficiencia
(más resultado por empleado)

Eficiencia superior

Con ~5x menos empleados, el equipo ha construido una arquitectura (DDD, CQRS, 49 bounded contexts) técnicamente comparable a la de competidores que han levantado $300M-$772M. La ratio de resultado por recurso es un dato relevante para la evaluación de eficiencia de capital.

Precedente relevante

El caso Personio: de PHP a $8.5B

Personio comenzó con PHP (como Sesame) y migró a Kotlin/Spring Boot en microservicios. Su Serie E valorada en $8.5B indica que el stack de origen no fue determinante — la arquitectura y la capacidad de evolución pesaron más.

Personio hizo

Migrar de PHP monolito a Kotlin microservicios. Coste: años de ingeniería y 2,000+ empleados.

Sesame ya tiene

PHP moderno con DDD y 49 bounded contexts. La arquitectura ya está modularizada — una migración futura (si se necesita) sería context por context, no big-bang.

Fuentes financieras y de mercado

Factorial — $120M Serie C (Oct 2022, $1B valuation). TechCrunch. $120M debt financing (Mar 2025). Crunchbase.
Personio — $772M total, $8.5B valuation (Jun 2022). Personio press release. 115 layoffs (Jan 2025). Wikipedia.
HiBob — $574M total, $2.7B valuation (Sep 2023). Calcalist, Crunchbase.
BambooHR — $274M ARR (2024), 26,000 customers. Latka. StackShare para tech stack.
Deel — $982M total, $17.3B valuation (Oct 2025). BusinessWire, UNLEASH.
PwC UK — Demystifying Technical Debt for Deals (20-40% valor). pwc.co.uk
Dextralabs/Flippa — DD adjustments 15-25%. dextralabs.com

Más allá de B+ / A−

Roadmap hacia la excelencia técnica (A+)

El análisis de las secciones anteriores sitúa a Sesame en un rango B+ / A−: arquitectura DDD con 49 bounded contexts, CQRS implementado, tipado estricto, sin hallazgos bloqueantes. Esta sección detalla qué haría falta para alcanzar un A+ — el punto en que la organización de ingeniería deja de ser «sólida» y pasa a ser un moat estratégico en sí misma. Cada iniciativa incluye esfuerzo estimado y fuentes verificables.

La diferencia fundamental

B+/A− vs A+: qué buscan los auditores

B+/A− significa «sin red flags, arquitectura sólida, equipo competente». A+ significa que la organización de ingeniería es en sí misma un activo estratégico — los sistemas, la cultura y la gobernanza permiten escalar de forma predecible y medible.

AKF Partners: escala 0-4 Likert, donde 4 = capacidades óptimas de escalado • Madewithlove: 60+ items en 5 pilares (140+ auditorías)

Aspecto	B+/A− (actual)	A+ (objetivo)
Deuda técnica	Conocida y documentada	Cuantificada con burn-down rate, 15-20% de sprint asignado
Distribución de conocimiento	Documentación parcial, pairing puntual	Bus factor ≥3 en cada sistema crítico, runbooks por servicio
Decisiones de arquitectura	Tomadas y registradas informalmente	Repositorio de ADR, buscable, referenciado en PRs
Dependencias	Rastreadas manualmente	Pipeline automatizado de upgrades, SLA por dependencia, fallbacks documentados
DORA metrics	No instrumentadas	Elite: múltiples deploys/día, lead time <1h, MTTR <1h

Tier 1 — Primeros 6 meses

Iniciativas imprescindibles para A+

Alto impacto, esfuerzo contenido. Estas 6 iniciativas son lo primero que un auditor busca y lo que más rápido mueve la nota.

DORA Metrics + Dashboard

2-4 semanas

Instrumentar las 4 métricas DORA desde el CI/CD existente. Dashboard visible para toda la org. Los performers elite son 2x más propensos a exceder objetivos de rentabilidad (Google Cloud Research).

Fuente: dora.dev

Context Mapping (49 bounded contexts)

2-4 semanas

Mapa visual de los 49 bounded contexts, sus relaciones (upstream/downstream, conformist, anti-corruption layer, shared kernel) y patrones de integración. Quick win que demuestra intencionalidad arquitectónica.

SLI/SLO + Error Budgets

2-3 meses

Definir indicadores y objetivos de nivel de servicio para cada servicio orientado a cliente. Implementar política de error budgets: cuando se agota el presupuesto, feature work se detiene y se prioriza fiabilidad. Solo el 39% de las organizaciones usan SLOs para priorizar el trabajo de ingeniería.

Fuente: Grafana State of Observability 2025

SOC 2 Type II (iniciar)

9-12 meses total

Iniciar el proceso de certificación. Timeline: 9-12 meses (implementación + periodo de observación). Solo el 32% completa en menos de 9 meses. Coste estimado: 30K-75K€ (auditoría) + 50-75K€ (preparación). Prácticamente obligatorio para Serie C en B2B SaaS.

Fuente: Sprinto

ADR Repository + Tech Debt Quantification

2-3 meses

Repositorio de decisiones arquitectónicas buscable y versionado. Sistema de cuantificación de deuda técnica con burn-down rate y capacidad asignada. Fundamento para todo lo demás.

Fuente: Madewithlove — 12 Learnings (140+ audits)

Mutation Testing en CI

2-4 semanas

Integrar Infection PHP o Pest v3 en el pipeline. El Mutation Score Indicator (MSI) valida la calidad real de los tests, no solo cobertura. Target: >80% en dominios críticos. SymfonyOnline June 2025 dedicó sesión específica al tema.

Fuente: infection.github.io, pestphp.com

Tier 2 — Meses 3-9

Consolidación: de competente a excepcional

Platform Engineering + Golden Paths

4-6 meses

Equipo dedicado de plataforma. Self-service: make new-service → repo + CI/CD + monitoring + DB + staging en <10 min. Portal interno tipo Backstage. El modelo de madurez CNCF define 4 niveles; objetivo: Level 3 (Scalable).

Fuente: CNCF Platform Engineering Maturity Model

Contract Testing (Pact)

2-3 meses

Pact PHP v10 (FFI bindings, HTTP + async messaging). Los contract tests reemplazan tests E2E costosos para comunicación entre los 49 bounded contexts. Demuestra que la arquitectura escala.

Fuente: pact-foundation/pact-php

Distributed Tracing (OpenTelemetry)

3-4 meses

Cada request trazable a través de los 49 bounded contexts con correlation IDs. Modelo de madurez AWS Observability: Stage 3-4 = correlación de señales, anomaly detection, alertas pre-incidente.

Fuente: AWS Observability Maturity Model

Security Pipeline Completo

2-3 meses

SAST + DAST + SCA + SBOM generation, todo bloqueando pipeline en findings críticos. CISA actualizó requisitos mínimos de SBOM en 2025. Security champions program: 1 persona security-minded por squad.

Fuente: CISA SBOM 2025

Developer Satisfaction Program

2-4 semanas

Encuestas trimestrales ligeras (5-10 min, patrón GitHub DevSat). Medir cognitive load, tiempo en «toil» vs trabajo creativo, fricción del entorno. El framework DX Core 4 une DORA + SPACE + DevEx en 4 dimensiones medibles.

Fuente: getdx.com, GitHub DevSat

Tier 3 — Meses 6-18

Excelencia: moat técnico defendible

Event Sourcing en dominios críticos

6-12 meses

No los 49 bounded contexts, sino los de alto valor: billing, ciclo de vida de suscripción, dominios con requisito de auditoría. Event store con replay. Ecosistema PHP: prooph/event-store o Ecotone.

Chaos Engineering

2-3 meses

Empezar con game days manuales, progresar a chaos automatizado en staging. Documentar resultados. La existencia de experimentos de chaos documentados demuestra madurez operacional más allá de «tenemos monitoring».

Bug Bounty Program

6-8 sem setup

Plataforma (HackerOne/Bugcrowd): 15-50K€/año + payouts. Señal para inversores: «confiamos lo suficiente en nuestra seguridad para invitar testing adversarial». Requiere fundación de seguridad sólida (Tier 1-2 primero).

Data Mesh + ML-Ready Infra

9-15 meses

Equipos de dominio como dueños de sus data products (alineado con los 49 bounded contexts / DDD). Self-serve data infra, data contracts, data quality SLOs. Feature store para ML. Prerequisito: context mapping + event catalog.

Fuentes del roadmap A+

Referencias verificables

AKF Partners — Technical Due Diligence Checklists. akfpartners.com
Madewithlove — 12 Learnings from 140+ Audits. madewithlove.com
CNCF — Platform Engineering Maturity Model. cncf.io
AWS — Observability Maturity Model. aws-observability.github.io
DORA — Official Metrics Guide. dora.dev
DX — Developer Experience Guide. getdx.com
Infection PHP. infection.github.io
Pact PHP. pact-foundation/pact-php
CISA — SBOM Minimum Elements 2025. cisa.gov
Sprinto — SOC 2 for SaaS. sprinto.com
Grafana — State of Observability 2025. grafana.com

Sesame v3

La plataforma como activo estratégico

Sesame v3 expone toda la plataforma HR vía MCP. Los clientes pueden conectar cualquier agente IA (Claude, GPT, Gemini, custom) a sus datos HR y construir experiencias propias. A febrero de 2026, ninguna plataforma HR competidora ofrece esta capacidad.

Contexto de mercado

IA y valoración SaaS: los números

2-3x

Las empresas SaaS que integran IA se valoran 2-3 veces más que las que no lo hacen

25.8x

Múltiplo mediano de ingresos para empresas AI en rondas tardías (vs 6.1x en SaaS sin IA)

64%

De cada dólar invertido en venture capital en Q3 2025, 64 céntimos fueron a empresas de IA

+30%

Las rondas Serie C crecieron un 30% en tamaño respecto al año anterior

Dato	Valor	Fuente
AI-enabled SaaS vs tradicional	2-3x mayores múltiplos	Eqvista
Late-stage AI revenue multiples	~25.8x mediana (vs ~6.1x SaaS público)	Aventis Advisors
Share de VC en AI	64% (vs 56% en Q3 2024)	SaaStock Q3 2025
Serie C deal size	+30% YoY	Carta Q3 2025
Platform companies vs standalone	2-3x valoración	JetSoftPro
Retención con integraciones activas	+10pp anual	APIFuse

MCP — Adopción

El protocolo que está conectando enterprise SaaS con IA

Hito	Fecha	Detalle
Lanzamiento (Anthropic)	Nov 2024	Protocolo abierto para conectar agentes IA a datos y herramientas
OpenAI adopta MCP	Mar 2025	Agents SDK, Responses API, ChatGPT desktop
Google DeepMind	Abr 2025	Soporte MCP para Gemini
Microsoft/GitHub	May 2025	Steering committee en Build 2025
16,000+ servers	Nov 2025	Spec v2: async, statelessness, registry
Linux Foundation	Dic 2025	Anthropic dona MCP a la Agentic AI Foundation
Google managed servers	Dic 2025	Drive, Calendar, Cloud como MCP servers

Quién ya expone MCP en enterprise

Empresa	Implementación
HubSpot	Primer CRM con MCP server en producción; deep research connector para ChatGPT
Salesforce	MCP vía Agentforce; hosted servers para APIs específicas
Gong	MCP Gateway (inbound) + MCP Server (outbound) para revenue intelligence
Google	Managed MCP servers: Drive, Calendar, Cloud
HR SaaS	Ninguna plataforma HR ha anunciado soporte MCP (feb 2026)

Fuentes: Anthropic, Pento, HubSpot, Salesforce, Gong, TechCrunch

Landscape HR + AI

Posición de cada competidor en IA

Competidor	Estrategia IA (2025-26)	Madurez	MCP
Deel $17.3B val.	«AI Workforce»: 7 agentes especializados + custom agent builder + performance tracking	Muy alta	No
Personio ~$8.5B val.	AI Assistant (empleados + HR). People analytics en tiempo real. Performance summaries.	Alta	No
HiBob $2.7B val.	Payslip co-pilot. FP&A AI. Predictive analytics 150+ métricas. Integración OpenAI.	Alta	No
Factorial $1B val.	«Factorial One» agent. AI Meetings. Auto-scheduling. Payroll automation.	Media	No
BambooHR	«Ask BambooHR» NL queries. Theme detection. Onboarding auto.	Media	No
Sesame v3	Plataforma completa vía MCP. Los clientes construyen sobre datos HR con sus propios agentes. No features IA aisladas: la plataforma es la API.	Plataforma	Sí ✓

Fuentes: Deel, Personio, HiBob, Factorial

Deel es el más agresivo en features IA propietarias. Pero todos los competidores siguen el mismo patrón: construir features IA cerradas sobre sus datos. Sesame v3 se diferencia en la capa de infraestructura: no ofrece un chatbot; ofrece el backend completo para que cualquier agente IA opere sobre datos HR.

Posicionamiento diferencial

De herramienta HR a infraestructura de datos

Cuando los agentes IA de un cliente dependen de Sesame como capa de datos HR — consultas de nómina, workflows de vacaciones, analytics de equipo — el coste de cambio pasa de «migrar datos» a «reescribir integraciones de agentes». Es el mismo efecto que hace que Stripe o Twilio sean difíciles de reemplazar una vez integrados.

+10pp

Los clientes que usan integraciones activas renuevan 10 puntos porcentuales más que los que no (APIFuse)

80%

El 80% del software enterprise en 2025 se consume a través de ecosistemas y plataformas, no como producto aislado (Gartner)

106%

La mediana de NRR en SaaS es 106% — las mejores empresas superan el 120% (High Alpha)

Escenarios Serie C

Tres escenarios de posicionamiento ante inversores

Cada escenario acumula lo anterior. El escenario 1 refleja la posición actual; el 2 ejecuta el plan de remediación base (18 acciones, 4-6 semanas); el 3 completa el roadmap A+ incluyendo certificaciones y plataforma interna (+12 meses).

Escenario 1: Posición actual

HOY — Sesame v3 + MCP

Sesame ya tiene v3 con MCP. Ningún competidor HR lo ofrece. La arquitectura DDD con 49 bounded contexts soporta el modelo. Nota técnica actual: B− (pre-remediación).

Narrativa inversores

First-mover en HR + MCP. Plataforma abierta frente a competidores cerrados. Arquitectura DDD que permite escalar equipos. Data propietario multi-país para alimentar agentes. Posición junto a HubSpot, Salesforce, Gong en la liga de plataformas AI-accessible.

Riesgo: bajo. El activo ya existe.

Escenario 2: Remediación base ejecutada

+4-6 SEMANAS — Plan de Acción (18 acciones, 1 senior)

Todo lo anterior más las 18 acciones del plan de remediación: 4 SQL injection corregidos, passwords hasheados, catch con logging (>50%), queries paginadas, top 10 N+1 resueltos, ADRs documentados, tech debt register.

Narrativa inversores

Todo lo del Escenario 1, más: 0 hallazgos de seguridad críticos, observabilidad operativa, documentación preparada para auditor, deuda técnica conocida y cuantificada con plan de remediación. La DD pasa limpia: nota B+/A− sin hallazgos bloqueantes.

Esfuerzo: 4-6 semanas, 1 senior dedicado. Sin contrataciones extra.

Escenario 3: Excelencia técnica A+ + plataforma

+12 MESES MÍNIMO — Roadmap A+ completo (Tier 1 + 2 + 3)

Todo lo del Escenario 2, más el roadmap A+ completo: DORA metrics con dashboard, context mapping de los 49 bounded contexts, SLI/SLO + error budgets, mutation testing en CI, SOC 2 Type II obtenido (9-12 meses de proceso), platform engineering con self-service, contract testing, distributed tracing con OpenTelemetry, event sourcing en dominios críticos.

Narrativa inversores

Plataforma HR con MCP (única en el vertical) + organización de ingeniería A+ verificable: métricas DORA elite, SOC 2 certificado, gobernanza arquitectónica, developer experience medida. El moat es doble: los clientes dependen de la plataforma como infraestructura IA (coste de cambio = reescribir integraciones de agentes), y la calidad de ingeniería hace predecible la ejecución del roadmap. Posición para negociar múltiplos de plataforma AI, no de vertical HR.

Esfuerzo: +12 meses (certificaciones tipo SOC 2 requieren 9-12 meses). Resultado: A+ en DD + premium de plataforma AI-native.

Fuentes

Referencias verificables

Carta — SaaS Industry Spotlight Q3 2025. carta.com
Eqvista — AI vs SaaS Valuation Multiples. eqvista.com
Aventis Advisors — AI Valuation Multiples 2025. aventis-advisors.com
SaaStock — Q3 2025 Funding Recap. saastock.com
Anthropic — Introducing MCP. anthropic.com
Pento — A Year of MCP. pento.ai
HubSpot MCP Server. developers.hubspot.com
Salesforce MCP. developer.salesforce.com
Gong MCP. gong.io
TechCrunch — Google MCP Servers. techcrunch.com
Deel AI Workforce. deel.com
Personio HUG 2025. personio.com
HiBob + OpenAI. hibob.com
Factorial AI. factorialhr.com
High Alpha — NRR 2025. highalpha.com
APIFuse — Retention with Integrations. apifuse.io
JetSoftPro — Platform Thinking. jetsoftpro.com
RSM US — AI DD in PE. rsmus.com

Technical Due DiligenceReadiness Report

Qué es una due diligence técnica

Lo que buscan

Lo que mata deals

Impacto en valoración

Cifras principales del análisis

Estado por área

Arquitectura

Seguridad

Visibilidad de errores

Capacidad de crecimiento

Documentación técnica

Testing y calidad

Fortalezas identificadas

49 módulos independientes

CQRS: lectura y escritura separadas

Domain-Driven Design

9,641 clases blindadas (final)

28,670 datos inmutables (readonly)

5,492 tests + SonarQube gates

Eventos de dominio

Value Objects

Qué preguntará el auditor Serie C

Vulnerabilidades de seguridad

Observabilidad y SLAs

Escalabilidad

Dependencia de personas

Deuda técnica gestionada

Licencias open-source

Fuentes citadas en este resumen

Radiografía

4 fases, 18 acciones, 4-6 semanas

Comparativa competitiva estimada

Inversión vs. Retorno

Coste de no actuar

Negociación a la baja

Hitos condicionados

Auditoría más larga

Percepción de inmadurez

La arquitectura está construida. Los fundamentos están en su sitio.

Fuentes y referencias

Resumen para el financiero e inversores

Sesame vs. competidores: contexto financiero

Lo que dice la industria sobre deuda técnica y valoración

Narrativa para el inversor

Argumentos a favor

Riesgos a mitigar antes de la ronda

Coste de actuar vs. no actuar

Eficiencia de capital: Sesame vs. mercado

El caso Personio: de PHP a $8.5B

Personio hizo

Sesame ya tiene

Fuentes financieras y de mercado

Roadmap hacia la excelencia técnica (A+)

B+/A− vs A+: qué buscan los auditores

Iniciativas imprescindibles para A+

DORA Metrics + Dashboard

Context Mapping (49 bounded contexts)

SLI/SLO + Error Budgets

SOC 2 Type II (iniciar)

ADR Repository + Tech Debt Quantification

Mutation Testing en CI

Consolidación: de competente a excepcional

Platform Engineering + Golden Paths

Contract Testing (Pact)

Distributed Tracing (OpenTelemetry)

Security Pipeline Completo

Developer Satisfaction Program

Excelencia: moat técnico defendible

Event Sourcing en dominios críticos

Chaos Engineering

Bug Bounty Program

Data Mesh + ML-Ready Infra

Referencias verificables

La plataforma como activo estratégico

IA y valoración SaaS: los números

El protocolo que está conectando enterprise SaaS con IA

Quién ya expone MCP en enterprise

Posición de cada competidor en IA

De herramienta HR a infraestructura de datos

Technical Due Diligence
Readiness Report