El cuello de botella entre analistas y desarrolladores y un mercado a punto de estallar: las razones por las que IriusRisk es la startup de ciberseguridad a seguir, según sus fundadores

Equipo de IriusRisk.
Equipo de IriusRisk.
IriusRisk
  • IriusRisk fue elegida por varios fondos españoles consultados por Business Insider España como la startup de ciberseguridad nacional a seguir en este 2021.
  • Los cofundadores de la compañía, Stephen de Vries y Cristina Bentué, se muestran "orgullosos" y exponen las posibles razones que les han llevado hasta donde están.
  • El cuello de botella entre analistas de seguridad y desarrolladores, así como un mercado que está a punto de estallar, podrían ser dos de los motivos.
  • Descubre más historias en Business Insider España.

IriusRisk es una startup española de ciberseguridad que desde Huesca han comenzado su expansión internacional. Varios fondos entrevistados por Business Insider España consideran que es la compañía a seguir este 2021. Ahora, sus fundadores, Stephen de Vries y Cristina Bentué, comparten cuáles son las posibles razones de la expectación que levantan.

La firma se dedica a incentivar la seguridad en el diseño y durante el desarrollo de todo tipo de aplicaciones. Para ello su principal producto es una plataforma colaborativa en la que los desarrolladores pueden trabajar de forma conjunta, y la herramienta les irá dando indicaciones sobre posibles brechas de seguridad ocasionadas por un código mal planteado.

12 startups de ciberseguridad españolas que los fondos apuestan por seguir de cerca en 2021

El servicio también es capaz de hacer recomendaciones y de aprender de forma automática para mejorar la seguridad de los productos en los que trabajen los equipos de desarrollo.

Hasta 2020, IriusRisk era conocida como Continuum Security. De Vries y Bentué, matrimonio, consideran que el cambio de nombre fue acertado porque detectaban que mucha gente confundía su compañía con productos de multinacionales. Irius es el nombre en latín del iris, y la nueva marca trata de reflejar el espíritu de esta firma: quieren ser el ojo que detecta los riesgos durante un desarrollo.

En la lista de startups españolas de ciberseguridad a seguir durante 2021 confeccionada por Business Insider España y varios fondos, IriusRisk encabezó el podio por delante de otras empresas ya consolidadas como Buguroo, Devo o CounterCraft.

Para Stephen de Vries es "un orgullo" el figurar en el primer puesto de la lista. Pero no está seguro de si el cambio de nombre ha sido determinante. Cristina coincide. Tampoco están del todo convencidos si se les pregunta por la pandemia y la consecuente digitalización. "Hemos recibido mensajes mixtos en ese sentido", detalla Bentué. "Algunos clientes han reducido el presupuesto en ciberseguridad".

Se abre el mercado

¿Entonces? IriusRisk pone sobre la mesa otro motivo. "El mercado está a punto de estallar".

"Eso los fondos lo saben", confirma Cristina Bentué, responsable de Investigación y Desarrollo de la firma. "Los fondos suelen tener un porfolio muy diversificado y muchas compañías se han visto afectadas por la pandemia. Que la nuestra no la haya sufrido es importante, pero también ven que el mercado está a punto de estallar".

Se explica: "Nosotros ya hemos recibido muchos clientes que son marcas punteras en ciberseguridad". IriusRisk trabaja con un gran banco español y con grandes clientes en EEUU. "Son compañías que destacan por su inversión en ciberseguridad. Son los first testers", incide. "Ahora estamos esperando a los followers". "Ya no vendemos exclusivamente a la élite y a los early adopters, ahora también venderemos a todos esos seguidores que son un grupo mucho más grande".

El otro motivo que dibuja un escenario muy positivo para IriusRisk es cómo es el nicho que están atacando. Con su plataforma quieren ayudar a los desarrolladores a mejorar su trabajo y a evitar brechas de ciberseguridad. Security by design, insisten De Vries y Bentué. "Hay un cuello de botella", abunda el CEO. "Por cada analista de seguridad hay decenas de desarrolladores", concluye su socia.

"Es una regla básica de la industria del software. Las aplicaciones que se desarrollan se deben considerar como producto industrial, al igual que ocurre en la industria del motor. Los coches se desarrollan con un principio de seguridad". Por esto, Cristina Bentué insiste en la importancia de "la regulación", que cada vez está más enfocada a una seguridad "preventiva, proactiva, reactiva".

"Los inversores también ven que el mercado está impulsando estas regulaciones que, inevitablemente, llegarán", zanja.

Un cuello de botella entre analistas y desarrolladores

Hacker en Las Vegas.
REUTERS/Steve Marcus

"Nuestra filosofía es dar herramientas a los equipos de desarrollo", continúa De Vries. Él comenzó su carrera profesional en los primeros años de los 2000 como hacker ético, haciendo test de penetración —pentesting— a clientes. Vio en varias ocasiones la siguiente dinámica:

"Una aseguradora me llamó y me dijo que quería que hackease una plataforma que estaban desarrollando y que iba a ver la luz en 9 meses. Me pidieron que hablase con sus desarrolladores y le explicase qué iba a testear y qué iba a atacar", cuenta. "En las llamadas estábamos tres partes: los desarrolladores, el cliente y yo".

Los entresijos de la gran 'hacker night' española, en la que 70 ciberexpertos 'atacaron' a una gran empresa del Ibex por un botín de hasta 200.000 euros

"Una vez en una llamada pregunté a los desarrolladores que qué ocurriría con la plataforma cuando un usuario ingresaba una contraseña errónea hasta tres veces". "Nada", contestaron. El sistema permitiría al usuario seguir intentando iniciar sesión de forma indefinida, sin ningún tipo de bloqueo preventivo —que ayudaría a evitar ataques informáticos—.

"¿Y por qué no?". El cliente se echó las manos a la cabeza. "Tiene que haber un sistema de seguridad". La respuesta de los desarrolladores fue contundente: "Vale. Pero esto no estaba en los requisitos que nos pedisteis".

Cristina Bentué cree que en muchas ocasiones las marcas y los clientes "no saben lo que quieren". Con su plataforma, los desarrolladores pueden tener un autoservicio de tareas de seguridad. Cuando vieron la oportunidad, Stephen de Vries se dedicó a picar código y ella a crear la empresa. En 10 meses tenían un primer producto en el mercado. Y un gran banco español les contrató el servicio.

"Todo el mundo es cada vez más consciente de la necesidad de seguridad en el desarrollo. Es un problema de complejidad. Todo se ha complicado mucho", reflexiona De Vries. Cuando él empezó en los 2000 a crear plataformas y apps solo se usaban 3 ó 4 lenguajes de programación. "Ahora los equipos de desarrollo tienen mucha independencia y pueden elegir qué tecnología usar". Ahora se puede elegir en qué nube desplegar un servicio, con qué lenguaje montarlo todo y con qué servicio externo se puede contar.

"Analistas de seguridad hay muy pocos y desarrolladores cada vez hay más", incide Cristina Bentué. "Es un cuello de botella". IriusRisk lo que propone es automatizar ese proceso. Si para cada analista de seguridad hay 100 desarrolladores, es imposible que un solo analista revise todos los desarrollos de una empresa. Por eso se hacen esos análisis y peritajes de seguridad sobre aquellas plataformas cuyos ataques podrían ser más comprometedores por ser críticas o sensibles.

"Estos análisis deberían hacerse en todo. Si se automatiza, se puede escalar la seguridad".

Además, muchas veces estos ataques controlados de pentesting dejan a las marcas en situaciones muy comprometidas. "Cuando era hacker ético algunos clientes me pedían que revisara un producto que iba a desplegarse a producción en una semana. Cuando concluía mi análisis y encontraba errores graves el cliente tenía que decidir si desplegar igualmente para subsanar después los errores, o retrasar el despliegue", cuenta Stephen de Vries.

Expansión desde Huesca

Así nacía IriusRisk en 2015 y ahora, tras cambio de nombre y ronda de financiación de casi de 6 millones de euros —que se cerró a finales del año pasado, liderada por Paladin Capital y que lograron tras usar esta presentación— consolidan su expansión internacional.

En EEUU ya son 3 personas y en Reino Unido casi una docena. "Todo sin equipo de marketing", con el que ya cuentan. "Es la primera vez que salimos a vender en lugar de esperar a recibir a los clientes con los brazos abiertos", ríe Bentué.

Corellium, la firma que fue denunciada por Apple por ofrecer entornos virtuales de iOS a hackers éticos, vuelve a la carga: acaba de aliarse con una experta en chips ARM

Una expansión internacional que no les aleja de Huesca. "Yo soy de Barcelona", aclara Cristina Bentué, que conoció a Stephen —son matrimonio— tras trabajar en Londres. "Nos mudamos a Huesca cuando mis padres se retiraron, queríamos ir a cuidarles".

"Huesca es muy tranquilo y tiene un parque tecnológico, que es muy importante para las comunicaciones y para la imagen". No entiende por qué cuando nació la compañía hubo tanto recelo entre inversores. "Querían que nos mudásemos a Madrid o Barcelona, pero yo dije que, como Chanquete, de aquí no me moverán".

"Stephen y yo trabajamos en remoto desde 1998 y con IriusRisk habíamos conseguido un gran banco español como cliente sin tener que desplazarme a Madrid. Después conseguimos a una de las mayores multinacionales en desarrollo de dispositivos médicos. Hemos ido a Series B con una importante cartera de clientes, y todo teletrabajando", defiende. 

"¿Por qué iba a tener que renunciar a una calidad de vida como la que tengo en Huesca?".

Otros artículos interesantes:

El mercado español de la ciberseguridad crecerá más de un 8% en 2021 hasta los 1.324 millones de euros a causa de la pandemia, según IDC

"Esperemos que 'La jungla de cristal 4' no sea una película premonitoria": así ha transformado la pandemia la ciberseguridad en las empresas

Una startup alemana con sabor español que mira al mercado asiático: así es Build38, una firma de seguridad en móviles en la que ha entrado el brazo inversor de La Caixa