La ciberseguridad es la nueva norma. Toda aplicación conectada a internet debería estar protegida de ataques. Pero hay formas distintas de hacerlo. El enfoque de la startup vasca Hdiv Security es diferente. Su tecnología, bajo patente en EEUU (en Europa está proceso), es la única en el mundo capaz de proteger lo indetectable.

La élite de la banca mundial (entre ellos, el mayor comprador de tecnologías de ciberseguridad del mundo), empresas del Fortune 500 o tres organizaciones gubernamentales estadounidenses ya confían en sus soluciones.

La historia de esta empresa pionera arranca en el 2000, cuando sus fundadores comenzaron a trabajar en ciberseguridad. De ahí saltaron al desarrollo de software y así obtuvieron una visión trasversal del mercado. “Nos dimos cuenta de que en ciberseguridad no sabían de desarrollo de aplicaciones, y viceversa”, comenta el cofundador y CEO de HDIV, Roberto Velasco, a INNOVADORES. “No había nadie en medio”.

En 2007, decidieron crear una solución que aportase ciberseguridad de forma “transparente” a las aplicaciones web, las APIs y la parte servidora de los sistemas digitales. Para validar su idea, lanzaron una versión de código abierto, que resultó ser un éxito. “Comenzamos a tener descargas y detectamos que el 17% venía de empresas del Fortune 500”, afirma. “Vimos que podía haber un modelo de negocio”.

No fue hasta 2016 cuando nació Hdiv Security, con una oferta de productos de pago, que sus usuarios de open source aceptaron con los brazos abiertos. Una muestra del gap que había en el mercado es, precisamente, la buena acogida de su tecnología. “Nuestro primer cliente es un banco estadounidense, que es la empresa que más gasta en ciberseguridad en el mundo”, comenta el CEO.

En total, cuatro bancos del top 10 de EEUU y tres del top 10 europeo son clientes de la startup española. También una de las dos grandes compañías mundiales de tarjetas de crédito, tres de las 20 grandes empresas de retail norteamericanas o una de las cinco grandes logísticas del mercado.

Pero, ¿a qué se debe tanto interés? “Somos pioneros en la visión de DevSecOps, que introduce la seguridad entre el desarrollo y las operaciones”. Y esta estrategia se materializa a través de soluciones en las dos patas de la ciberseguridad: la detección y la protección.

Todo empieza por pillar la vulnerabilidad a tiempo. En este caso, Hdiv Security se ha posicionado en el enfoque más avanzado que existe, el del IAST (Interactive Application Security Testing). Gartner lo recomienda y el mercado se mueve hacía ahí; pero solo tres empresas en el mundo trabajan con él: dos grandes multinacionales y la firma vasca.

Las soluciones tradicionales extendidas en el mercado se basan en analizar el código fuente durante la programación (SAST) y en escanear las webs para detectar problemas (DAST). Con IAST, Hdiv consigue monitorizar la ejecución. “Ponemos un sensor en la aplicación y vemos cómo se mueven los datos dentro de ella”, explica Velasco.

Así resuelven las limitaciones del SAST, que da muchos falsos positivos, y del DAST, que solo “detecta el 18% de los problemas”. “Nosotros cubrimos el 100% de detección y no generamos falsos positivos”. Y, además, evitan a los clientes tener que comprar ambas soluciones porque su IAST detecta desde la programación de la aplicación hasta su ejecución. No lo dicen ellos. Así lo demuestra el OWASP Benchmark (el test que hace esta organización de código abierto). “No solo es algo mejor, sino que es diferente y eso consigue un efecto diferenciador mayor”, señala.

Su funcionamiento en muy sencillo. El cliente solo tiene que instalar el software en sus servidores y, automáticamente, este envía la información a la consola web de Hdiv donde se descubren los problemas. Velasco lo explica de forma muy gráfica: “Funciona como el corrector ortográfico del Word, pero con software. ¿Cómo vas a publicar un libro sin pasar el corrector? Pues muchas empresas grandes ni siquiera tienen el corrector más básico para su software”.

También en protección

La otra pata de Hdiv viene con la protección. Resulta que, según su CEO, el 50% de los problemas de ciberseguridad de hoy se puede abordar con la detección, aunque el otro 50% no. “Pero sí se puede proteger”.

Aquí es donde entra la startup vasca: “Somos los únicos capaces de proteger lo que no se puede detectar”. Su enfoque se basa en que cada usuario solo pueda ver lo que debe ver, no más. “Que cada usuario utilice la aplicación de la forma esperada, así evitamos que pueda hacer fechorías”, explica. De esta forma, “es muy complicado atacar una web porque atacar implica hacer cosas inesperadas”. 

Este enfoque, que recibe el nombre de positive validation o whitelisting, es muy sencillo para Hdiv. “Como estamos dentro de la aplicación, entendemos lo que han enviado a los clientes, y si intentan acceder a un dato para el que no tienen acceso, lo bloqueamos”. Así han logrado ser los “únicos” que protegen de “problemas no detectables”. Al evitar hacer este proceso de forma manual obtienen dos ventajas, por un lado, se eliminan los errores humanos y por otro se reduce el ‘tiempo al mercado’.