TandemTrace nació en Madrid en 2024 con una idea muy clara: el modelo actual de defensa digital está desbordado y necesita un cambio de enfoque. Su fundador es Almog Ohayon, un viejo conocido del sector que ya demostró su éxito al crear Javelin Networks, empresa que acabó en manos de Symantec en 2018. La madurez del mercado español, especialmente en el ámbito de las operaciones de seguridad —con referentes como AlienVault, Onum o Devo—, fue uno de los factores que atrajo a este emprendedor a nuestro país.
“La gente no quiere una caja negra que diga que algo es malo sin explicar por qué”
La propuesta de la compañía se articula alrededor de la plataforma T2, concebida no como una herramienta única, sino como una suite de agentes de inteligencia artificial especializados, cada uno con un rol claro dentro del ciclo de detección, investigación y respuesta. Desde AI Hunter, centrado en offensive security, hasta AI Guardian, encargado de coordinar la mitigación cuando se confirma una amenaza, la lógica es repartir funciones como lo haría un equipo humano, pero con capacidad de operar de forma continua.
Un SOC Sobrepasado
Hablamos con Ignacio Sbampato, responsable de Strategic Business Development de la compañía, que pone el foco en un problema que se repite en muchas organizaciones: los centros de operaciones de seguridad siguen incorporando tecnología, pero no necesariamente ganan capacidad real de control. “Hoy el SOC está sobrepasado, no solo por la cantidad de alertas, sino porque no hay suficiente gente con la experiencia necesaria”, explica. Más herramientas, más fuentes de datos y más señales no están evitando que muchas amenazas permanezcan ocultas durante semanas o incluso meses. En algunos casos, reconoce, el propio volumen de información acaba actuando como un velo.
Durante años, el esfuerzo del SOC se ha centrado en recibir alertas, validarlas, priorizarlas y decidir si requieren respuesta. La automatización ha permitido aliviar parte de esa carga, pero no ha cambiado el fondo del problema. “Puedes automatizar lo que esperas que esté ahí, pero no puedes automatizar lo que no sabes que existe”, subraya Sbampato. Y es precisamente en ese terreno —el de lo desconocido— donde, según advierte, se producen muchas de las brechas más graves.
Ahí entra en juego el threat hunting. No como una mejora incremental, sino como un cambio de enfoque. Se trata de una disciplina orientada a descubrir ataques que no generan alertas claras porque se desarrollan de forma lenta, distribuida y con mucho contexto. “El threat hunting es lo que te permite ver lo que no sabes que está ahí”, apunta. El problema es que no todas las organizaciones pueden permitírselo: “Es un trabajo muy especializado y no hay gente suficiente para hacerlo”.
“El cerebro humano no puede procesar todo lo que ocurre en tiempo real”
Es precisamente en ese punto donde TandemTrace marca una diferencia clara frente a otras propuestas del mercado. La compañía no se limita a automatizar el triage o la investigación de alertas —algo cada vez más habitual—, sino que busca ir un paso más allá. “Muchas herramientas se quedan en investigar alertas; el problema es lo que no estás viendo”, afirma Sbampato. Su planteamiento es convertir el threat hunting en una función autónoma, continua y siempre activa, incluso en organizaciones que nunca han tenido esa capacidad.
La plataforma investiga automáticamente todas las alertas, cruza datos del SIEM y de múltiples fuentes de telemetría y entrega al analista una investigación detallada. Pero, además, genera hipótesis por sí misma, aplica metodologías avanzadas de threat hunting y valida si existen amenazas ocultas que no están recogidas en reglas ni en detecciones conocidas. Todo ello de forma permanente, “24x7x365”, como lo haría un threat hunter avanzado. “En muchos casos de brechas de seguridad no se encontró algo que estaba oculto en el sistema”, añade.
Este enfoque sitúa el threat hunting como un eje central del SOC, no como una capacidad opcional. Pero se trata de una autonomía que no es opaca. “La gente no quiere una caja negra que diga que algo es malo sin explicar por qué”, reconoce Sbampato. Por eso, cada investigación incluye “el mismo nivel de detalle que entregaría un analista humano”: cuándo empieza el incidente, qué alertas están relacionadas, qué sistemas intervienen y qué hipótesis se han validado o descartado. La IA hace el trabajo pesado; el analista toma las decisiones.
Clientes y madurez
Más que por tecnología, el encaje de TandemTrace se está definiendo por perfil de cliente. Donde están viendo mejores resultados es “en el proveedor de servicios, el MSSP”, acostumbrado a operar en entornos muy distintos. “La mayoría de las empresas no tiene una sola plataforma, tiene varias”, recuerda. En ese escenario, contar con una capa que pueda trabajar sobre múltiples tecnologías sin modificarlas simplifica la operación y evita tener que replicar equipos o procesos para cada cliente.
“La gran pregunta que recibimos no es si funciona la IA, sino dónde se guarda la información”
También están respondiendo bien organizaciones con equipos de seguridad pequeños o medianos, donde no siempre es viable especializar perfiles o crear nuevas funciones internas. En estos casos, el valor está en reforzar capacidades sin añadir complejidad. El contraste aparece en organizaciones muy maduras, con procesos muy cerrados, donde introducir cambios resulta más lento.
¿Es la madurez tecnológica una barrera para la adopción de este tipo de soluciones? Según Sbampato, no. “La barrera hoy no es la madurez, es dónde van los datos”. La gran pregunta que reciben no es si la IA funciona, sino dónde se guarda la información y cómo se garantiza la soberanía del dato. Por eso, la posibilidad de desplegar la plataforma tanto en cloud como on-premise se convierte en un elemento clave. El interés por la IA ha cambiado mucho en los últimos meses y la conversación ha pasado del rechazo inicial a una exigencia clara: demostrar que la tecnología funciona y no introduce nuevos riesgos.
En cuanto al modelo de negocio, explica que no se basa en acumular datos, sino en el número de investigaciones. “No es tanto el volumen de información, sino la variedad de fuentes”, señala. “Puedes tener millones de alertas, pero el sistema ignora el ruido y se queda con lo relevante”.
Mas allá
Hasta ahora, la inversión se ha centrado en “producto y gente”. En la siguiente etapa, una parte irá destinada a la expansión comercial, manteniendo Europa como foco estratégico. Como empresa europea, subraya, la soberanía tecnológica forma parte de su propuesta de valor.
Mirando a medio plazo, la visión es clara. “La IA va a ser el piloto y nosotros el copiloto”. Más datos, más sistemas y más velocidad hacen inviable seguir operando la seguridad solo con capacidades humanas. Habrá resistencias, como ocurrió con la nube, especialmente en sectores como defensa, gobierno o industrias con propiedad intelectual sensible. Pero la tendencia es inevitable. “No es una cuestión ideológica, es una cuestión matemática”. El cerebro humano no puede procesar todo lo que ocurre en tiempo real. La IA sí.
