Durante años, Qualys fue sinónimo de gestión de vulnerabilidades. Ese posicionamiento le dio mercado, reputación y estabilidad. Pero hace años que la compañía trabaja para reescribir esa etiqueta y posicionarse en el verdadero campo de batalla: la gestión operativa del riesgo.
La empresa cerró 2025 con un crecimiento cercano al 10 % y un margen operativo del 47 %. Las cifras no son el problema. El debate no gira en la estabilidad financiera. Está en la evolución estratégica y en evitar que el mercado la siga encasillando en un segmento cada vez más automatizado y, en parte, comoditizado: “La gestión de vulnerabilidades murió hace mucho tiempo”, asegura Sergio Pedroche, country manager de Qualys Iberia, durante una entrevista en la que plantea un modelo que no se limite a detectar exposición, sino que la valide, la cuantifique en términos económicos y ejecute acciones de reducción de riesgo.
El discurso, insiste, ha cambiado. Listar miles de vulnerabilidades no protege a nadie. Ya no se trata de enumerar CVE, sino de traducir exposición en impacto para el negocio. “El idioma del dinero lo entiende todo el mundo”. Cuando el riesgo se traduce en pérdidas potenciales, la conversación deja de ser exclusivamente técnica. Ya no es solo del CISO. Es del CFO, del área legal, del comité. Y ahí cambia el terreno de juego.
Qualys quiere dejar de ser “la empresa de vulnerabilidades”
La propuesta de Qualys pivota sobre su plataforma Enterprise TruRisk Management y el concepto de CTEM (Continuous Threat Exposure Management), pero con un matiz que la compañía subraya como diferencial: no basta con priorizar, hay que confirmar explotabilidad y ejecutar remediación. “Si detectas y no haces nada, tienes un problema”, sostiene el directivo.
El Risk Operations Center (ROC) es el nombre que Qualys da a ese cambio. No es una consola más. Es un intento de redefinir qué significa realmente gestionar vulnerabilidades en 2026.
De la teoría a la ejecución: cómo se materializa el ROC
El giro no es cosmético ni reciente. Durante los últimos años —y con especial intensidad en esta etapa— Qualys ha ido incorporando piezas que hoy convergen bajo el ROC.
La validación de explotabilidad con TrueLens introduce una pregunta incómoda para muchos equipos de seguridad: ¿cuántas de las vulnerabilidades críticas que aparecen en tu informe pueden explotarse realmente en tu entorno? Priorizar por severidad no equivale a priorizar por riesgo real.
La integración de capacidades de remediación —parcheo, virtual patching y cambios de configuración desde la propia plataforma— rompió hace tiempo con el modelo tradicional de “escaneo y reporte”. La compañía asumió entonces un territorio que muchos consideraban exclusivo de IT: si detectas y no actúas, el ciclo está incompleto.
A ello se suman los agentes de inteligencia artificial desarrollados internamente durante más de dos años. No son automatismos básicos, insiste Pedroche, sino recursos autónomos capaces de analizar contexto, proponer planes de reducción y acelerar tareas operativas dentro del flujo de gestión del riesgo.
También ha incorporado capacidades específicas para entornos de IA y modelos de lenguaje bajo la iniciativa TotalAI, abordando un terreno que añade nuevas superficies de exposición tanto en configuración como en los resultados generados por agentes.
El ROC no es, por tanto, una etiqueta comercial añadida a una tecnología existente. Es la convergencia de validación técnica, priorización contextual, automatización operativa y trazabilidad económica en una misma arquitectura.
Desarrollo propio en un mercado de adquisiciones
En un sector donde las fusiones y adquisiciones, últimamente más centradas en torno a la identidad e IA, se suceden casi semanalmente, Qualys reivindica el desarrollo orgánico como elemento diferenciador. “Somos los bichos raros del sector”, admite Pedroche. La compañía ha invertido durante más de dos años en agentes de IA propios, integrados de forma nativa en su arquitectura.
El planteamiento es claro: integrar compañías adquiridas no siempre garantiza coherencia tecnológica. Frente a suites construidas por agregación, Qualys se define como plataforma nacida en la nube y evolucionada sin rupturas. “No hemos migrado a la cloud, nacimos en la cloud”, recuerda Sergio Pedroche.
Paradójicamente, esa apuesta por el desarrollo propio no implica cerrar el ecosistema. Más de 350 conectores permiten integrar tecnologías de terceros —EDR, XDR, soluciones cloud, herramientas de cumplimiento o plataformas de identidad— sin obligar al cliente a sustituir su stack.
La lógica es pragmática. Las grandes organizaciones no parten de cero ni quieren hacerlo. Han invertido durante años en distintas tecnologías, muchas veces superpuestas, y el problema ya no es incorporar otra herramienta, sino dar coherencia a lo que ya existe. “No tienes que cambiar nada, dame lo que tengas”, resume Pedroche.
Desde su perspectiva, el valor no está en imponer una suite cerrada, sino en crear una capa de agregación y normalización de señales que permita correlacionar vulnerabilidades, configuraciones erróneas, alertas de comportamiento, exposición en cloud o riesgos de identidad en un único marco de decisión. Es ahí donde, de nuevo, entra en juego el concepto de Risk Operations Center: no como una consola más, sino como un punto de convergencia.
El planteamiento busca resolver uno de los grandes dilemas actuales de los equipos de seguridad: la fragmentación. Múltiples herramientas generan múltiples paneles, métricas y prioridades, pero no necesariamente una visión integrada del riesgo. La propuesta de Qualys consiste en absorber esa información —sin interferir en el funcionamiento de las tecnologías existentes—, contextualizarla y traducirla en acciones priorizadas según impacto en negocio, nos cuenta el responsable de Qualys en la región de Iberia.
En lugar de competir frontalmente con cada fabricante especializado, la estrategia pasa por convivir con ellos con un mensaje clave. Consolidar no significa imponer. Orquestar no significa reemplazar. Y una suite no es necesariamente coherente por compartir logotipo.
Regulación y confianza: cuando el riesgo sale del área de seguridad
El endurecimiento regulatorio —NIS2, DORA, el futuro CRA o la Ley de Inteligencia Artificial— está actuando como catalizador real de inversión, también en España, aunque el ritmo sea desigual por sectores. Para Pedroche, el cambio cultural es evidente: “Las multas dan miedo”, recuerda. Y la razón, sencilla: cuando el riesgo se cuantifica en impacto financiero y en posibles sanciones regulatorias, las decisiones trascienden el área de seguridad.
Este desplazamiento explica también por qué la compañía insiste tanto en la cuantificación económica y en la trazabilidad de la remediación. No se trata solo de detectar exposición, sino de poder demostrar —ante auditores, reguladores o consejo— que existe un plan estructurado de reducción de riesgo.
Este contexto refuerza la insistencia en la cuantificación económica y en la trazabilidad de la remediación. No basta con detectar exposición; hay que poder demostrar que existe un plan estructurado de reducción de riesgo.
En ese terreno, certificaciones como el ENS en categoría alta o FedRAMP High adquieren peso estratégico. No son solo sellos formales. Representan auditorías rigurosas y garantías verificadas sobre el modelo cloud en un momento en el que la confianza institucional sigue siendo un factor decisivo.
“Todo el mundo quiere ser MSP de Qualys”
MSP y el modelo MROC: del margen por licencia al margen por servicio
El canal también atraviesa un momento de redefinición. “Todo el mundo quiere ser MSP de Qualys”, comenta Pedroche, consciente de que el modelo de servicios gestionados está ganando peso en el mercado.
En Iberia, la compañía prepara ajustes en su estrategia de canal con el objetivo de contar con partners más comprometidos con la tecnología y con el enfoque de gestión continua del riesgo. La idea no es únicamente ampliar volumen, sino elevar el nivel de especialización y alineación con el modelo que propone el Risk Operations Center.
En ese marco surge el concepto de MROC (Managed Risk Operations Center). No se trata simplemente de revender la plataforma, sino de utilizarla para ofrecer servicios estructurados de cuantificación y reducción de riesgo. Partners capaces de apoyarse en los agentes y en la capacidad de contextualización para ayudar al cliente a entender qué riesgos le impactan realmente y cómo reducirlos.
El modelo MROC apunta precisamente a que el partner no sea solo un intermediario tecnológico, sino un actor activo en la gestión continua del riesgo del cliente. Más que desplegar herramientas, el objetivo es ayudar a utilizar la plataforma como está concebida y extraer de ella todo su potencial operativo.
Mirando hacia adelante
Pedroche anticipa una convergencia progresiva entre vulnerabilidades, EDR/XDR y protección cloud. La fragmentación actual no es sostenible. Pero rechaza el modelo de suite cerrada porque, como recuerda, “en la vida nadie lo hace todo bien”.
Más allá de tecnologías concretas —IA o post-quantum—, identifica un factor determinante: la velocidad. En un mercado donde estrategias y adquisiciones se redefinen en meses, donde “cada vez va todo más rápido”, la capacidad de adaptación es, en su opinión, la verdadera ventaja competitiva.
Qualys intenta jugar esa partida desplazándose desde la vulnerabilidad como producto hacia el riesgo como operación. No se trata de añadir más funcionalidades, sino de integrar, validar y ejecutar con coherencia.
