Aikido es uno de esos nuevos actores que están irrumpiendo en el mercado de seguridad de aplicaciones con una propuesta diferente: menos herramientas aisladas y más integración en el propio flujo de desarrollo. Hablamos con Joost de Jong, Regional Vice President para Iberia y Latinoamérica, para entender cómo está cambiando este ámbito, qué papel juega la inteligencia artificial y por qué el modelo tradicional ya no encaja en un entorno donde el software se construye y se despliega a una velocidad inédita.
“Las empresas tienen demasiadas herramientas y poco contexto”
Aikido es una compañía joven, con origen en Europa y sede en Bélgica, que comenzó a operar en 2022 y a comercializar su producto en 2024. Aunque quizá aún no sea ampliamente conocida en el mercado español, su propuesta responde a un problema cada vez más evidente. Durante años, la seguridad del desarrollo se ha basado en un modelo posterior: el código se construía y después se analizaba. “Había un proceso de ida y vuelta: desarrollas, revisas, corriges y vuelves a empezar”, explica De Jong. Un enfoque además muy ligado al CISO, que era quien adquiría y operaba las herramientas.
Ese modelo, apoyado en soluciones más tradicionales funcionó en un contexto donde las aplicaciones eran más estáticas. Pero hoy, asegura De Jong, “la realidad es otra”, para después explicar que las arquitecturas han evolucionado hacia microservicios, el uso de dependencias externas es masivo y los ciclos de desarrollo se han acelerado hasta el punto de que puede haber varios despliegues diarios.
“La idea de revisar el código después de desarrollarlo ya no funciona. Genera cuellos de botella”, señala el responsable de Aikido en España, añadiendo que que, además, la superficie de riesgo se ha ampliado: ya no se trata solo del código propio, sino también de dependencias, contenedores, infraestructura cloud o incluso malware introducido en la cadena de suministro.
En este nuevo escenario, Aikido plantea un cambio de enfoque: integrar la seguridad en el propio momento del desarrollo. “Tenemos que detectar vulnerabilidades en el instante en que se escribe el código y ayudar a resolverlas ahí mismo”, asegura con Joost de Jong.
Esto implica también un cambio en el usuario principal porque estas herramientas “tienen que pasar de ser productos para el CISO a ser productos para el CTO y los desarrolladores, bajo supervisión de seguridad”, afirma. La razón es clara: si los equipos de desarrollo no adoptan la herramienta, simplemente no se utiliza.
De hecho, este cambio ya se refleja en cómo se toman las decisiones. “Antes hablábamos solo con seguridad; ahora en casi todas las reuniones están seguridad y desarrollo juntos”, apunta.
“El software es el mayor activo de una empresa, y sigue siendo el menos protegido”
Un mercado que no está saturado, sino cambiando
Aunque el mercado de AppSec pueda parecer saturado, De Jong discrepa. En su opinión, no se trata de exceso de oferta, sino de un cambio de paradigma. Nos cuenta durante la entrevista que las soluciones tradicionales han estado muy enfocadas en grandes empresas, mientras que el mercado medio ha quedado parcialmente desatendido. Asegura que muchas organizaciones utilizan herramientas de calidad de código, o directamente no abordan la seguridad de forma estructurada.
Ahí es donde Aikido ha encontrado su primer espacio de crecimiento, con una propuesta más accesible y orientada al desarrollador. Sin embargo, esa misma propuesta está empezando a calar también en grandes organizaciones.
Un caso representativo es Revolut, donde la velocidad de desarrollo es crítica. “Nunca elegirían herramientas que les frenen. Necesitan soluciones pensadas para el desarrollador, que reduzcan el ruido y no generen fricción”, explica.
Uno de los pilares de la propuesta de Aikido es la simplificación. No en el sentido de reducir capacidades, sino de eliminar la complejidad operativa. Señala Joost de Jong que muchas organizaciones “tienen cinco o siete herramientas distintas, cada una con sus resultados, sus procesos y su integración”, lo que obliga a dedicar recursos a tareas poco productivas, como limpiar falsos positivos o consolidar información.
“La IA permite a atacantes mediocres hacer lo que antes hacía un Estado”
La alternativa es unificar todo en un único entorno: identificación de vulnerabilidades, priorización, gestión y remediación. Pero, sobre todo, hacerlo desde la lógica del desarrollador. “A ellos les da igual qué tecnología hay detrás. Quieren saber si hay un problema y cómo solucionarlo”, resume.
La clave está en integrarse directamente en su flujo de trabajo, desde el IDE hasta los entornos de generación de código, y ofrecer respuestas claras, con recomendaciones o incluso capacidades de autofix.
IA: acelerador y amenaza
La inteligencia artificial está teniendo un impacto directo en este ámbito. Por un lado, permite desarrollar nuevas capacidades con mayor rapidez. “Podemos analizar decenas de lenguajes sin crear reglas específicas para cada uno, gracias a los LLMs”, explica.
Pero el cambio más relevante se está produciendo en servicios como el pentesting. Aikido ha introducido un modelo basado en agentes de IA que permite automatizar estas pruebas e integrarlas en el ciclo de desarrollo, porque, como recuerda Joost de Jong, “hacer un pentest una vez al año en un entorno que cambia cada día no tiene sentido”.
Este enfoque permite lanzar pruebas en cada release y gestionar los resultados dentro del mismo flujo de trabajo, con priorización y corrección automática. La IA interviene en todo el proceso: identificación, filtrado y mitigación.
Sin embargo, el impacto de la IA también eleva el nivel de la amenaza. “Estamos viendo cómo perfiles menos sofisticados pueden realizar ataques que antes requerían recursos de un Estado”, advierte el directivo, añadiendo que el resultado es una carrera en la que la velocidad vuelve a ser determinante.
A pesar de que el concepto de DevSecOps está ampliamente extendido, su adopción real sigue siendo limitada. Para De Jong, el principal obstáculo es cultural. “El reto es de ambición y de conciencia”, afirma. Muchas organizaciones no priorizan la seguridad del desarrollo al mismo nivel que otros activos, pese a que el software concentra gran parte de su valor.
A esto se suma la inercia organizativa, especialmente en grandes compañías con estructuras consolidadas o dependientes de proveedores externos. También influye la externalización del desarrollo, que genera una falsa sensación de seguridad. Falsa porque “si publicas una aplicación, la responsabilidad siempre es tuya”, recuerda De Jong, quien apuesta por un cambio progresivo que vendrá impulsado por organizaciones más ágiles que marquen el ritmo del mercado.
“El desarrollador no quiere más procesos, quiere soluciones”
Canal, mercado y soberanía
En España, Aikido está construyendo su presencia a través de un ecosistema de partners locales e integradores en el que destaca Cefiros. Los partners, asegura De Jong, profundizan en el producto, generan servicios alrededor y construyen relaciones más duraderas.
En lo que tiene que ver con la soberanía, un elemento que está sobre la mesa en cada vez más conversaciones, el origen europeo de Aikido no supone una barrera, sino un elemento cada vez más relevante en determinados contextos. Aunque no es un factor decisivo para todos los clientes, sí empieza a influir en sectores sensibles o en el ámbito público, donde se valora la soberanía tecnológica. Al mismo tiempo, ha cambiado la percepción del software europeo, que ya compite en igualdad de condiciones con otras regiones.
A la hora de resumir su aportación al mercado español, De Jong lo sintetiza en dos puntos. Por un lado, facilitar la adopción de mejores prácticas en seguridad del desarrollo en un contexto marcado por regulaciones como NIS2 o DORA. Por otro, impulsar un cambio más profundo en cómo se aborda la seguridad, con el pentesting basado en IA como elemento transformador. “Puede ser incluso más grande que la propia plataforma”, concluye.
