Veracode es una empresa fundada en 2006 que ofrece múltiples tecnologías de análisis de seguridad en una única plataforma, incluido el análisis estático (o pruebas de caja blanca), el análisis dinámico (o pruebas de caja negra) y el análisis de composición de software. La compañía presta servicios a más de 2.500 clientes en todo el mundo y lleva evaluadas varias decenas de miles de millones de líneas de código. Desde hace más de un año y medio Eduardo García Sancho es quien dirige la compañía en la región de Iberia tras haber ocupado otros puestos de responsabilidad en Syneto, KEMP Technologies o SMC. Hablamos con él la evolución de la compañía en un mercado, el de Application Security Testing (AST), en el que Veracode ha sido considerada líder durante más de ocho años.
Como plataforma de análisis de seguridad de aplicaciones, Veracode proporciona una serie de herramientas para detectar y analizar vulnerabilidades en el código fuente de las aplicaciones. En los últimos años la compañía ha realizado mejoras en la plataforma “para ofrecer un sistema de seguridad más intuitivo y mucho más integrable en los ciclos de desarrollo”, nos cuenta Eduardo García Sancho, añadiendo que se ofrece información sobre las vulnerabilidades detectadas en las aplicaciones, incluidas el saber de dónde provienen o qué tipo de vulnerabilidades son; “el último paso es la remediación de las mismas. Es fundamental, y es donde más hemos evolucionado”.
Clientes
Preguntado por el perfil de cliente de Veracode, responde el directivo que, en general, “cualquiera que tenga una aplicación desarrollada por ellos mismos, o por un tercero para ellos mismos”. Identifica dos grandes grupos de clientes. Los primeros son entidades grandes que por su tamaño tienen una serie de aplicaciones y portales, bien sea para uso interno o externo, que son altamente explotables.
Además, hay un segundo grupo de clientes que tienen equipos de desarrollo de aplicaciones para terceros y, por tanto “están especializadas en el desarrollo de software”. Con este tipo de clientes se hace hincapié no sólo en que entreguen a los clientes una buena aplicación en el tiempo correcto, “sino que también sea segura”. En opinión de Eduardo García la disputa entre estos fabricantes de software y sus clientes es “entender que la seguridad no es opcional, que debe ser obligatoria”.
Aunque quizá deberían ir de la mano, menciona el directivo de Veracode que cuando se habla de desarrollo de software el mercado diferencia entre calidad y seguridad; “el hecho de que una aplicación sea funcional, fluida y utilizable hace referencia a la calidad, mientras que el concepto de seguridad es que no sea vulnerable”. Añade que el concepto de la calidad del software se ha asumido enseguida, mientras que la seguridad “en la mayoría de los casos no está asimilada todavía y se está empezando a integrar”, impulsadas por directivas como el ENS o Dora.
Retos
“El principal hándicap que hay en seguridad hoy en día es el equipo”, asegura Eduardo García Sancho cuando le preguntamos por los retos que llevan a sus clientes a buscar una empresa como Veracode. Comenta que los equipos de desarrollo no quieren verse molestados por temas de seguridad, y mucho menos que se paralice su trabajo, mientras que el equipo de seguridad quiere influir en el equipo de desarrollo para que desarrolle con seguridad. “Cómo generar código de forma segura sin que sea una interrupción en el ciclo de trabajo de los desarrolladores es la principal solicitud de los clientes”, asegura el directivo, añadiendo que lo que buscan son herramientas integrables y automatizadas que no interrumpan el trabajo del equipo de desarrollo, y ofrezcan la información necesaria al equipo de seguridad para que pueda tomar las decisiones correctas y hacer las modificaciones de código correctos “ralentizando el desarrollo lo menos posible”.
“La disputa entre los fabricantes de software y sus clientes es entender que la seguridad no es opcional”
El segundo reto es “el conocimiento”. Porque una vez que se incorpora la herramienta de Veracode, ¿cómo se gestionan las vulnerabilidades detectadas y como se aprende a desarrollar sin generar tantos fallos? Para dar respuesta a este reto, la compañía no solo ofrece formación dentro de la plataforma, sino, y algo que se valora muchísimo, “conceptos como inteligencia artificial que me ayuda a auto remediar ese código que se detecta vulnerable y cambiarlo a código no vulnerable. Y es donde estamos avanzando muchísimo”.
Aunque lo ideal es empezar de cero, lo más frecuente es que el cliente con el que se empieza a trabajar ya tenga varias aplicaciones con varios años o meses de antigüedad, y que la aplicación esté en el ciclo de entrega o de producción. Explica el directivo de Veracode que, dependiendo del tipo, los análisis pueden ser inmediatos, de pocos minutos, horas o un día, y añade que “el principal problema no es cuánto tiempo tardo en analizar la aplicación o en qué parte del ciclo de desarrollo está la aplicación, sino en los resultados. Si yo tengo una aplicación que lleva años funcionando voy a encontrar miles de vulnerabilidades”.
El siguiente paso, dice Eduardo García, es cómo gestiono la resolución de esa cantidad de vulnerabilidades. El primer paso, explica el directivo es poder categorizar esos fallos “para empezar a solucionar lo más severo, lo más explotable”, al tiempo que se ayuda al cliente a entender su postura de seguridad.
Respecto a los lenguajes de programación con el que esté escrito el código, Veracode soporta más de cien lenguajes de programación y frameworks diferentes
Diferencial
Llevar 17 años siendo una plataforma en la nube, una plataforma SaaS es, según nos cuenta Eduardo García, el principal diferencial de Veracode respecto a su competencia. Son 17 años “analizando varios trillones de líneas de código, miles y miles de aplicaciones, y miles y miles de clientes. Y todos esos datos anonimizados forman parte de nuestra capacidad de aprendizaje”, dice el responsable de Veracode en España, añadiendo que, una vez que se detecta una vulnerabilidad, se identifica y se comparte con toda la base de clientes de la compañía.
Frente a la nube, las plataformas on-premise requieren una serie de infraestructuras. Y lo más destacado es que la información del análisis del sofware que realizaba cada compañía se quedaba en su poder, no se compartía el conocimiento, “con lo cual el resto de los clientes no se han aprovechado nunca de la inteligencia de las detecciones, del conocimiento, que individualmente cada uno podía aportar. Y esto redunda en que nosotros estamos ahora en un porcentaje inferior al uno por ciento de falsos positivos”.
El segundo gran diferencial de Veracode “es que somos la oferta más completa del mercado”. La compañía ofrece una amplia variedad de opciones, desde el análisis estático al dinámico, pasado por el análisis de librerías de terceros, análisis de infraestructura y de contenedores, pentesting-as-a-service, formación, sistemas de remediación, servicios específicos para ayudar a gestionar las vulnerabilidades encontradas e inteligencia artificial aplicada a la remediación. “Ahora mismo no hay ningún competidor en el mercado que dé una oferta tan completa”, asegura Eduardo García, quien añade que es muy fácil empezar a trabajar con Veracode y obtener resultados fiables.
La oferta de la compañía se ofrece a través de una plataforma a la que también pueden integrarse sistemas de reporting o de información de terceros. “Nuestra plataforma ofrece capacidades de gobernanza y de analítica muy potentes que son integrables con distintos sistemas”, asegura Eduardo García.
Veracode Fix
La Inteligencia Artificial es, en opinión del directivo, el elemento que ha marcado un hito dentro de la compañía. Explica que todos los clientes tienen el mismo problema: no poder abordar la resolución de vulnerabilidades. Saber que se tienen 7.523 vulnerabilidades de las que 150 son altamente explotables genera una situación insostenible en un mercado que, además, adolece de personal. La propuesta de la compañía para este problema es Veracode Fix.
Los datos de 17 años y miles de clientes “me han proporcionado la capacidad de entrenar una inteligencia artificial solamente con datos comprobados por nuestros consultores”, dice Eduardo García, incidiendo en que no se utiliza open source ni datos de codificación externos a la plataforma de la compañía. Ese conocimiento permite a los clientes aceptar una propuesta de corrección y cambio de código en el momento en que se detecta una vulnerabilidad; “eso es un avance inmenso”, asegura, “porque no solo tengo una capa de control, que es el análisis que hacemos del código, sino de corrección que hace la inteligencia artificial”.
Añade Eduardo García sobre Veracode Fix que es un hito enorme “porque en esas conversaciones con los clientes les quitas un problema que ya no es relativo a cómo me enfrento a la seguridad, sino cómo me enfrento a falta de personal, a presupuesto que no tengo y a tiempo que me falta. Solucionar de un plumazo estos tres aspectos es un antes y un después”.
Lanzado el pasado verano y disponible para los lenguajes de programación principales (Java, JavaScript, PHP y Python), Veracode Fix está siendo adoptado por el 90 % de los nuevos clientes de la compañía. Además, es habitual que los clientes lo adquieran en los procesos de renovación de contratos.
Adquisiciones
Fundada en 2006, Veracode caminó en solitario durante casi diez años. En 2014 tres de los cuatro grandes bancos de la lista Fortune 100 eran clientes de la compañía. En marzo de 2017, dos años después de intentar una salida a bolsa que no se cumplió después de haber recaudado 40 millones en una ronda de inversión liderada por Wellington Management Company, la compañía fue comprada por CA Technologies por 614 millones de dólares en efectivo.
Poco duró el idilio, porque en julio de 2018 Broadcom anunció la compra de CA Technologies por 18.900 millones. Una vez cerrado el acuerdo, Broadcom vendió Veracode a Thoma Bravo por 950 millones de dólares. Cuatro años después, en marzo de 2022, Veracode fue vendida a otras gran firma de inversión, TA Associates, por 2.500 millones de dólares.
Bajo el paraguas de TA, Veracode ha realizado dos adquisiciones: Jarooma en abril de 2022 y Crashtest en diciembre del mismo año. Preguntado por el impacto que estas adquisiciones han tenido en la compañía, resalta la de Jarooma, que es la base de Veracode Fix.
Explica el directivo que Jarooma se compró por su tecnología de auto remediación a la que “le faltaba el ser alimentada con conocimiento para poder hacer todo el trabajo que hace”. Jarooma, asegura, “nos dio esa capacidad de inteligencia artificial que, con los datos que nosotros teníamos, ha evolucionado”.
En cuanto a Crashtest Security, “viene a complementar nuestro análisis dinámico”. Explica que Veracode cuenta con una tecnología de análisis dinámico “extremadamente potente, muy profundo. Pero muchos clientes nos pedían algo más sencillo”. Con Crashtest la compañía ofrece una doble capa de análisis dinámico en función de los intereses del cliente: si es un análisis profundo se utiliza el análisis dinámico estándar de Veracode, y si se quiere un análisis superficial, muchísimo más rápido e integrado en el ciclo de desarrollo de las principales vulnerabilidades que voy a ver en la superficie, se utiliza Crashtest, que hoy ha evolucionado y se llama Veracode DAST (Dynamic Application Security Testing) Essentials.
Crecimiento
El crecimiento de la compañía va de la mano de la integración de la seguridad dentro del ciclo de desarrollo. Para Eduardo García, “asimilar que la seguridad es mejor integrarla antes que no después es un aspecto fundamental”.
Un segundo impulsor del crecimiento es la normativa. Al respecto menciona el responsable de Veracode para la región de Iberia el Esquema Nacional de Seguridad, Dora o NIS2 comentando que resulta sorprendente que haya muchas empresas que no todavía no han dado pasos para cumplir con esta última.
«Si lo hay, el especialista en seguridad de las aplicaciones suele ser el interlocutor que más nos interesa”
A estas normativa pública, se le une una exigencia privada que también impulsa el negocio de Veracode y que viene de la mano de los ciberseguros, “que cada vez están piden unos requerimientos más altos. De forma que si quiero conseguir una cobertura relativamente amplia a un precio relativamente razonable, tengo que mostrar que mi postura de seguridad es amplia. Y en la parte de aplicaciones es fundamental poder decir que se ha codificado de forma segura. Ahí es donde también estamos tratando con muchísimos clientes”.
Respecto al interlocutor de Veracode, se habla con el CISO, “que tiene un interés especial por su responsabilidad es la seguridad de la empresa”, y con el responsable de desarrollo. “El caso ideal es que haya un especialista en seguridad de las aplicaciones, que suele ser el interlocutor que más nos interesa”, explica Eduardo García.
El peligro de la IA
Entre las muchas cosas que se les atribuyen a las diferentes herramientas de IA Generativa, como Chat GPT, es su capacidad de generar código. Lo que en principio puede parece una ventaja, o un peligro si quien lo utiliza es el ciberdelincuente, puede crear un verdadero problema si no sabemos de dónde coge el código esa IA generativa, porque lo que puede generar es un código inseguro que además pueda tener incluso problemas de derechos de autor.
En opinión de Eduardo García, “son herramientas interesantes y de futuro para ayudar en ciertas parcelas, pero es importante que tengamos la comprobación de seguridad de lo que estoy codificando. Si yo sé que todas las herramientas, y es el 100% de ellas, que hacen generación de código se han alimentado de fuentes open source, sé que la propia generación de código es inseguro, lo cual hace más importante la utilización de herramientas de comprobación de ese código”.
