En un entorno que asume la identidad digital como el nuevo perímetro de seguridad, Ironchip apuesta por romper con los métodos tradicionales. La compañía vasca, fundada en 2017 por dos ingenieros de telecomunicaciones —José Fernando Gómez Arbaizar y Julen Iturbe—, nació con una visión clara: repensar la forma en que las organizaciones autentican a sus usuarios.
La inspiración, nos cuenta durante una entrevista José Fernando Gómez Arbaizar, fundador y CISO de la compañía, surgió tras un proyecto en Estados Unidos, donde desarrollaron una plataforma de trading en apenas tres meses. Durante ese proceso, detectaron que las contraseñas eran fácilmente robadas, reutilizadas o expuestas en Internet. Las alternativas, como los códigos OTP o la biometría, tampoco les convencían. En realidad, “la biometría nunca ha sido realmente fiable, y ahora con la inteligencia artificial es aún peor”, asegura José Fernando Gómez Arbaizar, recordando lo fácil que puede ser ahora duplicar una cara o una voz con apenas unos segundos de grabación.
Frente a esa debilidad estructural, Ironchip optó por un enfoque radicalmente distinto: utilizar la localización como factor de autenticación. Hace referencia a la señal GPS o la dirección IP como elementos fácilmente falsificables. Y es que das direcciones IP pueden ocultarse o modificarse mediante el uso de redes privadas virtuales (VPN), mientras que las señales GPS pueden ser simuladas con herramientas de spoofing que falsifican la ubicación del dispositivo. “Si no puedes confiar en la veracidad de la ubicación, no puedes usarla como medida de seguridad”, advierte José Fernando Gómez. La solución de Ironchip pasa por capturar señales del entorno (WiFi, Bluetooth, antenas móviles, datos del dispositivo, SIM, etc.) para generar un perfil contextual dinámico. Si un usuario cambia de dispositivo o de ubicación, el sistema analiza si ese comportamiento es coherente. “Si me cambio de Android a iPhone desde mi casa, probablemente soy yo. Pero si ese cambio ocurre desde Rusia mientras mi IP y mi GPS siguen en España, es un intento de suplantación”, explica el directivo.
De la autenticación al antifraude
A partir de este enfoque, Ironchip ha desarrollado dos productos. El primero es una plataforma de identidad sin contraseñas, compatible con móviles y ordenadores, que permite a empleados o proveedores acceder a sistemas de forma segura, sin necesidad de compartir credenciales. “El 90% de los empleados en muchas compañías no tiene móvil corporativo, y enviar contraseñas a proveedores es una pesadilla para la protección de datos. Nosotros eliminamos ese riesgo”, asegura.
El segundo producto va un paso más allá y se centra en la detección de fraude en tiempo real. Integrado en aplicaciones bancarias mediante un SDK, permite identificar ataques de ingeniería social como el phishing, vishing o SIM swapping. Incluso han conseguido identificar y bloquear redes organizadas dedicadas al blanqueo de capitales, detectando patrones de actividad procedentes de ubicaciones muy concretas. Según explica José Fernando Gómez, han localizado centros desde los que operaban grupos coordinados —con entre 20 y 30 personas— en países como Togo, Benín o Perú. “Se trata de estructuras muy rudimentarias, pero altamente activas, que actúan desde zonas muy localizadas”, señala. Gracias al bloqueo de esas ubicaciones, muchas de estas redes se han visto obligadas a trasladar sus equipos, con el consiguiente impacto logístico y operativo.
El valor diferencial para banca y defensa
Ironchip trabaja ya con varias entidades bancarias de primer nivel en España. El impacto ha sido tangible. Según nos cuenta, han logrado reducir hasta en un 60 % los incidentes relacionados con la identidad. “Cuando hablas de decenas de miles de usuarios y múltiples sedes, gestionar la identidad se vuelve muy complejo. Nosotros lo simplificamos y lo hacemos más seguro”, asegura.
Además, la compañía cuenta con certificaciones como ISO 27001, 27701, el Esquema Nacional de Seguridad en nivel alto y la evaluación LINCE, lo que les permite estar presentes en el catálogo del Centro Criptológico Nacional.
Por otra parte, no sólo trabajan con banca. El sector público español se ha convertido en un área de fuerte crecimiento, y también están apostando decididamente por defensa. Asegurando que “hay un movimiento claro hacia la soberanía tecnológica” señala que es fundamental que los datos críticos del país se gestionen con soluciones desarrolladas en el entorno nacional, y apuesta por “ofrecer una alternativa robusta y de confianza”.
IA como aliado… y como amenaza
La inteligencia artificial es un componente esencial en la propuesta de Ironchip. Gracias a ella han podido construir un mapa global de radiofrecuencias, base de su tecnología de ubicación contextual. Pero también reconocen su doble filo: “El mayor riesgo que introduce la IA en el ámbito de la identidad es la capacidad de suplantar caras y voces. Y todos tenemos vídeos en redes sociales”.
Frente a los deepfakes, su tecnología responde con análisis del entorno: “Si un supuesto usuario intenta autenticarse desde Benín con un móvil de marca sospechosa y una operadora local, yo sé que eso no es válido. Los bancos que usan Ironchip lo saben”.
Más allá del Zero Trust y rumbo a un futuro sin contraseñas
El directivo se muestra crítico con la forma en que muchas empresas están implementando Zero Trust: “Veo compañías que instalan soluciones ZTNA con contraseñas. Si tu perímetro es la identidad, no puedes protegerlo sólo con algo que puede ser fácilmente vulnerado mediante un ataque de phishing”.
Aunque admite que el multifactor ayuda, insiste en que no es suficiente si se sigue confiando en contraseñas y métodos básicos, y explica que la tecnología de Ironchip verifica continuamente la identidad, “incluso si hay un Single Sign-On. Preferimos confirmar que eres tú cada vez que accedes, y no depender de una sesión que, si te roban, da acceso a todo”.
José Fernando Gómez Arbaizar y Julen Iturbe se muestra optimista sobre el futuro del modelo passwordless: “Ya tenemos clientes que han eliminado por completo las contraseñas, y tanto ellos como sus empleados están encantados”.
Sin embargo, considera que muchas empresas aún están priorizando inversiones que no solucionan el problema de fondo. “Están implementando herramientas que ya tienen o que no aportan valor, en lugar de reforzar la identidad, que es la base de todo”.
Mirada internacional… y cuántica
Con más de cinco millones de usuarios protegidos, Ironchip ha iniciado su expansión internacional, especialmente en Latinoamérica. Nos cuenta que, en esta región, el fraude es mayor y que las regulaciones, como en México, están más avanzadas. “Aun así, el grueso de nuestros clientes sigue estando en España”, reconoce.
Y aunque la computación cuántica aún parece lejana, la empresa no baja la guardia. Han diseñado su arquitectura para que la identidad se almacene en los propios dispositivos del usuario, y ya están adoptando técnicas post-cuánticas como Zero Knowledge Proofs, que dificultan el descifrado incluso con potencia cuántica. “Sabemos que debemos estar preparados, porque si no, caeremos”.
El co-fundador de Ironchip reconoce que ya han recibido ofertas de compra, pero tienen claro que no es el momento. “Creemos que este proyecto es muy grande. Cada día el mundo se mueve más en nuestra dirección, hacia una identidad contextual y sin contraseñas. Queremos ser nosotros quienes lideremos ese cambio”.
