Durante años, Qualys fue sinónimo de gestión de vulnerabilidades. Ese posicionamiento le dio mercado, reputación y estabilidad. Pero hace tiempo que la compañía trabaja para reescribir esa etiqueta y posicionarse en el verdadero campo de batalla: la gestión operativa del riesgo.
La empresa cerró 2025 con un crecimiento cercano al 10 % y un margen operativo del 47 %. Las cifras no son el problema. El debate no gira en la estabilidad financiera. Está en la evolución estratégica y en evitar que el mercado la siga encasillando en un segmento cada vez más automatizado y, en parte, comoditizado: “La gestión de vulnerabilidades murió hace mucho tiempo”, asegura Sergio Pedroche, country manager de Qualys Iberia, durante una entrevista en la que plantea un modelo que no se limite a detectar exposición, sino que la valide, la cuantifique en términos económicos, y ejecute acciones de reducción de riesgo.
El discurso, insiste, ha cambiado. Listar miles de vulnerabilidades no protege a nadie. Ya no se trata de enumerar CVE, sino de traducir exposición en impacto para el negocio. “El idioma del dinero lo entiende todo el mundo”. Cuando el riesgo se traduce en pérdidas potenciales, la conversación deja de ser exclusivamente técnica. Ya no es solo del CISO. Es del CFO, del área legal, del comité. Y ahí cambia el terreno de juego.
Qualys quiere dejar de ser “la empresa de vulnerabilidades”
La propuesta de Qualys pivota sobre su plataforma Enterprise TruRisk Management y el concepto de CTEM (Continuous Threat Exposure Management), pero con un matiz que la compañía subraya como diferencial: no basta con priorizar, hay que confirmar explotabilidad y ejecutar remediación. “Si detectas y no haces nada, tienes un problema”, sostiene el directivo.
El Risk Operations Center (ROC) es el nombre que Qualys da a ese cambio. No es una consola más. Es un intento de redefinir qué significa realmente gestionar vulnerabilidades en 2026.
De la teoría a la ejecución: cómo se materializa el ROC
El giro no es cosmético ni reciente. Durante los últimos años —y con especial intensidad en esta etapa— Qualys ha ido incorporando piezas que hoy convergen bajo el ROC.
La validación de explotabilidad con TrueLens introduce una pregunta incómoda para muchos equipos de seguridad: ¿cuántas de las vulnerabilidades críticas que aparecen en tu informe pueden explotarse realmente en tu entorno? Priorizar por severidad no equivale a priorizar por riesgo real.
La integración de capacidades de remediación —parcheo, virtual patching y cambios de configuración desde la propia plataforma— rompió hace tiempo con el modelo tradicional de “escaneo y reporte”. La compañía asumió entonces un territorio que muchos consideraban exclusivo de IT: si detectas y no actúas, el ciclo está incompleto.
A ello se suman los agentes de inteligencia artificial desarrollados internamente durante más de dos años. No son automatismos básicos, insiste Pedroche, sino recursos autónomos capaces de analizar contexto, proponer planes de reducción y acelerar tareas operativas dentro del flujo de gestión del riesgo.
La compañía también ha incorporado capacidades específicas para entornos de inteligencia artificial y modelos de lenguaje a través de la iniciativa TotalAI, orientada a analizar los riesgos asociados al uso de LLM y agentes autónomos. El objetivo es identificar vulnerabilidades tanto en la configuración de estos sistemas como en la forma en que interactúan con datos, aplicaciones o usuarios.
En ese contexto, el ROC no es simplemente una etiqueta comercial aplicada a una tecnología existente. Es la convergencia de varias capacidades dentro de una misma arquitectura: visibilidad sobre los activos, validación de explotabilidad, priorización según impacto real y capacidad de ejecución para reducir el riesgo. El resultado es un modelo que busca pasar de la detección aislada a la gestión operativa del riesgo.
Desarrollo propio en un mercado de adquisiciones
En un sector donde las fusiones y adquisiciones —cada vez más centradas en identidad e inteligencia artificial— se suceden casi semanalmente, Qualys reivindica el desarrollo orgánico como elemento diferenciador. “Somos los bichos raros del sector”, admite Pedroche. La compañía ha invertido durante más de dos años en el desarrollo de agentes de IA propios, integrados de forma nativa en su arquitectura.
El planteamiento parte de una idea sencilla: integrar compañías adquiridas no siempre garantiza coherencia tecnológica. Frente a suites construidas a base de agregaciones, Qualys se define como una plataforma que ha evolucionado de forma continua desde su origen en la nube. “No hemos migrado a la cloud; nacimos en la cloud”, recuerda el directivo.
Esa apuesta por el desarrollo interno no implica cerrar el ecosistema. Al contrario: más de 350 conectores permiten integrar tecnologías de terceros —EDR, XDR, herramientas de cumplimiento, soluciones cloud o plataformas de identidad— sin obligar al cliente a sustituir su stack tecnológico.
La lógica es pragmática. Las grandes organizaciones no parten de cero ni quieren hacerlo. Han invertido durante años en múltiples herramientas y el problema ya no es añadir otra más, sino dar coherencia a lo que ya existe. La propuesta de Qualys pasa por crear una capa que consolide y normalice esas señales para correlacionar vulnerabilidades, configuraciones erróneas, alertas de comportamiento o exposición en cloud en un único marco de decisión.
Ahí es donde entra en juego el concepto de Risk Operations Center: no como una consola adicional, sino como el punto donde converge toda esa información para priorizar y reducir riesgo con criterios operativos y de negocio.
Desde esa perspectiva, la estrategia no pasa por competir frontalmente con cada fabricante especializado, sino por convivir con ellos bajo un principio claro: consolidar no significa imponer, y orquestar no implica reemplazar.
Regulación y confianza: cuando el riesgo sale del área de seguridad
El endurecimiento regulatorio —NIS2, DORA, el futuro CRA o la Ley de Inteligencia Artificial— está actuando como catalizador real de inversión, también en España, aunque el ritmo sea desigual por sectores. Para Pedroche, el cambio cultural es evidente: “Las multas dan miedo”, recuerda. Y la razón, sencilla: cuando el riesgo se cuantifica en impacto financiero y en posibles sanciones regulatorias, las decisiones trascienden el área de seguridad.
Este desplazamiento explica también por qué la compañía insiste tanto en la cuantificación económica y en la trazabilidad de la remediación. No se trata solo de detectar exposición, sino de poder demostrar —ante auditores, reguladores o consejo— que existe un plan estructurado de reducción de riesgo.
Este contexto refuerza la insistencia en la cuantificación económica y en la trazabilidad de la remediación. No basta con detectar exposición; hay que poder demostrar que existe un plan estructurado de reducción de riesgo.
En ese terreno, certificaciones como el ENS en categoría alta o FedRAMP High adquieren peso estratégico. No son solo sellos formales. Representan auditorías rigurosas y garantías verificadas sobre el modelo cloud en un momento en el que la confianza institucional sigue siendo un factor decisivo.
“Todo el mundo quiere ser MSP de Qualys”
MSP y el modelo MROC: del margen por licencia al margen por servicio
El canal también atraviesa un momento de redefinición. “Todo el mundo quiere ser MSP de Qualys”, comenta Pedroche, consciente de que el modelo de servicios gestionados está ganando peso en el mercado.
En Iberia, la compañía prepara ajustes en su estrategia de canal con el objetivo de contar con partners más comprometidos con la tecnología y con el enfoque de gestión continua del riesgo. La idea no es únicamente ampliar volumen, sino elevar el nivel de especialización y alineación con el modelo que propone el Risk Operations Center.
En ese marco surge el concepto de MROC (Managed Risk Operations Center). No se trata simplemente de revender la plataforma, sino de utilizarla para ofrecer servicios estructurados de cuantificación y reducción de riesgo. Partners capaces de apoyarse en los agentes y en la capacidad de contextualización para ayudar al cliente a entender qué riesgos le impactan realmente y cómo reducirlos.
El modelo MROC apunta precisamente a que el partner no sea solo un intermediario tecnológico, sino un actor activo en la gestión continua del riesgo del cliente. Más que desplegar herramientas, el objetivo es ayudar a utilizar la plataforma como está concebida y extraer de ella todo su potencial operativo.
Mirando hacia adelante
Sergio Pedroche anticipa una convergencia progresiva entre vulnerabilidades, EDR/XDR y protección cloud. La fragmentación actual no es sostenible. Pero rechaza el modelo de suite cerrada porque, como recuerda, “en la vida nadie lo hace todo bien”.
Más allá de tecnologías concretas —IA o post-quantum—, identifica un factor determinante: la velocidad. En un mercado donde estrategias y adquisiciones se redefinen en meses, donde “cada vez va todo más rápido”, la capacidad de adaptación es, en su opinión, la verdadera ventaja competitiva.
Qualys intenta jugar esa partida desplazándose desde la vulnerabilidad como producto hacia el riesgo como operación. No se trata de añadir más funcionalidades, sino de integrar, validar y ejecutar con coherencia.
