Xygeni Security es una compañía española. Se fundó en 2021 y la ronda semilla alcanzó los cuatro millones de euros en junio de 2023, según datos de Crunchbase. Especializada en lo que se ha bautizado como ASPM (Application Security Posture Management), Xygeni se ha convertido en un referente en la seguridad de la cadena de suministro de software. De todo ello hemos hablado con Jesús Martín, CEO y cofundador de la compañía.
Junto con Luis Rodríguez, CTO de Xygeni Security, Jesús Martín lleva más de 25 años en el mercado de la ciberseguridad. Nos cuenta que a finales de 2020 ya se dieron cuenta de que “los atacantes ya no se estaban centrando tanto en atacar las aplicaciones, sino en atacar cualquier elemento de la cadena suministro de software, bien un pipeline, un paquete open source o un proceso de despliegue de aplicaciones». Se dieron cuenta de que, a pesar de que en el mercado existían algunas utilidades, no había muchas soluciones que abordaran la problemática, “y decidimos crear una solución que tratara de proteger a nuestros clientes desde el principio hasta el final, en lo que son los activos de la cadena de suministro de software”. A primeros de 2021, recuerda, es cuando se produce la debacle de SolarWinds, que, para Jesús Martín “es el despertar de la industria en este tipo de ataques”.
Respecto de la solución específica que propone Xygeni Security, busca “cubrir todos los activos que hay en la cadena de suministro”. Si tuviera que identificar algo que les diferenciara de otras soluciones, menciona Jesús Martín dos elementos. El primero tiene que ver con ASPM, o “dar visibilidad y asegurar la cadena de suministro software”, y donde la compañía, que recibió un premio en la RSA como solución pionera, se considera líder gracias a su exclusiva capacidad de escaneo de códigos maliciosos, algo que aseguran que es inigualable en el mercado ASPM.
El segundo elemento diferenciador mencionado por Jesús Martín tiene que ver, precisamente, con “la detección temprana, y en tiempo real, de lo que son paquetes maliciosos en el mundo del open source”. Explica el directivo que las compañías se centran mucho en las vulnerabilidades, pero no tanto “en el malware que puedan contener esos paquetes open source. Somos de los pocos especialistas del mundo que hacemos este tipo de cosas”, asegura el directivo.
Sobre ASPM,que estará presente en el 40 por ciento de las compañías para 2026 según Gartner, “viene a cubrir un problema que tienen los clientes hace mucho tiempo, sobre todo los grandes”, asegura el CEO de Xygeni Security, añadiendo que lo habitual es que utilicen muchas herramientas de distinto ámbito y “no han unificado lo que es la postura de seguridad de la aplicación completa”. Contar con diferentes herramientas les impide tener una visión completa, y la apuesta es “unificar todas esas vulnerabilidades en un solo punto, tener todo el contexto de lo que es la aplicación y poder priorizar de una manera inteligente y, sobre todo, poder remediar de una manera lo más automáticamente posible”.
Preguntado por los retos que existen a la hora de llevar la seguridad al mundo del desarrollo de las aplicaciones, menciona Jesús Martín dos. Por un lado, asegura que los clientes “siguen centrándose mucho en las aplicaciones y no prestan tanta atención a que al final el atacante va a conseguir unas credenciales y va a entrar en nuestro sistema DevOps, en nuestro sistema de desarrollo y despliegue, se va a mover lateralmente y nos va a atacar”. Tiene claro el directivo que hay que proteger los pipelines, los procesos de desarrollo, todos los activos de nuestra cadena de suministro.
En referencia al mundo del código abierto, asegura que solo el 82% de los paquetes open source están analizados, y añade que solo el 50 % de las vulnerabilidades están en una base de datos que luego consultan los analistas de seguridad; “es decir, realmente hay una desprotección importante”, y que Xygeni Security cuenta con un mecanismo de detección temprana y en tiempo real “para que aquel que va a utilizar un paquete, sepa si está infectado o no con cualquier tipo de malware antes de emplearlo”.
Explica Jesús Martín que los grandes fabricantes de seguridad de aplicaciones están tratando de crear esa postura de seguridad global para que las compañías puedan priorizar y remediar todo lo que tiene que ver con las vulnerabilidades de aplicaciones, “pero se centran mucho en dar una solución sobre sus herramientas”, y es difícil encontrar un cliente que tenga muchas herramientas de un mismo fabricante. Añade que uno de los grandes retos de ASPM, y que viene a solucionar Xygeni, “es ser capaz de ingestar datos de todas esas herramientas que el cliente integradas, complementar lo que no tiene y, a partir de ahí, unificar todos esos datos para correlacionarlos y priorizarlos”.
Por otra parte, hay clientes que han dedicado tiempo a construir soluciones que fundamentalmente unifican vulnerabilidades de distintos sistemas. El reto para Xygeni es explicar a los clientes que lo que ha hecho está bien porque unifica, pero que adolece de lo que es realmente un ASPM: “la correlación de datos, la priorización inteligente y la de remediación automática”, con lo que va a ganar productividad en el desarrollo de sus aplicaciones.
Cualquier cliente que desarrolle software y le preocupe la seguridad es un cliente potencial de Xygeni Security, comenta su co-fundador. En cuanto al modelo de negocio, está basado en suscripciones y con descuentos en función del volumen de desarrollo que haga.
A pesar de ser compañía española, nuestro mercado se abordó más tarde “por un tema de madurez y regulación”. Y es que el impacto del ataque a SolarWindws llevó a la Casa Blanca a emitir una orden ejecutiva que fomentaba la seguridad en la cadena de suministro de software, algo que ya queda recogido en NIS2, que será de obligado cumplimiento a partir de octubre del 2024. “En la actualidad tenemos en torno a unos doce clientes en España, y esperamos tener unos 25 o 30 clientes antes de final de año en España”.
En cuanto al roadmap, la solución ASPM de Xygeni cubre desde el desarrollo de la aplicación hasta la puesta en producción de la aplicación, “y queremos llegar a lo que es el run time, a la aplicación en funcionamiento. Para eso nos estamos integrando ya con soluciones líderes en el de mercado”. Y desde el punto de vista de la detección temprana de paquetes maliciosos en open source, “ahí estamos en constante investigación y evolución, porque los atacantes van por adelante siempre y sacan cosas nuevas”.
