“El pentesting debe formar parte de la estrategia de ciberseguridad”
El nombre Synack viene de un pilar de la ciberseguridad: el “three way handsake”, que se usa para crear conexiones de red de confianza entre dispositivos, garantizando que ambos estén listos para la comunicación. En ese flujo constante de datos, los dos fundadores de la compañía, que habían trabajado en la NSA, vieron el potencial de juntar la tecnología y la inteligencia humana para proteger el mundo digital. Hablamos con Alejandro Novo, Country Manager de Synack para Iberia.
Entrevista con Alejandro Novo, Country Manager de Synack: “El pentesting debe formar parte de la estrategia de ciberseguridad”
¿Qué ofrece Synack y qué lo diferencia de otras empresas de pentesting?
Nuestro modelo no tiene nada que ver con el pentesting tradicional, que normalmente se realiza por una o dos personas en un tiempo reducido y de forma puntual. Synack ofrece pentesting continuo en el tiempo, con una tarifa fija, lo que permite controlar los costes y asegurar que los activos digitales están protegidos en todo momento. Se trata de que el pentesting sea estratégico, no táctico, y para ello contamos con una plataforma tecnológica de gran valor para los clientes y un equipo humano formado por más de 1.500 investigadores de distintos países altamente cualificados, llamados Synack Red Team.
Como comentaba, además, nosotros cobramos una tarifa fija, e independientemente de si encontramos una o 1.000 vulnerabilidades, el cliente tiene una clara estimación de costes, algo que con otros modelos no es posible.
¿Cómo ve el mercado? ¿Está preparado para el Pentesting as a Services (PTaaS)?
El pentesting as a service surge precisamente como respuesta a las nuevas necesidades de las empresas, cuya superficie de ataque está creciendo de forma continuada, y con ciberamenazas que aprovechan tecnologías como la IA para multiplicar las agresiones, lo que ha hecho que los modelos tradicionales de pentesting no sean suficientes.
El PTaaS permite realizar al instante pruebas de penetración flexibles y escalables, en cualquier momento. De hecho, Gartner estima que, en 2026, las organizaciones que utilizan PTaaS realizarán sus pruebas de penetración con 10 veces más frecuencia y remediarán 2 veces más rápido que las que utilizan pentesting manual.
¿Cómo funciona la plataforma de Synack?
Se trata de una plataforma que conecta el mundo de los clientes con el Synack Red Team y a través de la cual los clientes no solo definen los activos que forman parte del servicio, sino que adicionalmente pueden interactuar con los propios profesionales que realizan las pruebas de pentest. Ofrece todo el control y visibilidad de la superficie de ataque, muestra patrones y fallos en el programa de seguridad, permite a las organizaciones actuar sobre vulnerabilidades críticas y ofrece informes de alto nivel que pueden ser mostrados a la dirección.
Es decir, la plataforma de Synack engloba toda la información para los clientes, y es donde éstos pueden ver la evolución de su programa de seguridad. El cliente también puede comunicarse con los investigadores que están trabajando en su caso para entender las vulnerabilidades que se han encontrado y cómo pueden remediarse. Para el cliente es una plataforma totalmente automatizada, aunque detrás hay un equipo humano que es quien aporta la diferencia y quien encuentra vulnerabilidades que una plataforma totalmente automatiza no puede encontrar.
Háblenos del equipo de investigadores
Contamos con un equipo de hackers éticos altamente cualificado, formado por más de 1.500 personas de distintos países que prestan servicio a través de nuestra plataforma. Y esto es importante, ya que en cada país se utilizan distintas tácticas y esto nos permite ponernos en la mente de cualquier cibercriminal.
A cada cliente destinamos un equipo de entre 50 y 100 investigadores que van rotando cada mes, lo que garantiza unos recursos que ninguna empresa podría alcanzar por sí misma.
¿Quién puede ser hacker de Synack? ¿Cómo garantizan que se trata de hackers éticos?
Para entrar en el Red Team se pasan controles de seguridad muy exhaustivos en un proceso largo. De las personas que intentan entrar en el equipo, no consigue pasar más de un 5%. Es Synack quien responde ante el cliente, quien asume la responsabilidad legal si algo falla, por lo que nos aseguramos de que nuestros investigadores sean totalmente fiables.
¿Cómo ve el mercado en España? ¿Están las empresas maduras para este modelo de pentesting?
Solemos trabajar con empresas que cuentan con activos muy críticos y con muchos cambios a lo largo del tiempo: bancos, aseguradoras, telecomunicaciones, etc. Con ellas definimos qué activos y aplicaciones son críticos y susceptibles de incluir en el pentesting continuo. El resto de aplicaciones pueden testearse de forma puntual, cuando sea necesario.
Se trata de empresas maduras en lo que se refiere a políticas de seguridad. Además, nuestro modelo permite situar el pentesting desde el primer momento, en las fases de preproducción y testeo. Este tipo de empresas es la que requiere un pentesting continuo.
En España tenemos ya una buena base de clientes, muchas de ellas empresas del Ibex 35, y esperamos seguir creciendo tanto de forma directa como a través de alianzas y del canal.
Powered by WPeMatico
