Los inicios: de la ciberseguridad técnica a la automatización del diseño seguro
La historia de IriusRisk no comienza con una idea de negocio, sino con una carrera profesional profundamente técnica. Stephen de Vries ha pasado buena parte de su vida analizando por qué los sistemas fallan desde el punto de vista de la seguridad. Primero como desarrollador, después como consultor en pruebas de penetración, y más tarde como formador en seguridad de aplicaciones, fue testigo directo de cómo muchas vulnerabilidades nacían ya en la fase de diseño.
A principios de los años 2000, la segu
ridad del software empezó a consolidarse como una disciplina propia. Stephen se especializó en este ámbito y colaboró activamente con iniciativas abiertas como OWASP, contribuyendo a establecer buenas prácticas tanto para identificar fallos como para desarrollar aplicaciones más seguras. Tras mudarse de Sudáfrica a Londres y, años después, establecerse en España junto a su mujer, Cristina Bentue, ambos pusieron en marcha una empresa de consultoría desde la que trabajaban para clientes internacionales.
Fue precisamente esa actividad repetitiva —explicar una y otra vez cómo diseñar sistemas seguros— la que encendió la chispa. La repetición constante de ese proceso le llevó a plantearse cómo convertirlo en algo escalable, automatizable y menos dependiente de intervención manual. La transición no fue abrupta ni tuvo un “día uno” claro. El proyecto empezó de forma progresiva en torno a 2015, combinando consultoría para generar ingresos con el desarrollo de un producto que automatizara el threat modeling. Cuando las primeras licencias de software permitieron dejar atrás los servicios, IriusRisk nació definitivamente como empresa de producto.
La empresa hoy: escalar la seguridad donde antes no era posible
IriusRisk automatiza un proceso crítico en grandes organizaciones: el análisis de la seguridad de sistemas complejos desde la fase de diseño. Tradicionalmente, este trabajo recaía en arquitectos de ciberseguridad altamente especializados y requería días o semanas de análisis manual. Como consecuencia, las empresas solo podían aplicar threat modeling a un número muy limitado de aplicaciones críticas.
La plataforma desarrollada por IriusRisk cambia ese paradigma. Permite que perfiles no expertos en ciberseguridad diseñen sus sistemas y obtengan automáticamente las amenazas y los controles de seguridad necesarios. Gracias a esta automatización, empresas con miles de aplicaciones pueden ahora analizar la totalidad de su ecosistema tecnológico. Algunos de sus clientes superan las 12.000 aplicaciones analizadas, algo impensable con enfoques manuales.
La diferenciación de la compañía se apoya en dos pilares clave. Por un lado, una base de conocimiento propia sobre amenazas y controles de seguridad aplicada a múltiples t
ecnologías —desde cloud y sistemas empresariales hasta dispositivos médicos o entornos de inteligencia artificial— construida internamente a lo largo de los años. Por otro, una plataforma altamente configurable, capaz de adaptarse a los requisitos específicos de cada organización, ya sea un banco, una teleco o una gran empresa industrial.
En términos de negocio, IriusRisk mantiene una posición especialmente sólida en el sector financiero, con varios bancos de importancia sistémica entre sus clientes. A este crecimiento se suma un hito estratégico: la fusión con ThreatModeler.
Esta operación marca un nuevo capítulo para la compañía. La combinación de las bases de conocimiento de ambas empresas está permitiendo a IriusRisk transformarse en una compañía claramente AI-first. El objetivo es entrenar modelos propios de inteligencia artificial especializados en arquitectura de sistemas y threat modeling, con la ambición de convertirse para este ámbito en lo que los grandes modelos generalistas han sido para la IA de propósito general: más escala, más automatización y mayor facilidad de uso.
El camino con Swanlaab: disciplina, ventas y una relación de largo plazo
El primer contacto con Swanlaab llegó de forma casi casual, tras una ponencia de Cristina en un evento de ciberseguridad. De aquella conversación surgió una ronda seed, aunque la compañía ya era rentable y generaba ingresos. Fue, eso sí, la primera vez que IriusRisk incorporaba capital institucional a su estructura.
Desde los primeros momentos, la relación se caracterizó por dos elementos clave. El primero fue la introducción de una disciplina de reporting financiero mucho más rigurosa de la que la compañía tenía hasta entonces. Aunque al principio fue recibida con cierta resistencia, con el tiempo se convirtió en una de las herramientas que más valor aportó a la profesionalización del proyecto.
El segundo elemento fue la construcción de una relación de confianza personal a largo plazo. IriusRisk recibió inversión de Swanlaab en 2017 y, casi nueve años después, esa confianza sigue siendo uno de los activos más valorados por el fundador. Contar con un inversor con el que se puede hablar con franqueza, pedir consejo y recibir respuestas honestas ha sido, en sus propias palabras, un factor clave en un camino largo y exigente.
Más allá de la confianza, Swanlaab tuvo un papel especialmente relevante en una de las áreas más críticas del negocio: las ventas. Para un equipo con un ADN profundamente técnico, estructurar un motor comercial sólido no fue sencillo. El apoyo en la definición del outbound, la gestión del funnel, el pipeline y la incorporación de perfiles comerciales adecuados permitió transformar lo que era una de las partes más débiles de la compañía en una de las más sólidas.
Por eso, si hoy tuviera que aconsejar a otro founder que esté valorando incorporar a Swanlaab en su cap table, Stephen lo tendría claro: el capital importa, pero no todo el capital es igual. Más allá del dinero, contar con un socio que aporta criterio, experiencia operativa y una relación basada en la confianza marca una diferencia real. En una frase, define a Swanlaab como un socio verdaderamente confiable.
Detrás del founder: resolver problemas bajo presión
Para Stephen, lo más gratificante de ser founder no es tanto el crecimiento en sí como la resolución de problemas complejos. Afrontar retos difíciles junto al equipo, con restricciones reales de capital y recursos, y encontrar soluciones viables es lo que le resulta más satisfactorio del rol.
No todo es sencillo. La gestión de personas es, según reconoce abiertamente, la parte más complicada y menos atractiva de su día a día. Para equilibrar la presión y la incertidumbre, recurre a hábitos muy concretos: actividad física, montaña, alpinismo invernal y rutinas sencillas como levantarse temprano y empezar el día al aire libre.
Su estilo de liderazgo ha estado influido por referentes que lideraban con el ejemplo más que desde la jerarquía. Especialmente relevante fue un antiguo manager en una consultora británica que le mostró que se puede ser exigente y brillante sin caer en un exceso de rigidez, incorporando también una dimensión más humana y ligera al entorno profesional.
Propósito y futuro: anticiparse a la seguridad antes de que exista el problema
Aunque IriusRisk opera en un nicho muy específico dentro de la ciberseguridad —y este, a su vez, dentro del sector tecnológico—, Stephen considera que el impacto es real. Ayudar a las empresas a construir sistemas más seguros tiene consecuencias tangibles y duraderas.
Mirando al futuro, lo que más le ilusiona es el potencial de la inteligencia artificial para cambiar el enfoque de la seguridad. Pasar de analizar sistemas ya construidos a analizar la intención de diseño antes de que existan abre un nuevo nivel de valor para los clientes. Esa idea, que hace unos años parecía ciencia ficción, hoy ya es una realidad en los productos de la compañía.
Si tuviera que resumir su camino emprendedor en una frase, sería: pasar de construir un producto a construir una empresa. Y si tuviera que elegir una palabra para definir la historia de IriusRisk, sería “empatía”: entender profundamente los problemas de los clientes como punto de partida para construir soluciones reales y escalables.
