Entrevista con | Jesús García CTO (Reveald)
Por Rodolfo Vélez | Neuron Business Media
La ciberseguridad está viviendo un cambio radical impulsado por la inteligencia artificial, la automatización y el modelo Zero Trust. En esta entrevista, Jesús García, CTO de Reveald, explica por qué las defensas tradicionales ya no son suficientes ante ataques que evolucionan diariamente. Su enfoque se centra en la validación continua y en medir la resiliencia real de los sistemas mediante plataformas capaces de simular brechas y evaluar cada capa tecnológica. García destaca la transición hacia modelos como MPDR y la importancia de justificar la inversión en seguridad mediante el Return on Prevention. El futuro: anticipación, no reacción.
En un panorama donde los ataques cibernéticos evolucionan más rápido que las defensas, la pregunta ya no es si una empresa será atacada, sino cuándo y qué tan preparada estará para resistirlo. Jesús García, Chief Technology Officer (CTO) de Reveald, lo tiene claro: la clave está en la validación continua.
Durante su conversación con Neuron Business Media, García desmenuzó la transformación radical que vive la industria de la ciberseguridad impulsada por la inteligencia artificial (IA), la automatización y el enfoque Zero Trust. Desde su posición en Reveald —empresa pionera en Continuous Threat Exposure Management (CTEM) y creadora de la plataforma Epiphany Validation Engine (EVE)—, lidera el desarrollo de tecnologías capaces de emular ataques reales para probar, en tiempo real, la fortaleza de las defensas corporativas.
“El error más grande en ciberseguridad es confiar en que estás protegido solo porque tienes herramientas instaladas. Las amenazas cambian todos los días, y la única manera de saber si realmente estás seguro es poniendo a prueba tus sistemas constantemente”, señala García.
De la defensa reactiva al modelo de validación continua
La conversación con García parte de una realidad: los atacantes hoy utilizan inteligencia artificial para mutar, aprender y evadir. El ransomware polimórfico —capaz de cambiar su código y escapar a las detecciones tradicionales— es apenas un ejemplo de cómo la IA está del lado equivocado de la ecuación.
“Los atacantes están utilizando IA para crear código cambiante, simular comportamientos humanos y coordinar ataques en enjambre. Ante eso, las defensas estáticas ya no sirven. La única estrategia viable es validar y medir continuamente la eficacia de las defensas.”
Este principio ha impulsado el desarrollo de IF, la plataforma de Reveald que simula brechas de seguridad reales y ejecuta malware sintético y real dentro de entornos controlados. Su propósito: ofrecer una radiografía precisa del estado de las defensas, desde los controles de red hasta la respuesta del personal.
“IF no solo emula ataques; valida todo el ecosistema: el correo, los accesos, las políticas de Zero Trust. No busca vulnerar, sino comprobar que tus sistemas pueden resistir”, explica el CTO.
Zero Trust: de la filosofía a la operacionalización
El término Zero Trust ha sido adoptado globalmente como una estrategia de seguridad moderna. Pero García enfatiza que la mayoría de las empresas aún lo interpretan de forma superficial.
“Zero Trust no es un eslogan, es un modelo operativo. No se trata solo de verificar a los usuarios, sino de validar continuamente cada capa tecnológica, cada endpoint, cada aplicación. En Reveald lo llevamos a la práctica con telemetría, inteligencia artificial y simulaciones constantes.”
La compañía ha trabajado de la mano con los lineamientos originales del estándar definido por John Kindervag, el creador del modelo Zero Trust. Con EVE, su plataforma basada en IA, Reveald da un paso más allá al automatizar la evaluación de exposición al riesgo y medir la resiliencia ambiental de los sistemas frente a ataques avanzados.
“El objetivo es que las organizaciones puedan ver el riesgo como una condición viva —no como una auditoría anual—. La validación continua cierra el ciclo entre prevención, detección y respuesta.”
Ciberseguridad 360 y MPDR: el nuevo estándar operativo
García sostiene que el viejo paradigma del MDR (Managed Detection and Response) ha evolucionado hacia un modelo más integral: MPDR (Managed Prevention, Detection and Response).
Este enfoque prioriza la prevención y la gestión proactiva de las amenazas, en lugar de esperar a que los ataques sucedan. La combinación con la filosofía de Ciberseguridad 360 —que contempla todo el entorno digital, desde los usuarios hasta las APIs— está marcando una nueva era en la gestión de riesgos tecnológicos.
“La seguridad ya no se limita a proteger el perímetro. Hoy todo es perímetro: los datos, la nube, los dispositivos móviles, los colaboradores remotos. Necesitamos un modelo que cubra cada punto de exposición y valide su resiliencia.”
El reto de invertir en algo que no se ve
Una de las reflexiones más contundentes de la entrevista fue sobre el reto empresarial de invertir en ciberseguridad. García reconoce que, aunque los líderes son conscientes del riesgo, la ciberseguridad sigue viéndose como un gasto “intangible”: una inversión destinada a prevenir algo que tal vez nunca ocurra.
“Las empresas no dudan en invertir millones en marketing o innovación, porque son tangibles. Pero en ciberseguridad, el éxito es invisible: significa que nada pasa. Esa es la paradoja. Por eso el reto no es convencer de la necesidad, sino demostrar el valor de una protección validada.”
Esa visión está transformando cómo los directores financieros (CFOs) y de tecnología (CIOs y CISOs) evalúan el retorno de inversión (ROI) en ciberseguridad. Reveald propone una métrica diferente: el Return on Prevention (ROP) —el valor de cada incidente que no ocurrió gracias a una defensa anticipada y validada.
IA y automatización: aliados del talento, no reemplazos
En un punto crítico del diálogo, García abordó la transformación del talento en ciberseguridad frente a la irrupción de la IA. Aunque muchos temen que las máquinas sustituyan a los analistas humanos, el CTO tiene una visión más matizada.
“La IA no va a reemplazar a los expertos en seguridad. Lo que va a hacer es liberarlos de tareas repetitivas para que se enfoquen en lo que las máquinas aún no pueden hacer: interpretar, decidir, anticipar.”
Para García, el futuro del talento en ciberseguridad será híbrido: profesionales capaces de entender los fundamentos técnicos, pero también de gestionar riesgos, interpretar datos y comunicar valor al negocio.
“Los nuevos perfiles combinarán pensamiento analítico, dominio de IA y comprensión estratégica. No basta con saber de firewalls; hay que saber de negocio”, advierte.
El CTO como estratega: tecnología con propósito
García distingue dos tipos de CTO: el constructor y el optimizador. En empresas tecnológicas como Reveald, el CTO es un creador de producto, responsable de innovar y diferenciar. En cambio, en compañías no tecnológicas, su rol se centra en eficiencia, automatización y productividad.
“Construir tecnología es mucho más difícil que venderla. Cuando creas algo realmente nuevo, no compites en precio, compites en valor. Eso es lo que hace sostenible la innovación.”
Esa mentalidad ha permitido a Reveald posicionarse como líder en una nueva categoría: la validación proactiva de la ciberdefensa, un enfoque que promete redefinir la preparación frente a amenazas para los próximos años.
Un mensaje para los líderes empresariales
Antes de concluir la entrevista, Jesús García dejó un mensaje claro para los directivos y tomadores de decisiones:
“No esperen al próximo ataque para actuar. Evalúen sus herramientas, validen sus defensas, midan su exposición. En ciberseguridad, la ignorancia no es inocencia: es riesgo.”
Su visión encapsula la nueva mentalidad que las organizaciones deben adoptar: una en la que la ciberseguridad se integra a la estrategia corporativa como un habilitador de confianza, continuidad y competitividad.
Conclusión: de la protección a la anticipación
La conversación con Jesús García refleja una verdad innegable: el futuro de la ciberseguridad será continuo, automatizado y medible. Los líderes que entiendan este cambio —y lo traduzcan en estrategias validadas— serán quienes logren proteger no solo sus datos, sino también su reputación y su capacidad de innovar.
