En un mundo empresarial cada vez más interconectado, las amenazas cibernéticas no siempre llegan por la puerta principal. El pasado jueves, Riskblade reunió en Madrid a expertos en ciberseguridad, compliance, regulación y tecnología para celebrar la primera edición del Riskblade Connect – The Third-Party Connection Summit, un foro diseñado para reflexionar sobre los nuevos desafíos de seguridad que surgen fuera de los límites clásicos de las organizaciones. En conversación con El Diario de Madrid, Carlos Morell, CEO y fundador de Riskblade, expone por qué los terceros se han convertido en el nuevo eslabón crítico de la ciberseguridad y cómo su plataforma ayuda a mapear, monitorizar y mitigar estos riesgos de forma continua y automatizada.
¿Cómo llega usted al mundo de la ciberseguridad? ¿Cuál ha sido su recorrido profesional hasta convertirse en CEO de Riskblade?
Desde el inicio de mi carrera he estado vinculado al mundo tecnológico, pero mi verdadero punto de inflexión llegó cuando comencé a trabajar con organizaciones que gestionaban datos altamente sensibles. La creciente sofisticación de las amenazas y la expansión del ecosistema digital me hicieron ver que la ciberseguridad no podía ser una capa adicional, sino un eje central. Antes de fundar Riskblade, trabajé durante más de una década en dirección estratégica y operaciones en empresas del sector, y allí descubrí que el eslabón más débil no siempre está dentro... sino fuera: en los terceros.
¿Qué es lo que más le apasiona de liderar una empresa como Riskblade?
El impacto. Saber que lo que estamos construyendo ayuda a las empresas a protegerse en un entorno donde la amenaza no siempre tiene forma de ataque directo, sino de acceso lateral a través de terceros. De unos terceros que tienen nuestra confianza y que, a veces, eso nos hace más vulnerables. Me apasiona trabajar con un equipo multidisciplinar que combina ingeniería, inteligencia y visión de negocio.
¿Qué tipo de liderazgo considera fundamental en una empresa que opera en un sector tan crítico y cambiante?
Un liderazgo con visión, pero también con flexibilidad. La ciberseguridad evoluciona a diario, y eso exige líderes que escuchen, que aprendan constantemente y que sepan anticiparse. Para mí, liderar no es saber todas las respuestas, sino hacer las preguntas correctas y guiar al equipo con amabilidad y propósito.
¿En qué momento surge la idea de crear Riskblade y con qué objetivo principal?
Riskblade nació al detectar un vacío claro: la mayoría de las organizaciones están expuestas a cientos de conexiones con terceros —proveedores, partners, software externo— sin una visibilidad real sobre el riesgo que suponen. Nuestro objetivo fue claro desde el principio: ayudar a las empresas a entender, controlar y mitigar el riesgo de sus terceros de forma automatizada y continua.
¿Qué tipo de organizaciones necesitan Riskblade?
Cualquier empresa que tenga relaciones con terceros, desde una startup hasta una multinacional. Hoy en día, incluso una simple API puede convertirse en una puerta de entrada para una amenaza. Riskblade es particularmente relevante en sectores regulados como banca, salud, energía o telecomunicaciones, donde las normativas exigen no solo protección propia, sino supervisión de terceros. Ahí es donde se convierte en una herramienta clave de la estrategia de ciberseguridad de las organizaciones, que debe extenderse más allá de las propias fronteras de la empresa.
¿Cómo funciona exactamente Riskblade? ¿Qué capacidades ofrece a sus usuarios?
Riskblade es una plataforma que permite mapear, monitorizar y evaluar el riesgo asociado a terceros con los que una organización se conecta. Ofrecemos un análisis continuo de seguridad, cumplimiento y gobernanza de cada proveedor, con dashboards accionables, automatización de procesos y evaluaciones, y alertas proactivas. Todo esto en una única solución SaaS fácil de integrar.
¿Qué diferencia a Riskblade de otras herramientas de evaluación de riesgo de terceros?
Nuestra diferencia clave es la automatización continua y la inteligencia contextual. No se trata solo de evaluar una vez al año a un proveedor, sino de entender cómo evoluciona su riesgo en tiempo real. Tener un control real sobre los riesgos que puedan afectar a tu empresa y tener la capacidad de mitigarlos, seguirlos y automatizarlos. Además, no solo medimos ciberseguridad, sino cumplimiento regulatorio, exposición pública y comportamiento de red.
¿La solución se adapta al tamaño y madurez digital de la empresa cliente?
Absolutamente. Riskblade es modular y escalable. Una empresa mediana puede empezar con una capa de visibilidad básica y evolucionar hacia un modelo más maduro con integraciones complejas y análisis predictivo. La flexibilidad es parte de nuestro ADN.
¿Qué papel juega la inteligencia artificial dentro de la solución?
Creemos que la inteligencia artificial es importante, pero sin una capa humana que la supervise aún no puede actuar. Ese es el enfoque con el que trabajamos en Riskblade. Usamos IA para detectar patrones de riesgo, priorizar alertas y sugerir medidas correctivas. Gracias al machine learning, Riskblade aprende del comportamiento de cada proveedor y mejora sus evaluaciones con el tiempo.
¿Cuál ha sido la respuesta del mercado hasta ahora?
Muy positiva. En poco tiempo hemos conseguido entrar en sectores muy exigentes y nos han confiado la gestión de ecosistemas de terceros críticos. Muchas empresas nos dicen: “Ahora sí entiendo dónde están mis riesgos”. El año pasado nos presentamos en casa, en Enise, el encuentro de ciberseguridad nacional por excelencia, y tuvimos una acogida muy buena. Este año hemos acudido a la RSA Conference en San Francisco y a Money 20/20 en Amsterdam. Cada vez que presentamos la solución, nos dicen que era justo lo que necesitaban.
¿Ha logrado Riskblade algún reconocimiento internacional?
Me alegra que me lo preguntes porque la respuesta es que sí. En tan poco tiempo hemos logrado que Gartner reconozca nuestra solución. Esto ha supuesto un hito para nosotros, lo hemos conseguido en muy poco tiempo.
¿Cuál es su visión a medio y largo plazo para Riskblade?
Queremos convertirnos en la plataforma de referencia europea para la gestión de riesgos de terceros. A largo plazo, aspiramos a consolidarnos como una herramienta esencial para la resiliencia operativa en cualquier estrategia de ciberseguridad empresarial.
¿Habrá nuevas funcionalidades próximamente?
Sí, estamos trabajando en módulos de evaluación ESG de proveedores, en scoring reputacional en tiempo real y en capacidades de respuesta automatizada ante incidentes relacionados con terceros. Todo orientado a ofrecer una visibilidad 360º.
¿Qué representa para usted y para la compañía este primer #RiskbladeConnect? ¿Con qué vocación nace?
Es mucho más que un evento: es el punto de encuentro de una comunidad que entiende que la seguridad no acaba en el perímetro de la organización. Queremos abrir el diálogo entre CISOs, DPOs, responsables de compliance y tecnología, y sentar las bases de una nueva cultura del riesgo compartido. El medio para hacerlo es este evento que nace ahora pero que no pretende quedarse aquí.
¿A quién está dirigido el evento y qué podrán esperar los asistentes?
Está dirigido a todos los profesionales implicados en la relación digital con terceros y a las personas que toman decisiones en las empresas relativas a la ciberseguridad. Los asistentes encontrarán ponencias de alto nivel, paneles interactivos, casos reales y sobre todo networking de calidad. Es un summit para aprender, compartir y construir. Todo ello con un ambiente relajado y dinámico.
¿Qué temas destacaría de la agenda de esta primera edición?
Hablaremos de marcos normativos como DORA o NIS2, del futuro de las auditorías de terceros, de cómo la IA impacta en la relación con proveedores, y presentaremos estudios inéditos sobre la exposición real de las empresas en entornos interconectados.
¿Cuál es, en su opinión, el mayor riesgo hoy en día en materia de ciberseguridad para las empresas?
La falsa sensación de seguridad. Muchas organizaciones se creen protegidas porque han reforzado su infraestructura interna, pero ignoran que sus terceros pueden ser vectores de ataque más vulnerables. No hay ciberseguridad sin visibilidad extendida.
¿Qué opina sobre las nuevas normativas como DORA o NIS2?
Creo que son necesarias y bien orientadas. Obligan a las empresas a mirar más allá de su perímetro y a establecer procesos sólidos de evaluación y gobernanza de terceros. En Riskblade, muchas de nuestras funcionalidades ya están alineadas con estos marcos.
¿Cómo ve el papel de Europa en la gobernanza digital y la ciberseguridad?
Europa ha dado pasos importantes en la protección de datos y en la exigencia regulatoria, pero aún necesitamos más colaboración entre estados y más inversión estratégica. El liderazgo digital no es solo una cuestión tecnológica, sino también ética y política.
¿Qué consejo le daría a un CEO que quiere empezar a gestionar mejor el riesgo de terceros?
Que empiece por mapear. No puedes proteger lo que no ves. Lo siguiente es priorizar: no todos los terceros son iguales. Y finalmente, que no lo vea como un proyecto puntual, sino como una capacidad continua. Para eso está Riskblade. Siempre encantados de ayudar en ese propósito a las empresas.
Y para terminar, ¿cómo imagina el futuro de la ciberseguridad en cinco años?
Lo imagino más automatizado, más colaborativo y más transversal. Las barreras entre ciber, negocio, legal y compliance se van a diluir. La ciberseguridad será parte del ADN de toda decisión empresarial. Y Riskblade estará ahí, impulsando esa transformación.
