Cómo Rafael Ruiz protege a las PYMES de ciberataques con CUSTM

¡Hola emprendedor/a! 

¿Preparado para sumergirte en la inspiradora trayectoria de CUSTM? Verás cómo una idea puede convertirse en una oportunidad real, superando cada obstáculo con ingenio y visión. ¡Vamos a ello!

Resumen ejecutivo. One pager de la empresa

• Nombre empresa y marca comercial: CUSTM
• Nombre del Fundador, promotor principal: Rafael Ruiz López, originario de España.
• País de arranque (ISO‑2): España.
• Año fundación: 2025.
• Sector principal | secundarios: Ciberseguridad | Software/Hardware, Logística, Alimentación y Bebidas.
• Web empresa: https://custm.es/
• Redes sociales empresa:
  • LinkedIn: https://www.linkedin.com/company/custm-es/
  • Instagram: https://www.instagram.com/custm_es/
  • X (anteriormente Twitter): https://x.com/custm_es
• Datos actuales (último cierre):
  • Facturación €: 0€ (últimos 12 meses, en fase pre-seed).
    
  • Nº empleados: 3.
  • Nº usuarios/clientes: 0 actuales (en fase de validación). Proyectan 7 clientes en el primer trimestre y 58 al final del primer año.
    

Origen de la oportunidad de negocio

• Problema / “Aha moment” – ¿Qué necesidad detectasteis? ¿qué problema resuelve?

Todo empezó con una observación clave: muchas empresas, especialmente las PYMES del sector de la distribución de alimentos, no están invirtiendo lo suficiente en ciberseguridad. A pesar de la creciente amenaza de ataques como el secuestro de datos (ransomware), la mayoría no es consciente del riesgo hasta que les golpea de cerca. Esto les lleva a pérdidas enormes. ¡Aquí estaba la oportunidad! Detectaron la necesidad imperante de soluciones de ciberseguridad específicas, asequibles y fáciles de usar para este nicho.

• Primeros pasos – Cómo convertisteis la idea en oportunidad.

CUSTM se propuso resolver este dolor de cabeza ofreciendo una solución «llave en mano»: un dispositivo de hardware/software de ciberseguridad que protege tanto desde el exterior como desde el interior de la empresa. No se trata de soluciones genéricas, sino de un sistema modular y personalizable, que incluye desarrollo de aplicaciones a medida, almacenamiento seguro de datos, VPN, gestión de redes, formación y auditorías. ¡Imagina una «caja negra» con todo lo necesario para proteger sus operaciones sin complicaciones! Este enfoque les permite ofrecer una propuesta de valor única: minimizar riesgos como el secuestro de datos o el espionaje industrial, mejorando la eficiencia a un bajo coste mensual.

• Timing, justificar por qué el momento era el adecuado, la ventana de oportunidad que aprovechó el fundador.

1. Digitalización en auge: sectores como la alimentación, bebidas y logística están viviendo una digitalización masiva. Con más de 30.000 empresas en alimentación y 210.000 en logística solo en España, la exposición a ciberataques es cada vez mayor. ¡La demanda de ciberseguridad se dispara!
2. Regulaciones más estrictas: normativas como el RGPD en Europa obligan a las empresas a reforzar su seguridad digital para evitar multas. CUSTM les ayuda a cumplir con estas exigencias.
3. Tecnología accesible: los avances tecnológicos permiten ofrecer soluciones de ciberseguridad potentes y económicas, ¡incluso para las pequeñas empresas que antes no podían permitírselo!
4. Poca competencia especializada: pocas empresas ofrecen soluciones tan personalizadas y asequibles para PYMES en distribución como la «caja negra» de CUSTM. ¡Están creando su propio «océano azul» en un nicho desatendido!

Historia de la empresa

• Origen: CUSTM nace con el propósito de proteger a las pequeñas y medianas empresas del sector de distribución de alimentos perecedderos contra ciberataques y extorsión.
• Febrero 2024: Rafael Ruiz López se da de alta como autónomo, marcando el inicio formal de esta aventura.
• Fase Pre-seed y Validación: Actualmente, CUSTM se encuentra en una fase crucial: están validando y testeando su Producto Mínimo Viable (PMV).

• Hitos Fundacionales:

  • Visión clara: han creado su Canvas y definido su modelo de negocio. Su propuesta de valor es una innovadora «caja negra» que combina hardware y software a medida para la ciberseguridad.
  • Tecnología inteligente: han seleccionado con detalle los componentes tecnológicos de su solución, buscando la calidad y la eficiencia (como routers MikroTik y PCs sin ventilador).
  • Equipo de ensueño: los tres fundadores – Rafael Ruiz (CEO, CISO), Carmen Alés López (Desarrolladora principal, futura CTO) y Elizabeth Coy Fabián (CSO, CMO, CFO) – son el corazón de CUSTM. Juntos suman más de 15 años de experiencia en desarrollo de software y hardware. ¡Su compromiso es tal que no cobrarán durante los primeros 3 meses para asegurar la viabilidad del proyecto!
  • Mercado definido: han investigado a fondo y han identificado un mercado objetivo claro y enorme: más de 3 millones de PYMES y autónomos en España, con un enfoque especial en 30.000 empresas de alimentación y bebidas y 210.000 en logística.
  • Reconocimiento externo: CUSTM ya figura en el portfolio de Andalucía Open Future, lo que valida su tecnología y les abre puertas a mentores y alianzas. Además, sus soluciones están alineadas con las recomendaciones de INCIBE y las normativas de cumplimiento como el RGPD.
  • Oferta integral: han desarrollado una oferta completa, lista para ser desplegada tanto on-premise como en la nube, para PYMES que necesitan cumplir con regulaciones estrictas.

• Mirando al Futuro (Previsiones):

  • Enero 2025: Tienen previsto el alta de su sociedad.
  • Marzo 2025: Esperan iniciar sus primeras ventas.
  • Desarrollo acelerado: Con la financiación, desarrollarán el MVP de alta fidelidad, expandirán su equipo (contratando más desarrolladores y talento clave) y lanzarán el producto al mercado para lograr las primeras ventas.
  • Superando el punto de equilibrio: Según sus previsiones financieras, esperan alcanzar el punto de equilibrio en el mes 11, un hito crucial para cualquier startup.

Momentos difíciles y cómo los superaron (¡Retos que inspiran!):

CUSTM, como todo proyecto ambicioso, ha enfrentado y sigue enfrentando desafíos, pero su enfoque proactivo y su capacidad de adaptación son clave:

• Reto 1: convencer a PYMES de invertir en ciberseguridad con presupuestos ajustados

  • Las empresas tradicionales no siempre ven la ciberseguridad como una prioridad hasta que es demasiado tarde.
    • Cómo lo superaron: su estrategia es clara: ofrecer una solución «llave en mano» y un servicio gestionado con un mensaje centrado en la continuidad operativa y la prevención de paros por ransomware. Su propuesta es asequible y escalable, diseñada para el bolsillo de la PYME.

• Reto 2: navegar el cumplimiento normativo (RGPD/LOPDGDD) y generar confianza

  • Las regulaciones son complejas y las empresas necesitan saber que sus datos están seguros.
    • Cómo lo superaron: se enfocan en el cifrado de datos, backups robustos y comunicaciones seguras, alineándose con las mejores prácticas y obligaciones regulatorias. Su propuesta de valor incluye ayudar a las empresas a cumplir con estas normativas estrictas.

• Reto 3: mantenerse al día frente a amenazas cibernéticas en constante evolución (como el ransomware)

  • El mundo de la ciberseguridad cambia rápidamente.
    • Cómo lo superaron: implementan auditorías constantes y mitigación proactiva siguiendo guías técnicas actualizadas (hardening, backups inmutables, MFA, segmentación). Utilizan tecnologías avanzadas como VPNs y almacenamiento cifrado, y ofrecen un soporte continuo y personalizado que es su gran diferencial.

• Reto 4: falta de conocimiento de la marca en el mercado inicial

  • Como startup, construir reputación lleva tiempo.
    • Cómo lo superaron: Buscarán apoyo externo en gestión empresarial y financiera para compensar sus debilidades. También fortalecerán la innovación continua en sus productos y diversificarán su cartera de clientes para evitar la dependencia.

• Reto 5: riesgo de plagio y competencia desleal

  • En un sector innovador, la protección de la propiedad intelectual es vital.
    • Cómo lo superaron: adoptan una estrategia de protección cautelosa: compartir la información mínimamente y firmar contratos de exclusividad con distribuidores y proveedores. También consideran la opción de usar acuerdos de confidencialidad (NDA) y registrar la propiedad intelectual cuando sea aplicable.

• Reto 6: superar el «Valle de la Muerte» financiero

  • Tienen una necesidad inicial de 30.000€ en los primeros 6 meses, y esperan un saldo negativo hasta el mes 16. Su punto de equilibrio no se alcanzará hasta el mes 11.
    • Cómo lo superaron: Su estrategia es el bootstrapping o autofinanciación, buscando reducir la dependencia de financiación externa a través de los ingresos generados por los clientes. Esto incluye un control eficiente del flujo de caja, la reducción de costes iniciales, la generación rápida de ingresos a través de su PMV y suscripciones, y la maximización de sus redes profesionales. Además, buscarán financiación de inversores estratégicos, programas de apoyo a la internacionalización y préstamos participativos para acelerar su crecimiento.

¡Así es como CUSTM está construyendo un futuro más seguro para las empresas de distribución, con una visión clara y una ejecución imparable!

Sprint realizados por la empresa

Modelo de negocio & ajuste al mercado

• Tipo de Modelo de negocio creado: hemos creado un modelo de negocio B2B (Business-to-Business) que combina SaaS (Software as a Service) con la provisión de hardware. Piensa en él como una «caja negra» que lleva todo lo que una empresa necesita para estar segura. Nuestros ingresos provienen de cuotas mensuales recurrentes por el mantenimiento y monitoreo de los sistemas de ciberseguridad y almacenamiento en la nube, y también de pagos puntuales por la instalación y personalización de soluciones de hardware y software a medida.
• Canvas actual de la empresa: hemos definido a fondo cada pieza de nuestro Business Model Canvas para asegurar un crecimiento sólido:
  • Segmento de clientes: nos enfocamos en las PYMES del sector de la distribución, especialmente aquellas que manejan productos perecederos. Son empresas que, a menudo, no son conscientes de los riesgos de ciberseguridad hasta que sufren un incidente. Hay un mercado enorme: más de 30.000 empresas de alimentación y bebidas y 210.000 en logística en España que necesitan nuestra protección.
  • Propuesta de valor: por un bajo costo mensual y una implementación sencilla, nuestros clientes pueden minimizar riesgos críticos como el secuestro de datos, el espionaje industrial o la pérdida de información. Ofrecemos soluciones personalizadas que se adaptan a las particularidades de cada empresa, garantizando la confidencialidad, integridad y disponibilidad de sus datos, además de mejorar la eficiencia de sus sistemas.
  • Relación con clientes: queremos construir una relación personal y de confianza desde el principio. Inicialmente, el contacto es directo con empresas vulnerables, pero nos apoyaremos mucho en socios estratégicos y asociaciones sectoriales (como las de transportistas o distribuidores de alimentación) que ya tienen la confianza de nuestros clientes potenciales. Ofreceremos soporte técnico personalizado y una relación a largo plazo.
  • Actividades clave: nuestras actividades centrales incluyen el desarrollo e implementación de soluciones de hardware/software de ciberseguridad a medida, el almacenamiento seguro de datos, la implementación de VPNs, la gestión de equipos y redes, y la formación y auditorías continuas. También usamos distribuidores tecnológicos para la comercialización e instalación y analizamos datos constantemente para mejorar el producto.
  • Recursos clave: nuestro mayor activo es nuestro equipo humano altamente cualificado con experiencia en ciberseguridad y desarrollo de aplicaciones. También necesitamos una infraestructura tecnológica sólida (servidores seguros, licencias de software, VPNs, firewalls), capital inicial, y nuestra propiedad intelectual y know-how. Además, contamos con una base de datos de clientes potenciales y la capacidad de registro de marca.
  • Socios clave: para crecer, colaboramos con proveedores de tecnología y software de ciberseguridad, consultores expertos, socios estratégicos del sector de distribución, universidades y centros de investigación, agencias de financiación pública (como CDTI o fondos Next Generation), empresas de mantenimiento de hardware, y asesorías (jurídicas, de protección de datos, etc.)
• Evolución del modelo de negocio, pivots e iteraciones: actualmente, CUSTM se encuentra en una fase pre-seed, validando y testeando su Producto Mínimo Viable (PMV). Aunque el modelo está ya muy definido y es modular para facilitar su adaptación, las fuentes no detallan pivots o iteraciones significativas que hayan llevado a esta versión. La atención se centra en la validación y perfeccionamiento del modelo actual antes de un escalado completo.
• Plan de validación en sus comienzos, cómo consiguieron su Product-Market Fit: para asegurar que nuestra solución realmente resuelve un problema, hemos implementado un plan de validación exhaustivo:
  • Método de validación: nos basamos en una validación cualitativa a través de entrevistas con clientes potenciales y actores clave del sector. Más adelante, haremos una validación cuantitativa con nuestro PMV para medir la tasa de conversión y la intención de compra.
  • Hipótesis y PMV: hemos planteado hipótesis clave sobre nuestros clientes, el problema, la solución y el canal. Por ejemplo, que las empresas de distribución de perecederos son vulnerables y que una solución modular y económica sería atractiva. Para validar, ofreceremos una oferta básica de ciberseguridad (protección de datos y VPN) como prueba gratuita durante un tiempo limitado. También colaboraremos con socios estratégicos para que ofrezcan nuestra solución y medir así la adopción.
  • Camino al Product-Market Fit: estamos en el proceso de conseguirlo. Hemos identificado y comprendido a nuestro mercado objetivo (empresas de distribución alimentaria con preocupaciones de ciberseguridad), y hemos diseñado un producto que busca satisfacer esas necesidades de manera modular y flexible. Las entrevistas y el feedback inicial muestran que el sector valora nuestra solución y está dispuesto a pagar por ella. Continuaremos iterando y mejorando el producto con las pruebas y pilotos.
  • Evidencias: como estamos en una fase inicial de validación, aún no tenemos métricas consolidadas de churn %, NPS o repetición de compra. Sin embargo, ya hemos definido que estos serán KPIs clave para medir el éxito en el futuro

Viabilidad

• Viabilidad económica

  • Fijación del precio de venta. Política de precios: nuestra política de precios es modular y competitiva, adaptada al sector de las PYMES y al valor que perciben. Los clientes pagan por:
    • Alquiler/mantenimiento del hardware o nube y servicios contratados (pagos recurrentes).
    • Desarrollo/personalización de servicios e instalación de dispositivos (pagos puntuales).
    • Específicamente, cobramos 300€ mensuales por el mantenimiento de los sistemas y 1750€ por la venta de soluciones personalizadas (desarrollos a medida). Las auditorías de seguridad tienen un coste de 200€ por hora.
    • Hemos fijado estos precios basándonos en un análisis de nuestros costes, el valor percibido por el cliente, una estrategia modular y planes de ajustes anuales.
  • Recursos clave: como ya mencionamos, nuestros recursos clave son nuestro equipo altamente cualificado, una infraestructura tecnológica robusta, capital inicial, nuestra propiedad intelectual y know-how, el registro de nuestra marca, una base de datos de clientes, e instalaciones tecnológicas para alojar al equipo y la infraestructura física.

• Estructura de costes:

  • Costes fijos: incluyen las cuotas de seguridad social de los promotores, asesoría, seguro de responsabilidad civil, servicios de telefonía e internet, coste de servidores y protección de datos, así como gastos de constitución y registro. Estos costes fijos mensuales rondan los 600€ inicialmente, pero aumentan a medida que los salarios de los promotores se incorporan (por ejemplo, llegando a 8.663€ desde el mes 19).
  • Costes variables: varían con el número de clientes e incluyen soporte técnico adicional, mantenimiento de la infraestructura tecnológica, salarios de personal (cuando están ligados a ventas), coste de servidores en la nube por cliente, materiales para cada venta, y publicidad en ferias y congresos. Estos costes variables son de aproximadamente 200€ por cliente.
  • Inversiones: también contemplamos inversiones en desarrollo de software y capacitación del personal.

• Rentabilidad, márgenes y beneficios de la empresa. Punto de equilibrio:

  • Márgenes: nuestro margen de contribución es positivo, lo que significa que cada venta cubre sus costes variables y aporta al cubrimiento de los costes fijos. El análisis de Unit Economics muestra un LTV (Valor de Vida del Cliente) de 36.000€ frente a un CAC (Coste de Adquisición de Cliente) de 500€, lo que nos da una rentabilidad por cliente de 35.500€ a lo largo de su ciclo de vida.
  • Rentabilidad (ROE): proyectamos un beneficio neto anual de 54.300€ sobre una inversión inicial de 3.000€, lo que nos da un ROE del 1810%, un indicador muy positivo de eficiencia en la generación de beneficios.
  • Punto de equilibrio: aunque un cálculo simplificado indicaba 0.6 unidades y 1.750€ de facturación al mes para el punto de equilibrio sin contar los salarios de los promotores, el análisis de tesorería más realista (que sí considera la inclusión gradual de salarios) muestra que alcanzaremos el punto de equilibrio en el mes 11. Esto significa que, a partir de ese mes, el flujo de caja operativo de la empresa será positivo, cubriendo todos los costes fijos y variables.

• Viabilidad legal: Riesgos regulatorios y cómo se mitigaron. Protecciones legales conseguidas, patentes, marcas

• Riesgos regulatorios: el principal riesgo es el cumplimiento de normativas de protección de datos como el RGPD y la LOPDGDD en Europa. Las empresas, y por ende CUSTM, deben evitar multas por brechas de seguridad y asegurar la correcta gestión de la información confidencial. Además, la transferencia internacional de datos presenta desafíos regulatorios adicionales.
• Cómo se mitigaron: nuestra estrategia se centra en el cifrado de datos, backups robustos y comunicaciones seguras. Nos alineamos con las buenas prácticas de INCIBE y las obligaciones regulatorias de la AEPD, ayudando a nuestros clientes a cumplir con estas exigencias. Para las transferencias internacionales, implementamos garantías que aseguran la protección de los datos. Además, nuestra solución incluye auditorías constantes y mitigación proactiva de amenazas.
• Protecciones legales conseguidas, patentes, marcas:
  • Marca: procederemos al registro de nuestra marca y de todos los productos registrables por propiedad intelectual.
  • Propiedad intelectual: Aaunque las ideas no son patentables, los desarrollos tecnológicos específicos (como el código de nuestro software) pueden protegerse mediante derechos de autor y, si aplica, patentes.
  • Confidencialidad: para proteger nuestra información y tecnología al colaborar con terceros, usamos acuerdos de confidencialidad (NDA) y firmamos contratos de exclusividad con distribuidores y proveedores, compartiendo la información de forma mínima.

• Tecnologías empleadas y/o desarrolladas (IA, IoT, Blockchain…). Roadmap tech: prototipo → v1 → escalado cloud

• Tecnologías empleadas y/o desarrolladas:
  • Solución Híbrida (Hardware/Software): CUSTM es un dispositivo hardware/software («caja negra») que protege a las empresas tanto desde el exterior como desde el interior.
  • Ciberseguridad Avanzada: implementamos VPNs seguras, almacenamiento en la nube cifrado, monitoreo de amenazas en tiempo real, y utilizamos firewalls de alta calidad como Fortinet y Palo Alto. Incluimos cifrado AES de 256 bits para datos en tránsito y en reposo.
  • Gestión Integral: desarrollamos una plataforma personalizada de gestión de archivos (NAS/SAN), CRM y control de accesos.
  • Automatización: aplicamos automatización avanzada para la gestión de archivos, CRM y control de accesos, lo que reduce errores y mejora la eficiencia. Esto incluye la monitorización, actualización de software, comunicación con clientes, facturación y campañas de marketing automatizadas.
  • Bases de Datos: utilizamos PostgreSQL para la información crítica del CRM y usuarios, y MongoDB para registrar actividades y movimientos en el sistema NAS/SAN.
  • Lenguajes y Arquitectura: nuestro backend se desarrolla principalmente en Go (para firewall, NAS/SAN y permisos), el frontend en JavaScript (Node.js y React) para una interfaz intuitiva, y usamos Python y Bash para la automatización y gestión remota de sistemas.
  • Inteligencia Artificial (IA): estamos explorando la introducción de IA para identificar posibles amenazas de forma más efectiva, directa e inmediata. Se prevé el desarrollo de soluciones avanzadas basadas en IA para la detección automática y respuesta a incidentes en tiempo real.
  • Internet de las Cosas (IoT): contemplamos la integración de dispositivos IoT para monitorear en tiempo real aspectos críticos como condiciones de transporte y almacenamiento de alimentos.
  • Blockchain: exploramos el uso de Blockchain para asegurar la integridad y trazabilidad de los datos y mejorar la seguridad de las bases de datos.

• Roadmap tech: prototipo → v1 → escalado cloud:

  • Prototipo/MVP: acctualmente estamos en la fase de desarrollo del MVP de Alta Fidelidad (MVP HF), que incluirá las funcionalidades esenciales de ciberseguridad para PYMES. Este MVP se ofrecerá como prueba gratuita para validar el interés del mercado.
  • V1/Lanzamiento: el lanzamiento al mercado y el inicio de las primeras ventas están previstos para el 1 de marzo de 2025, una vez finalizado el MVP.
  • Escalado y Cloud: nuestra solución está diseñada para ser escalable, con despliegues tanto on-premise como en la nube. La tecnología en la nube y la automatización nos permitirán escalar eficientemente sin un aumento proporcional de costes a medida que crece nuestra base de clientes. Nuestra inversión tecnológica contempla una evolución desde la infraestructura básica (Año 1), a la automatización y expansión (Año 2), y al desarrollo de nuevas funcionalidades con IA (Año 3 en adelante).

• Innovación incorporada en el producto, proceso, modelo de negocio, marketing etc. Grado de innovación

• • Grado de innovación: CUSTM adopta un enfoque de innovación de nivel medio-alto, incluso catalogado como «Alta». Esto se debe a que el mercado de la ciberseguridad exige soluciones evolutivas, y nuestra propuesta busca ser única y diferenciadora, combinando tecnología avanzada con personalización.
  • Innovación incorporada:
    • En el producto:
      • Desarrollo de software a medida y soluciones modulares que permiten a los clientes elegir lo que necesitan.
      • Integración de IA para detección automática de amenazas y nuevos módulos de control de accesos.
      • Incorporación de IoT para monitoreo en tiempo real de condiciones de transporte y almacenamiento de alimentos.
      • Desarrollo de auditorías automatizadas.
    • En el proceso:
      • Automatización de la implementación de nuevas herramientas en los sistemas de los clientes y la gestión remota.
      • Mejoras continuas en la monitorización y detección de intrusiones.
      • Automatización de facturación, cobros, y gestión de incidencias.
    • En el modelo de negocio:
      • Un modelo único que combina suscripciones recurrentes con servicios personalizados.
      • La oferta de un modelo Freemium para atraer nuevos usuarios y luego convertirlos a planes premium.
  • En el marketing:
    • Uso de estrategias de marketing digital innovadoras, incluyendo campañas en redes sociales y un modelo de suscripción freemium para atraer clientes.
    • Implementación de programas de referidos para impulsar el crecimiento viral.
    • Foco en la creación de contenido viral y la automatización del marketing.
  • A nivel organizacional:
    • Fomentamos el trabajo colaborativo y remoto con herramientas avanzadas.
    • Promovemos una cultura de innovación abierta, buscando colaboración con expertos externos.
• Innovación para ser más competitivo: CUSTM se centra en resolver problemas críticos del cliente en la industria de distribución alimentaria, adoptando nuevas tecnologías (firewalls avanzados, plataformas de gestión personalizadas), y fomentando la creatividad interna.

Financiación