Caso: Valida ciberseguridad autónoma B2B con GABRIEL

¡Hola líderes de proyectos!

Descubre la trayectoria corporativa de Criterion Labs y su producto GABRIEL, una solución de ciberseguridad autónoma orientada a infraestructuras críticas. Este caso práctico detalla cómo la compañía estructuró la validación de un sistema capaz de autocurarse en menos de cinco segundos, respondiendo a las exigencias de soberanía digital europea y la directiva NIS2. Aprenderás la metodología de una empresa deep-tech para validar su modelo B2B en entornos controlados, superar el over-engineering mediante hitos estrictos y establecer un modelo de financiación estratégico mixto para escalar de forma sostenible en sectores altamente regulados.

Resumen ejecutivo. One pager de la empresa

• Nombre empresa: Criterion Labs (producto: GABRIEL).
• País (ISO‑2): ES.
• Año fundación: 2026.
• Empleo creado (destacado): 1 fundador en la actualidad, con un plan de estructuración a 4 empleados clave en 18 meses.
• Sector principal | secundarios: Ciberseguridad autónoma | SaaS, Industria 4.0, Defensa digital.
• Fases tratadas en el caso: Idea · Validación · Early‑Revenue · Growth.
• Web: No consta web pública aún.
• Redes: Principalmente LinkedIn (enfoque B2B), sin perfiles masivos activos.
• Resultados actuales (último cierre):
  • Facturación: Primeros ingresos generados a través de pilotos corporativos.
  • Nº empleados: 1 (fundador y arquitecto de sistemas), en fase de ampliación de equipo.
  • Nº usuarios/clientes: Múltiples pilotos en fase de validación, con el objetivo de consolidar entre 10 y 15 clientes industriales en 12 meses.
  • Dato destacado de la aceleración: Validación técnica en entorno controlado de autocuración en menos de 5 segundos ante ataques de saturación.

Resumen:

GABRIEL es una plataforma de ciberseguridad autónoma desarrollada por Criterion Labs para dar respuesta a la demanda de resiliencia digital en infraestructuras críticas. La propuesta tecnológica se centra en la “inmunidad digital”: el sistema detecta amenazas y ejecuta protocolos de autocuración de forma autónoma. Al operar 100% en local, elimina la dependencia de la nube y se alinea estrictamente con el marco normativo europeo NIS2. El proyecto avanza mediante alianzas B2B bajo un modelo SaaS, demostrando la viabilidad de una solución corporativa escalable y robusta.

Origen de la oportunidad de negocio. Primeros pasos

Problema / “Aha moment”: necesidad detectada + cliente objetivo

El desarrollo de GABRIEL surge del análisis sistemático de una vulnerabilidad estructural en el mercado: las corporaciones que gestionan infraestructuras críticas (sectores industrial, energético, bancario y de investigación) presentan una fragilidad operativa significativa ante incidentes de red. Los sistemas de defensa tradicionales adolecen de dos limitaciones críticas: la dependencia de conectividad ininterrumpida a internet y la necesidad de intervención humana constante por parte de los equipos de los Centros de Operaciones de Seguridad (SOC).

Criterion Labs identificó que una caída de red dejaba a las organizaciones expuestas. Además, la alta tasa de falsos positivos generaba una saturación de alertas que disminuía la eficacia operativa de los responsables de seguridad (CISOs).

La oportunidad de mercado se materializó al redefinir el problema: el mayor riesgo financiero para estas entidades no era el intento de intrusión en sí, sino el tiempo de inactividad operativo y la incapacidad técnica de los sistemas para restablecerse de forma autónoma. Así, el cliente objetivo quedó definido: medianas y grandes organizaciones sujetas a normativas estrictas, donde cada hora de caída de servicio tiene un impacto financiero y reputacional crítico.

Validación inicial: cómo ajustaron solución‑problema; propuesta de valor

La fase de validación se centró en demostrar la viabilidad de un motor de decisiones automatizado capaz de restablecer la infraestructura sin intervención manual. Para ello, Criterion Labs diseñó un protocolo de pruebas de estrés ejecutado estrictamente en entornos de laboratorio controlados.

Durante estas pruebas, el sistema fue sometido a simulaciones de sabotaje que alcanzaron picos de más de 13.000 conexiones por segundo. Los resultados de estas métricas de laboratorio confirmaron que la arquitectura lograba un Tiempo Medio de Recuperación (MTTR) inferior a 5 segundos.

A partir de esta validación empírica, la compañía estructuró una propuesta de valor basada en tres ejes estratégicos, con un fuerte enfoque institucional:

1. Inmunidad digital autónoma: Ejecución de protocolos de resiliencia y restablecimiento de servicios sin requerir acción humana.
2. Soberanía digital europea: Operativa 100% local (air-gapped), garantizando el aislamiento de la red pública y asegurando el cumplimiento directo con la directiva europea NIS2, un factor decisivo para corporaciones reguladas.
3. Eficiencia operativa: Reducción documentada del 90% en falsos positivos, optimizando los recursos humanos de los departamentos de IT.

Primeros pasos: de la idea a la oportunidad

El inicio de operaciones de Criterion Labs se caracterizó por un enfoque metodológico en el desarrollo del núcleo algorítmico. Aprovechando el expertise en arquitectura de sistemas, se priorizó la codificación del motor de consenso y autocuración, asegurando que cada iteración estuviera respaldada por logs de rendimiento técnico.

Para transformar este desarrollo en una oportunidad comercial B2B, la compañía ejecutó las siguientes acciones tempranas:

• Documentación exhaustiva de las pruebas de resistencia en laboratorio.
• Rondas de entrevistas consultivas con CISOs para alinear las capacidades del sistema con los requisitos de cumplimiento normativo (compliance).
• Empaquetado de la tecnología en un Producto Mínimo Viable (MVP) integrable en infraestructuras corporativas sin alterar la producción.
• Apertura de canales de diálogo con integradores de sistemas y Proveedores de Servicios de Seguridad Gestionada (MSSPs) para sentar las bases de la distribución indirecta.

Historia de la empresa

Cronograma de hitos

Anécdotas interesantes

Durante la fase de auditoría técnica en laboratorio, el sistema GABRIEL fue sometido a un escenario de saturación diseñado para evaluar el punto de fallo de la arquitectura. En lugar de colapsar, el núcleo ejecutó un reinicio autónomo preventivo y generó un registro detallado que expuso una vulnerabilidad menor en un protocolo secundario. La capacidad del sistema no solo para resistir, sino para auditarse a sí mismo de manera autónoma, se convirtió posteriormente en uno de los argumentos técnicos más sólidos en las presentaciones corporativas.

Momentos difíciles: crisis/errores y cómo se superaron

En sus etapas iniciales, Criterion Labs enfrentó el riesgo del over-engineering. La inclinación por optimizar la arquitectura técnica hasta el extremo retrasó el cronograma de salida al mercado.

La dirección de la compañía corrigió esta desviación implementando una filosofía de desarrollo ágil: «mejor hecho que perfecto». Se establecieron hitos de validación con clientes piloto, priorizando la obtención de métricas de uso real sobre la optimización teórica del código.

Asimismo, la penetración en el mercado de las grandes cuentas supuso una barrera inicial debido a la complejidad de los ciclos de venta B2B corporativos. La estrategia de mitigación consistió en desplazar el peso comercial hacia partners estratégicos con acceso consolidado a estos canales institucionales, permitiendo a la empresa concentrarse en la robustez del producto.

Retos financieros y de mercado

• Estructura Financiera: La empresa inició operaciones mediante bootstrapping, aplicando una política de control de gasto centrada exclusivamente en la validación técnica y el cumplimiento normativo.
• Adopción de Mercado: La resistencia natural de las corporaciones ante arquitecturas de ciberseguridad emergentes se abordó estructurando Pruebas de Concepto (PoCs) delimitadas y presentando las auditorías de laboratorio.
• Desarrollo de Equipo: Ante la limitación inicial de capital humano en áreas legales y comerciales, la compañía externalizó funciones de compliance y firmó acuerdos de distribución para cubrir estas áreas críticas de forma eficiente.

Lecciones aplicables para otros emprendedores

• Estructura pruebas de concepto medibles en entornos corporativos lo antes posible.
• Evita el over-engineering estableciendo hitos de entrega vinculados al feedback de integradores o clientes.
• Apalanca el crecimiento en normativas institucionales; el cumplimiento regulatorio es un motor de ventas poderoso.
• Externaliza o busca socios para los procesos complejos (como ventas corporativas) que escapen al core competence del equipo técnico.

Sprints realizados por la empresa

Sprint 1 – Modelo de negocio y ajuste al mercado

Canvas actual (Business Model Canvas) explicado completo

• Segmentos de cliente: Corporaciones e instituciones con infraestructuras críticas sujetas a normativas de seguridad, focalizado en CISOs y comités de dirección tecnológica.
• Propuesta de valor: Resiliencia operativa garantizada, soberanía digital air-gapped sin dependencia cloud, y cumplimiento directo con la directiva europea NIS2.
• Canales: Alianzas de distribución a través de integradores de sistemas (MSSPs) y aproximación directa consultiva basada en auditorías técnicas.
• Relación con clientes: Soporte técnico de alto nivel (Tier 3), auditoría continua y establecimiento de acuerdos de nivel de servicio (SLAs) rigurosos.
• Fuentes de ingresos: Licenciamiento SaaS local (mensual/anual por nodo), complementado con servicios profesionales de integración y auditoría técnica.
• Recursos clave: Propiedad intelectual del algoritmo de autocuración, cumplimiento normativo y la infraestructura de pruebas.
• Actividades clave: Mantenimiento evolutivo de la arquitectura, investigación de vulnerabilidades y certificación de compliance.
• Alianzas clave: Integradores corporativos, firmas de auditoría tecnológica y centros de investigación.
• Estructura de costes: Inversión en I+D, costes de certificación de seguridad e infraestructura de soporte técnico.

Evolución del modelo y pivotes

Criterion Labs ejecutó un pivote estratégico fundamental en su modelo: descartó el segmento de las pequeñas empresas, que buscan soluciones plug-and-play genéricas, para orientar todo su desarrollo tecnológico y comercial hacia grandes cuentas industriales. Este movimiento permitió a la compañía posicionar a GABRIEL no como un simple software de detección, sino como una herramienta corporativa de inmunidad digital y continuidad de negocio.

Plan de validación y evidencias

El encaje producto-mercado se materializó al ejecutar pilotos en modo «SAFE» (solo lectura/auditoría), demostrando a los comités de IT una reducción documentada del 90% en alertas inefectivas. Las proyecciones corporativas establecen un objetivo de retención de partners superior al 95%.

Sprint 2 – Viabilidad

Viabilidad económica

Criterion Labs implementó un modelo SaaS local híbrido. El pricing corporativo no se basa en el coste del desarrollo, sino en el análisis del impacto financiero que evita la herramienta (prevención de paradas de planta y cumplimiento de sanciones regulatorias).

La estructura de costes cuenta con un alto apalancamiento operativo: la centralización de la I+D permite que el coste marginal de licenciar nuevos nodos sea mínimo, proyectando un punto de equilibrio operativo (break-even) viable entre los 6 y 8 meses posteriores al despliegue masivo comercial.

Viabilidad legal

Para dotar de robustez institucional al proyecto, se constituyó como Sociedad Limitada, blindando la propiedad intelectual mediante secreto industrial y NDAs estrictos en toda la cadena de valor. El cumplimiento integral del Esquema Nacional de Seguridad (ENS), el RGPD y la directiva NIS2 no solo mitiga el riesgo legal, sino que constituye la columna vertebral de su estrategia de penetración de mercado.

Tecnología y Roadmap

El núcleo de GABRIEL está fundamentado en Python, optimizado para operar en arquitecturas air-gapped (físicamente aisladas de redes no seguras). El roadmap contempla la transición estructurada desde la versión actual hacia una v2.0 que incorporará modelos de aprendizaje profundo alimentados exclusivamente por inteligencia de amenazas local, preservando la soberanía de los datos.

Innovación

El nivel de innovación se sitúa en la creación de una arquitectura de autocuración proactiva. A nivel de negocio, la estructuración de la oferta en diferentes niveles de resiliencia (SAFE, ACTIVE, IMMORTAL) facilita la adopción escalonada en entornos donde la aversión al riesgo es máxima.

Sprint 3 – Marketing & Ventas

Plan de ventas

La estrategia comercial es B2B consultiva. El Buyer Persona es el CISO corporativo, cuyo principal indicador de rendimiento es asegurar el zero downtime operativo y evitar multas regulatorias.

El ciclo de venta institucional se articula de la siguiente manera:

• TOFU: Posicionamiento como referentes en soberanía digital y cumplimiento NIS2 mediante whitepapers y webinars técnicos cerrados.
• MOFU: Auditorías técnicas controladas demostrando el MTTR.
• BOFU: Ejecución de Pruebas de Concepto (PoC) en entornos de preproducción corporativos.

Plan de crecimiento de clientes

El objetivo a medio plazo se sostiene en la fidelización de canales de distribución indirecta. La escalabilidad comercial reside en que la integración y soporte de primera línea es absorbida por los MSSPs partners, mientras Criterion Labs mantiene la evolución del núcleo. El cuello de botella de la aprobación presupuestaria corporativa se sortea elaborando casos de negocio (Business Cases) que demuestran el ROI de la resiliencia en base a la normativa vigente.

Plan de internacionalización

La expansión territorial está diseñada de manera táctica:

• España: Como hub de validación y cumplimiento de la directiva europea NIS2.
• Estados Unidos y Brasil: A medio plazo, abordados estrictamente a través de alianzas con partners tecnológicos locales para superar las barreras de entrada regulatorias extranjeras.

Sprint 4 – Financiación

La proyección financiera de Criterion Labs requiere una provisión de fondos de 120.000€ para garantizar 18 meses de pista de aterrizaje operativo (runway), distribuyendo la inversión en I+D corporativa (35%), estructuración del canal de ventas (25%) e infraestructura (20%).

La estrategia de capitalización se ha diseñado para minimizar la dilución y optimizar el apalancamiento institucional:

• Financiación Pública No Dilutiva (60%): Enfoque agresivo en la obtención de instrumentos de deuda participativa y subvenciones vinculadas a la innovación y seguridad nacional (ENISA, CDTI Neotec, INCIBE).
• Inversión Privada Estratégica (40%): Apertura de capital estrictamente orientada a fondos especializados o Business Angels del sector B2B y ciberseguridad corporativa. Esta ronda busca smart money que aporte acceso directo a carteras de clientes empresariales, optimizando así la estructura de capital sin comprometer la gobernanza.

Sprint 5 – Estrategia y desarrollo corporativo

Estrategia competitiva

Criterion Labs opera en un nicho altamente especializado dentro del mercado de la ciberseguridad industrial. Su ventaja competitiva (foso económico) se cimienta en dos factores: el motor de consenso para autocuración en tiempo real y la soberanía tecnológica local absoluta. Esto neutraliza la amenaza de soluciones genéricas basadas en la nube que no pueden garantizar la operativa en caso de aislamiento total de la red.

Estructura del Equipo

La compañía está liderada técnicamente por Carlos Benavides en la función de arquitecto de sistemas. La estructura corporativa planificada proyecta la inminente incorporación de roles directivos enfocados en el cumplimiento normativo (Compliance Officer) y desarrollo de negocio institucional. El principal hito interno fue la evolución desde una mentalidad puramente tecnológica hacia una visión corporativa enfocada en la viabilidad B2B.

Sostenibilidad e Impacto

El impacto de Criterion Labs se enmarca en la continuidad de las sociedades modernas.

• Económico: Optimización de la eficiencia operativa industrial.
• Ambiental: La eliminación de la dependencia cloud reduce la carga computacional remota. En las pruebas de laboratorio se validó una disminución del 15% en el consumo de procesamiento de los nodos, favoreciendo la eficiencia energética (ODS 9 y 12).
• Social: Garantizar la operatividad de infraestructuras críticas (hospitales, redes eléctricas) y asegurar la protección de datos en el ámbito europeo.

Consejos accionables para otros emprendedores

• Apalanca normativas vigentes: Convierte directivas como la NIS2 o el RGPD en los ejes de tu propuesta de valor; el cumplimiento legal abre puertas corporativas.
• Diseña pilotos medibles: No presentes ideas, presenta métricas validadas en laboratorios o entornos pre-productivos.
• Optimiza la estructura de capital: Prioriza la deuda participativa e instrumentos públicos antes de ceder equity, especialmente en fases tempranas.
• Alíate para escalar ventas: Si tu solución es técnica, busca integradores de sistemas que ya sean proveedores de confianza de tus clientes objetivo.

Aprendizajes del programa mentorDay

El proceso de aceleración supuso la transformación definitiva de Criterion Labs, pasando de ser un proyecto de ingeniería a una entidad corporativa. Los módulos de mayor impacto fueron la planificación de tesorería institucional y la estrategia estructurada de protección de propiedad intelectual.

El salto cualitativo se produjo al comprender la dinámica de los ciclos de venta B2B y la necesidad de establecer un gobierno corporativo claro. La recomendación de la empresa para futuras startups es centrar los esfuerzos en comprender la estructura de toma de decisiones de los clientes antes de programar una sola línea de código.