La startup francesa Escape recaudó una ronda de financiación de 3,9 millones de dólares (3,6 millones de euros) poco después de finalizar la cohorte de invierno de 2023 de Y Combinator. La empresa ofrece un producto de ciberseguridad centrado en proteger las API antes de que se implementen públicamente.
La firma francesa de capital de riesgo Iris lidera la ronda con la participación de Frst. Los inversores existentes Irregular Expressions, Tiny Supercomputers y Kima Ventures participan en la ronda. Algunos de los inversores ángeles de la empresa incluyen a Philippe Langlois, Mehdi Medjaoui y Roxanne Varza.
“Nos propusimos crear un algoritmo personalizado impulsado por inteligencia artificial que pueda simular ataques cibernéticos. Una vez que encuentre agujeros de seguridad, te arreglará”, me dijo el cofundador y director ejecutivo Tristan Kalos. Fundó la startup con Antoine Carossio y ahora hay 10 personas trabajando para Escape.
En términos más técnicos, Escape es una solución sin agentes, ya que se integra directamente en el proceso de desarrollo. Siempre que el equipo de desarrollo confirme algunas líneas nuevas de código en el repositorio de código, activará Escape mediante una integración de flujo de integración continua/entrega continua (CI/CD).
Por ejemplo, Escape puede identificar un problema con la limitación de velocidad. Esto significa que un mal actor podría explotar esta falla para extraer grandes volúmenes de datos. Escape también puede ver si las acciones no válidas están bloqueadas correctamente para evitar la manipulación de datos. Se integra con Snyk para que los problemas de escape aparezcan en los problemas de código de Snyk.
“Estas son pruebas dinámicas. No probamos el código fuente en sí, sino la aplicación mientras se ejecuta. Lo que es complicado con una API es la lógica empresarial: cómo interactuar y cómo atacar la API. Utilizamos el aprendizaje por refuerzo, una combinación de aprendizaje profundo y heurística”, dijo Kalos.
Escape inicialmente decidió centrarse en las API de GraphQL, ya que la startup identificó que sería la mejor estrategia de comercialización. Pero la compañía actualmente está implementando soporte para API REST, que son más populares que las API basadas en GraphQL.
La empresa ya ha convencido a unos 20 clientes, como Sorare, Shine y Neo4J. Como puede ver, Escape quiere centrarse en clientes más grandes que trabajan en industrias sensibles, incluidos bancos y empresas de servicios financieros. Cada contrato podría valer potencialmente decenas de miles de euros al año.
Antes de usar Escape, asegurarse de que las API de su empresa fueran seguras era principalmente un proceso manual. De vez en cuando, las grandes empresas se asocian con analistas de seguridad para realizar una prueba de penetración (o pentest, para abreviar).
“Una o dos veces al año, vienen, miran todo lo que está pasando y te dan un informe de seguridad. Las empresas miran los resultados internamente y enumeran los problemas: tenemos que arreglar esto, tenemos que arreglar aquello”, me dijo Kalos.
Pero luego, las empresas necesitan encontrar desarrolladores que se dirijan a esta parte específica del producto o esa API en particular. En otras palabras, es un proceso reactivo e imperfecto.
Escape no pretende reemplazar los pentests por completo. Los pentests no solo se centran en las API, son mucho más grandes que eso. Escape solo quiere sacar a la luz fallas de seguridad a nivel de API para que se corrijan cuando aparecen por primera vez. De esta forma, la mayoría de los problemas ya han sido resueltos cuando una empresa de seguridad realiza un pentest. Es un modelo de seguridad más proactivo y dinámico, y eso podría ser un buen punto de venta.