Plexicus

Jose Ramon Palanco
by Jose Ramon Palanco July 23, 2025
entrepreneurship Projects
#ai #aspm #cnapp #vulnerability remediation #devsecops #sticky
Plexicus

Vendí Dinoflux a Telefónica, pasé unos años dentro de una empresa de telecomunicaciones con 100,000 personas, y aún escuchaba el mismo lamento de los equipos de ingeniería:

“Nos estamos ahogando en alertas de vulnerabilidades, pero las soluciones avanzan a paso de tortuga por la burocracia.”

Plexicus existe para que esas alertas se conviertan en pull requests fusionados, no en tareas pendientes acumuladas.

2023 — Delaware, COVULOR y la fase de “¿qué demonios estamos construyendo?”

Espera, déjame aclarar algo importante aquí. COVULOR fue el primer nombre que le di a nuestro prototipo de ASPM (Gestión de la Postura de Seguridad de Aplicaciones). Significaba Orquestador Continuo de Vulnerabilidades — un nombre complicado, lo sé. “Funcionaba” de la misma manera que un dron con cinta adhesiva vuela: técnicamente en el aire… solo no te pongas debajo.

Ese año contraté a Juan José Florez como el primer empleado de Plexicus. Habíamos trabajado juntos antes; necesitaba a alguien que pudiera convertir bocetos en servilletas en código sin dramas. Él dijo que sí. Empezamos a enviar.

Ahora, podrías estar pensando: “Pero espera, ¿no es COVULOR una comunidad de DevSecOps y seguridad en la nube?” ¡Exactamente! Aquí está el asunto: cuando consolidamos todo bajo la marca Plexicus, decidí rescatar el nombre COVULOR y darle una segunda vida como la comunidad que es hoy. Es un bonito momento de cierre de círculo: el prototipo que lo inició todo ahora vive como una comunidad próspera de profesionales de la seguridad.

Así que sí, el primer prototipo de ASPM se llamó COVULOR, y sí, COVULOR es ahora una comunidad de DevSecOps. Dos cosas diferentes, mismo nombre, una historia de origen.

2024 — Reconstrucción, un MVP tambaleante y un stand en San Francisco

2024 fue el año de “desarmarlo y hacerlo bien”. Aprendimos del desastre de 2023, reescribimos grandes partes y reunimos un MVP que en su mayoría funcionaba sin incendiarse.

Con esa construcción inestable volamos a la RSA Conference 2024 (6–9 de mayo, Moscone Center, San Francisco) como parte del pabellón español de INCIBE/ICEX. Stand Sur Expo #0842. Rodeados de gigantes pulidos, éramos el niño peleón con cicatrices y una historia. Y, sorprendentemente, esa historia resonó.

En octubre (21–23 de octubre de 2024) subimos al escenario en 18ENISE (León) con nuestra primera charla pública: “Protegiendo la cadena de suministro de software con IA.” Más de 6,000 asistentes, 168 empresas, un clicker moribundo, dos noches sin dormir — y una audiencia que realmente asentía cuando dije “auto-remediación”.

2025 — Las ventas se activan, Ironchip firma, y bootcamps aceleradores

Las ventas realmente comenzaron en 2025. ¿Nuestro primer cliente de pago? Ironchip, una startup de seguridad de identidad de Bilbao que apostó por nosotros para domar el caos de los escáneres y enviar correcciones más rápido. El amor del cliente #1 es real.

4 de marzo de 2025 – Segurilatam anunció que CEFIROS ofrecerá Plexicus para ayudar a las empresas en LATAM e Iberia a definir su postura de AppSec. Desde el primer día, queríamos socios de canal; este fue nuestro primer gran socio.

Mayo 2025 — Aupa, Bilbao (de verdad)

Trasladamos la sede a Bilbao en mayo de 2025, incorporando Plexicus S.L. como la matriz global. Delaware nos dio una tabla de capital limpia; Bilbao nos dio un hogar, talento y pintxos. Cero arrepentimientos.

Primavera 2025 — SWG, Tallin, Latitude59, Bakú… y el Día de Graduación

  • Startup Wise Guys (Cyber) — Primavera 2025. Entramos, conseguimos un ticket de $100k, y nos pusieron a prueba — de la mejor manera. Semana presencial en Tallin alrededor de Latitude59 (21–23 de mayo de 2025), donde presentamos en el escenario con la cohorte.
  • ECSO Cyber Investor Days — 5 de junio de 2025, The Shard (Londres). La línea de la agenda decía: “15:55–16:30 Sesión de Pitching… Fortyx, Gataca, Plexicus, QuoIntelligence.” Cinco minutos para explicar por qué arreglar vulnerabilidades no debería tomar cinco semanas. Nos fuimos sudorosos y felices.
  • South Summit — 4–6 de junio de 2025 (Madrid). El Ayuntamiento de Madrid rotó 85+ startups a través de su stand. Fuimos una de ellas. Surrealista presentar en casa después de todos los aviones.
  • Baku ID — 19–20 de junio de 2025 (Azerbaiyán). Cinco startups de SWG, un escenario, mucho calor de Bakú; presentamos, hicimos contactos, sobrevivimos.
  • 25 de julio de 2025Graduados de SWG hoy. Diploma metafórico; red muy real.

También comenzamos a aparecer en comparaciones: Slashdot/SourceForge nos incluyó junto a Wiz y Chainguard, destacando nuestro escaneo sin agentes (Plexalyzer) y alertas SQLi en tiempo real. Ver nuestro producto descrito como una suite empresarial fue… extraño, pero bienvenido.

Lo que realmente construimos (y por qué importa)

Plexalyzer — El cerebro que lee todo

Piensa en Plexalyzer como un traductor entre una docena de herramientas de seguridad y tu equipo de desarrollo. SAST, SCA, secretos, IaC, contenedores… los normaliza, desduplica y los califica por explotabilidad, radio de impacto y consecuencias de cumplimiento. En lugar de 2,000 tickets “críticos”, obtienes 20 que son “realmente críticos”.

(Ejemplo: la primera semana en Ironchip, Plexalyzer colapsó miles de alertas duplicadas de Dependabot/Trivy en unas pocas docenas de riesgos únicos — el equipo los solucionó todos en días, no meses.)

Codex Remedium — Las manos que arreglan ahora mismo

Los hallazgos sin soluciones son solo ansiedad. Codex Remedium toma la salida de Plexalyzer y abre una solicitud de extracción con el parche, pruebas unitarias y documentación. El desarrollador revisa, fusiona, envía. Lo construimos porque todos hablaban de “shift left” — nadie hablaba de “enviar soluciones”.

Bajo el capó (versión sin rodeos)

Código → Construir → Desplegar → Corregir (PR fusionado)

  • Código → Escaneo SAST y de secretos
  • Construir → SBOM y verificaciones de contenedores
  • Desplegar → CSPM / desviación en tiempo de ejecución
  • Corregir → PR en menos de 2 minutos

Todo sin agentes. Los LLMs analizan ASTs, reescriben patrones inseguros (por ejemplo, concatenación de cadenas SQL → consultas parametrizadas) y generan pruebas. Menos construcciones rotas de lo que pensarías.

Hora de la demostración

El equipo (equilibrado, ningún héroe queda atrás)

  • 2023Juan José Florez: primera contratación, ex compañero de equipo, co-construyó los primeros fundamentos de Plexalyzer/Codex conmigo.
  • 2024Irvine Pramudya Bagaskara (Indonesia, PM) & Tobias Malbos (Argentina, Backend). El pulido del producto se encuentra con la fuerza del backend.
  • 2025Héctor Belzunces (interno → tiempo completo, navaja suiza de negocios), Luky Setiawan & Rizal Prasetya (Frontend, Indonesia), Septian Wahyu (Cumplimiento). Contratamos mentes hambrientas, no títulos elegantes.

¿Qué sigue?

  • Remediación consciente de políticas — cada corrección verificada contra los CIS Benchmarks, OWASP MASVS, etc., para que no “arreglemos uno, rompamos diez”.
  • SDK de Remediación como Código — permite que cualquier proveedor de seguridad se conecte a Codex Remedium.
  • Motor de cumplimiento++ — DORA, NIS2, ISO 27001, SOC 2 mapeados automáticamente.
  • Red MSSP — CEFIROS es el primero; más socios regionales están alineándose.

About the Author

Jose Ramon Palanco
Jose Ramon Palanco

Jose Ramón Palanco es el CEO/CTO de Plexicus, una empresa pionera en ASPM (Gestión de la Postura de Seguridad de Aplicaciones) lanzada en 2024, que ofrece capacidades de remediación impulsadas por IA. Anteriormente, fundó Dinoflux en 2014, una startup de Inteligencia de Amenazas que fue adquirida por Telefónica, y ha estado trabajando con 11paths desde 2018. Su experiencia incluye roles en el departamento de I+D de Ericsson y Optenet (Allot). Tiene un título en Ingeniería de Telecomunicaciones de la Universidad de Alcalá de Henares y un Máster en Gobernanza de TI de la Universidad de Deusto. Como experto reconocido en ciberseguridad, ha sido ponente en varias conferencias prestigiosas, incluyendo OWASP, ROOTEDCON, ROOTCON, MALCON y FAQin. Sus contribuciones al campo de la ciberseguridad incluyen múltiples publicaciones de CVE y el desarrollo de varias herramientas de código abierto como nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS, y más.

Share