Cómo HeyJobs eliminó la proliferación de herramientas de seguridad con Aikido

De un vistazo

• Consolidó múltiples herramientas de seguridad en una plataforma unificada de AppSec y seguridad en la nube.
• Integrado en 95 repositorios, 31 registros de contenedores y 9 entornos cloud
• Compatible con desarrolladores que trabajan con Ruby, Python y servicios contenerizados
• Refuerza la seguridad de la cadena de suministro de software y la visibilidad de las dependencias
• Sustituyó herramientas de seguridad dispersas, incluyendo Dependabot y Detectify

Desafío.

A medida que HeyJobs, la empresa detrás de la creciente plataforma de reclutamiento, escalaba su organización de ingeniería, las herramientas de seguridad comenzaron a crecer orgánicamente junto a ella. Diferentes equipos dependían de distintos sistemas para monitorizar dependencias, escanear código o generar alertas de seguridad. Aunque cada una de estas herramientas abordaba partes del problema, crearon un flujo de trabajo de seguridad fragmentado que era cada vez más difícil de gestionar.

Los insights de seguridad estaban dispersos en múltiples plataformas, cada una produciendo sus propias alertas y dashboards. Los ingenieros tenían que moverse entre sistemas para entender los riesgos, correlacionar los problemas y decidir qué necesitaba atención. Esto ralentizaba el triaje de vulnerabilidades y dificultaba mantener una visión general consistente de la postura de seguridad de la empresa.

Boris Diebold, CTO de HeyJobs, describe cómo era el entorno antes de adoptar Aikido:

“Teníamos todo tipo de herramientas dispersas diferentes; usábamos Dependabot, una herramienta separada para alertas de seguridad y algunas herramientas internas”. 

Con el tiempo, la proliferación de herramientas introdujo complejidad y sobrecarga adicionales. Cada producto requería su propia configuración, flujos de trabajo y gestión de alertas, lo que dificultaba que los equipos se centraran en los problemas de seguridad más importantes.

Como explica Boris:

“Siempre es difícil gestionar la proliferación, con todas estas herramientas diferentes.”

El informe de Aikido de 2026 sobre el Estado de la IA en Seguridad y Desarrollo descubrió que la proliferación de herramientas de seguridad se correlaciona con un mayor número de incidentes. 

HeyJobs comenzó a buscar una forma de simplificar cómo se detectaban y gestionaban las vulnerabilidades, manteniendo al mismo tiempo una sólida cobertura de seguridad en todos sus sistemas.

Solución: Una plataforma diseñada para proporcionar contexto

Durante su proceso de evaluación, el equipo de HeyJobs exploró varias herramientas de seguridad de aplicaciones, incluyendo Snyk. Muchas soluciones se centraban en gran medida en áreas específicas de la seguridad, como el análisis de dependencias o el análisis de infraestructura. Aunque estas herramientas ofrecían sólidas capacidades dentro de dominios individuales, adoptarlas a menudo significaba añadir otro producto más al stack de seguridad existente.

Para HeyJobs, el objetivo no era simplemente introducir otro escáner, sino mejorar cómo se entregaban los insights de seguridad a los ingenieros y a la dirección. El equipo quería una plataforma que pudiera consolidar las señales de vulnerabilidad de todo el stack de desarrollo y presentarlas de una manera que facilitara a los equipos actuar sobre ellas.

Como explica Boris:

“Queríamos tener todas las señales en una sola plataforma, para no necesitar otras 10 herramientas diferentes y una herramienta adicional para gestionar las señales.”

Aikido destacó porque unificó estas señales en un único entorno. En lugar de gestionar múltiples dashboards y sistemas de alerta, la organización de ingeniería podía ver los riesgos en código, contenedores e infraestructura desde una única interfaz. Esto facilitó significativamente la comprensión de qué problemas requerían atención y cómo debían abordarse.

La vista consolidada también proporcionó a la dirección una visión general más clara de la postura de seguridad de la organización. Los informes y métricas ofrecieron una perspectiva de alto nivel sobre las vulnerabilidades, permitiendo a los ingenieros profundizar en los detalles técnicos necesarios para resolverlas.

Implementación

HeyJobs introdujo inicialmente Aikido conectando un pequeño número de repositorios como prueba de concepto. El objetivo era evaluar qué tan bien la plataforma podía detectar insights de seguridad e integrarse con los flujos de trabajo de ingeniería existentes.

El valor de la plataforma quedó claro rápidamente.

“Así es básicamente como empezamos inicialmente. Tuvimos un muy buen comienzo, diría yo, conectando inicialmente algunos repositorios para un período de prueba, viendo beneficios inmediatos”, dijo Boris. 

Tras la exitosa evaluación, HeyJobs expandió gradualmente el despliegue en toda la organización de ingeniería. Hoy la plataforma monitoriza 95 repositorios, 31 registros de contenedores y nueve entornos cloud conectados, mientras también rastrea múltiples dominios y APIs. Se integra directamente con el entorno GitHub de la empresa y envía alertas a herramientas operativas como PagerDuty para que los problemas críticos puedan detectarse rápidamente.

Las capacidades de remediación de Aikido también desempeñaron un papel importante en su adopción. 

Rodrigo Oliveira, Team Lead de Infraestructura y Seguridad Cloud, destaca el impacto de esta capacidad:

«En particular, la funcionalidad AutoFix de la plataforma permite resolver ciertas vulnerabilidades de forma automática o con un esfuerzo manual mínimo por parte de los desarrolladores».

Al combinar la detección, priorización y guía de remediación en la misma plataforma, Aikido permitió a HeyJobs pasar de alertas dispersas a un flujo de trabajo de seguridad más claro y accionable.

Por qué HeyJobs eligió Aikido

HeyJobs seleccionó Aikido porque:

• Consolida múltiples señales de seguridad en una plataforma unificada
  
• Ofrece una amplia cobertura en código, contenedores e infraestructura cloud
  
• Proporciona una clara priorización de vulnerabilidades y guía de remediación
  
• Incluye capacidades AutoFix que reducen el esfuerzo manual del desarrollador
  
• Ayuda a gestionar los riesgos de la cadena de suministro de software y las vulnerabilidades de dependencias
  
• Ofrece una experiencia de desarrollador intuitiva que impulsa la adopción
  

Resultados

Superficie de ataque reducida

Uno de los resultados más importantes de la implementación de Aikido ha sido la reducción del impacto potencial de las vulnerabilidades en los sistemas de HeyJobs. La monitorización continua en repositorios, contenedores y configuraciones cloud permite identificar los problemas antes y abordarlos antes de que se propaguen por servicios o entornos.

Rodrigo Oliveira describe la mejora en términos prácticos:

«Diría que el impacto del radio de explosión que tienen nuestras aplicaciones ahora mismo es significativamente menor».

Una visibilidad más temprana permite a los equipos responder más rápido cuando aparecen vulnerabilidades y reduce la probabilidad de que las debilidades de seguridad pasen desapercibidas durante largos períodos de tiempo. Este enfoque proactivo ha ayudado a la empresa a fortalecer su postura de seguridad general mientras mantiene la velocidad de desarrollo.

Mayor concienciación del desarrollador

Otro resultado importante ha sido el aumento de la concienciación sobre seguridad entre los desarrolladores. Al presentar las vulnerabilidades con explicaciones claras y guías de remediación, Aikido ayuda a los ingenieros a comprender el impacto de los problemas de seguridad y cómo deben abordarse. Esta visibilidad cambia gradualmente la forma en que los equipos abordan las decisiones de desarrollo. Con el tiempo, los desarrolladores se vuelven más conscientes de los riesgos comunes en áreas como las configuraciones de contenedores, las versiones de dependencias y las configuraciones de infraestructura.

Rodrigo Oliveira lo ilustra con un ejemplo práctico del trabajo de desarrollo diario:

«Ahora está claro para todos que quizás una imagen Docker con acceso root no sería lo ideal».

Conocimientos como estos animan a los ingenieros a adoptar configuraciones predeterminadas más seguras y a mejorar las prácticas de seguridad en toda la organización sin introducir fricción en los flujos de trabajo de desarrollo.

Clara priorización de vulnerabilidades

Muchas herramientas de seguridad generan grandes volúmenes de alertas sin explicar claramente su impacto o cómo deben solucionarse. Esto a menudo obliga a los ingenieros a dedicar tiempo a investigar los problemas antes de poder determinar si son realmente importantes. Aikido aborda este desafío proporcionando contexto adicional sobre las vulnerabilidades, incluyendo su gravedad, impacto potencial y los pasos de remediación recomendados. Esto permite a los desarrolladores comprender rápidamente qué problemas requieren atención y cómo deben abordarse.

Rodrigo Oliveira explica la diferencia que esto supone:

“Algunas herramientas carecen de información sobre cómo solucionar una vulnerabilidad y su impacto potencial, pero con Aikido sabemos qué esperar.”

Con una priorización y guía de remediación más claras, los ingenieros de HeyJobs pueden centrar sus esfuerzos en las vulnerabilidades más importantes.

Mayor seguridad de la cadena de suministro

Para el equipo directivo de HeyJobs, la seguridad de la cadena de suministro de software sigue siendo una de las áreas de mayor preocupación. Las aplicaciones modernas dependen en gran medida de las dependencias de código abierto, y las vulnerabilidades dentro de estas pueden afectar rápidamente a múltiples servicios. Aikido proporciona una visibilidad más profunda de estos riesgos al analizar los árboles de dependencias e identificar vulnerabilidades tanto en dependencias directas como transitivas. Esto permite al equipo determinar rápidamente si las vulnerabilidades recién divulgadas afectan a sus sistemas y la urgencia de su remediación.

Boris resume la importancia de esta capacidad:

“Creo que uno de los problemas clave que dificultan conciliar el sueño son los ataques a la gestión de la cadena de suministro.”

Con una mayor visibilidad de las vulnerabilidades de las dependencias y los riesgos de la cadena de suministro, el equipo tiene ahora más confianza en que estas amenazas pueden detectarse y abordarse rápidamente.

Cómo HeyJobs está ampliando su uso de Aikido

Ya en uso

• Aikido Code (SAST, SCA, detección de vulnerabilidades en la cadena de suministro, y más)
• Aikido Cloud  (CSPM, escaneo de seguridad de contenedores, y más)
• Capacidades de remediación de AutoFix

Evaluando lo siguiente

• Pruebas de penetración con IA
• Endurecimiento de contenedores

Métricas de seguridad que impulsan la mejora

Aikido también proporciona a HeyJobs métricas de seguridad significativas que ayudan a rastrear las mejoras en toda la organización de ingeniería. Estos conocimientos permiten a los equipos directivos supervisar cómo evolucionan las vulnerabilidades con el tiempo y medir el progreso hacia los objetivos de seguridad internos.

Las métricas de seguridad generadas por la plataforma se revisan regularmente y se utilizan para evaluar la eficacia con la que los equipos abordan las vulnerabilidades en sus servicios. Este enfoque basado en datos ayuda a la organización a tratar la seguridad como una disciplina de ingeniería medible, en lugar de un objetivo abstracto.

Veredicto final

Para HeyJobs, Aikido se ha convertido en un componente central de su estrategia de seguridad. Al integrar la información sobre vulnerabilidades en una única plataforma, la empresa ha obtenido una visibilidad más clara de los riesgos de seguridad, al tiempo que ha reducido la sobrecarga operativa asociada a la gestión de múltiples herramientas.

Los desarrolladores se benefician de una orientación de remediación más clara y de funciones de automatización como AutoFix, mientras que la dirección obtiene una visión completa de la postura de seguridad de la organización. Esta combinación permite a HeyJobs escalar su organización de ingeniería, manteniendo al mismo tiempo un programa de seguridad proactivo y bien gestionado.