De un vistazo
- Integración de la seguridad por diseño en la plataforma interna de desarrollo de Serko
- Eliminación de los falsos positivos, restableciendo la confianza en los hallazgos de seguridad
- Unificación de la seguridad de código, nube, contenedores y API en una única plataforma
- Permitió a 300 ingenieros asumir y corregir vulnerabilidades, en lugar de clasificar el ruido
- Integración directa de la seguridad en los flujos de trabajo y plantillas de desarrollo
- Soporte a un modelo de ingeniería Platform-as-a-Product
- Provisión de visibilidad en toda la organización mediante la integración con Port
- Selección de Aikido Security frente a una plataforma de seguridad para desarrolladores heredada
Visión de seguridad por diseño
Serko es un líder global en tecnología de viajes con más de 2 millones de usuarios, que estaba experimentando un cambio de ingeniería importante. Como parte de este cambio, el rol de Darshit Pandya pasó de formar parte del equipo de producto a ser el Ingeniero Principal Senior que lidera la nueva iniciativa de ingeniería de plataforma de Serko. Esta iniciativa surgió de una oportunidad que Darshit vio para reducir significativamente la fricción que sentían los ingenieros de producto al construir nuevas funcionalidades.
«Siempre hay fricción y desviaciones cuando tu equipo quiere construir un nuevo servicio o API, pero no existen plantillas estándar. Por ejemplo, tener una plantilla de API que incorpore el Top 10 OWASP y otras medidas de seguridad», afirmó.
Sin estas plantillas, era laborioso para los desarrolladores construir cosas desde cero, reinventando la rueda cada vez.
Por eso Darshit considera la ingeniería de plataforma como clave para el éxito de Serko, adoptando lo que se conoce como la mentalidad de 'Platform-as-a-Product'.
«Si lo hacemos bien, podemos ayudar sin duda a nuestros clientes internos, como nuestros ingenieros, líderes de ingeniería, gestores de producto y líderes de entrega, y podemos reducir su carga cognitiva, asegurando que se centren en escribir la lógica de negocio», dijo Darshit.
La iniciativa de ingeniería de plataforma de Serko se centra en plantillas reutilizables y seguras por defecto, así como en herramientas internas que eliminan el trabajo repetitivo. Al integrar estándares de seguridad como el Top 10 OWASP en cada servicio desde el primer día, el equipo asegura que los desarrolladores puedan innovar con confianza sin comprometer la seguridad.
Lo primero que Darshit quería asegurar era la seguridad.
Gestión de falsos positivos
Antes de Aikido, Serko dependía de una plataforma de seguridad para desarrolladores que generaba ruido y desafíos de confianza.
«Estábamos utilizando una herramienta que se enorgullecía de detectar vulnerabilidades, pero no era el caso. Teníamos muchos falsos positivos. Los ingenieros estaban frustrados por la gran cantidad de falsos positivos detectados, lo que llevó a una falta de confianza».
«Además, queríamos mejoras y optimizaciones en la plataforma de seguridad para desarrolladores que no se materializaban, incluso después de muchos meses de trabajar con el proveedor», dijo. «La tecnología avanzaba muy rápido, pero faltaban algunas capacidades como la gestión de vulnerabilidades relacionadas con la nube, la corrección automática con IA y las API que podríamos aprovechar para construir o integrar flujos de trabajo o herramientas de clientes», añadió.
Como resultado de estas frustraciones, Serko implementó un piloto de Aikido y validó las vulnerabilidades que Aikido mostraba para algunos repositorios en comparación con su plataforma de seguridad para desarrolladores existente.
«Nuestro personal de seguridad y yo sabíamos que algunos de estos eran falsos positivos y no deberían estar ahí, y Aikido no mostraba esas vulnerabilidades, lo cual fue una gran señal», afirmó.
Además, Darshit explicó que la capacidad de Aikido para agrupar las mismas vulnerabilidades en diferentes bases de código y ofrecer descripciones completas paso a paso para resolverlas, fueron otros factores diferenciadores para Aikido, mientras que la seguridad de la nube, el código y las API, junto con la corrección automática con IA, fueron otros factores decisivos en la elección de Aikido.
“El compromiso de Aikido para alinearse con la estrategia de plataforma primero de Serko fue alto, y trabajar con ellos ha sido increíble. Están resolviendo nuestros problemas y cuando surge una oportunidad para una integración, como la integración del portal interno de desarrolladores Port con Aikido, trabajaron para lograrlo”, dijo.
“Esto no es solo mi feedback. Muchos ingenieros de producto de Serko se nos han acercado diciendo ‘Aikido es una gran plataforma que nos estáis proporcionando y le vemos mucho valor’”, añadió.
“Por otro lado, cada día recibíamos quejas y frustración de nuestros ingenieros que utilizaban la herramienta de seguridad para desarrolladores anterior. Pero con Aikido, no hemos recibido ninguna queja de ese tipo”, dijo Darshit.
El impacto de la plataforma de seguridad para desarrolladores de Serko - Impulsada por Aikido
La adopción de Aikido ha ayudado a Serko a transformar la forma en que los equipos abordan la seguridad. Las vulnerabilidades ya no están ocultas entre falsos positivos y los ingenieros sienten la responsabilidad de resolver los problemas. Este cambio cultural es un resultado directo de la visión de ingeniería de plataforma de Serko, respaldada de forma segura por Aikido Security.
“Con nuestra plataforma de seguridad anterior, había una falta de confianza en torno a las vulnerabilidades que destacaba.
Con Aikido, la claridad era mucho mejor. Pedimos a los equipos que empezaran a abordar los problemas críticos, y lo hicieron. Hoy, hemos mejorado sustancialmente nuestra postura de seguridad porque la gente está realmente solucionando los problemas, no investigando falsos positivos”, dijo.
El Informe sobre el estado de la IA, los desarrolladores y la seguridad 2025 de Aikido reveló que el 15 por ciento del tiempo de ingeniería se pierde en la clasificación de alertas, y la mayor parte de ese tiempo (72 por ciento) se dedica a falsos positivos. De hecho, en promedio, los equipos pierden cinco horas a la semana lidiando con falsos positivos. Pero el daño que causan los falsos positivos va más allá. Pueden obligar a los equipos a buscar soluciones alternativas y atajos arriesgados. Dos tercios de los encuestados eluden las herramientas de seguridad, descartan los hallazgos o retrasan las correcciones porque están hartos de lidiar con falsos positivos.
Una gran señal de que Aikido y el concepto general de ingeniería de plataforma están funcionando es que estas soluciones alternativas no están ocurriendo en Serko.
Además, para los frameworks heredados más antiguos, Serko incorporó revisiones de seguridad periódicas por parte de la dirección. Si un equipo quiere retrasar la corrección de una vulnerabilidad específica, necesita que la dirección apruebe el riesgo, lo que implica elaborar una justificación que explique por qué esto es aceptable. Estas son revisadas regularmente por los líderes. El objetivo es mantener la visibilidad, para que los líderes sepan dónde residen los riesgos graves y puedan impulsar acciones en lugar de permitir que se ignoren.
Integrando Aikido con Port
El contexto es clave para los desarrolladores, y Darshit cree que la combinación de Aikido con Port (utilizado como portal de desarrolladores de Serko) es un paso significativo para el éxito de la ingeniería de plataforma de Serko.
“Con Aikido y Port combinados, las vulnerabilidades serán visibles junto con los activos de Serko, no solo los servicios, sino también los recursos en la nube, las bases de datos y los componentes. Esto nos proporciona una visibilidad clara en toda la organización. También estamos construyendo un cuadro de mando de seguridad a través de la integración. Esto nos permitirá mostrar, por ejemplo, qué APIs se encuentran en un nivel bronce, plata u oro dentro de nuestro catálogo de APIs. El cuadro de mando proporciona una forma sencilla de comprender la postura de seguridad en diferentes equipos y activos.”
La integración también permitirá a la dirección de tecnología ver fácilmente cuántas vulnerabilidades existen en nuestros sistemas desde la perspectiva de un equipo, grupo u organización, mostrando qué equipos están rezagados y cuáles tienen cero vulnerabilidades. Esto ayudará a la dirección de producto e ingeniería.
Al dar a los líderes visibilidad sobre la postura de seguridad, pueden tomar decisiones informadas sobre las prioridades. No queremos bloquear a la gente con puertas rígidas; en cambio, queremos empoderarlos con datos para que puedan equilibrar la entrega con la seguridad”, explicó Darshit.
Conclusión
Para Darshit, la ingeniería de plataforma es más que tecnología, se trata de cambiar la cultura. Al utilizar Aikido, Serko ha dado a los ingenieros la confianza para fiarse de los hallazgos de seguridad y ha creado un marco donde los equipos de producto pueden ver las compensaciones entre velocidad y seguridad. Fundamentalmente, ha apoyado a Serko en la construcción de una plataforma para desarrolladores donde la seguridad es responsabilidad de todos. A medida que Serko continúa evolucionando, está estableciendo un nuevo estándar para la ingeniería de plataforma segura por diseño, con Aikido como un socio de confianza fundamental en el camino.
