Aikido
Empieza gratis
Sin tarjeta
Casos de éxito de clientes

Cómo Smartendr obtuvo una visión clara y priorizada del riesgo real de pago con pentesting de IA

Migrado desde -

€10M
Transacciones Mensuales
1M
Usuarios finales atendidos
54
Hallazgos de pentesting validados
Publicado el:
Diciembre 24, 2025
Última actualización el:
Diciembre 24, 2025

De un vistazo

  • El pentest con IA simuló el comportamiento real de un atacante en toda la aplicación y sus integraciones
  • Pase de comprobaciones fragmentadas y periódicas a una visión clara y priorizada del riesgo real de pago.
  • 54 hallazgos validados agrupados por gravedad con rutas de ataque reproducibles
  • Orientación clara para la remediación utilizada directamente por los ingenieros
  • Las pruebas automáticas verificaron que las correcciones realmente eliminaron las vulnerabilidades
  • Informe estructurado de pentesting utilizado en conversaciones con socios, auditorías y procesos de due diligence

Smartendr, ahora parte de orderBilly, es una plataforma de pedidos para bares y restaurantes. La plataforma procesa alrededor de 10 millones de euros en transacciones cada mes y presta servicio a aproximadamente un millón de usuarios finales. Los pagos, las integraciones en los puntos de venta y los datos de los clientes son fundamentales para el producto, por lo que la seguridad de las aplicaciones es un requisito básico para el negocio.

“Soy el principal responsable de la parte técnica de la empresa”, dice Robin Praet, cofundador y CTO de Smartendr. “Eso incluye la arquitectura de la plataforma, las integraciones y la seguridad.”

A medida que Smartendr escalaba, el equipo se enfrentó a un desafío familiar para las plataformas de rápido crecimiento: avanzar con agilidad manteniendo la confianza sobre dónde residía realmente el riesgo.

Desafío: moverse rápido sin visibilidad completa del riesgo real

A medida que Smartendr crecía en volumen de transacciones y base de usuarios, su perfil de riesgo cambió significativamente.

“Ahora tenemos alrededor de un millón de usuarios finales cada mes. A esa escala, solo se necesita un único actor malicioso para explotar una debilidad.”

Las expectativas de seguridad de los restaurantes y socios eran altas. Los pedidos que aparecían en los sistemas de punto de venta debían pagarse correctamente y protegerse contra manipulaciones. Al mismo tiempo, características como los programas de fidelización significaban que la plataforma manejaba datos personales de los clientes.

Antes de adoptar pentesting de IA de Aikido, Smartendr ya seguía las mejores prácticas de seguridad. El equipo se basaba en una combinación de controles preventivos, revisiones manuales y comprobaciones periódicas. Aunque esto proporcionaba una cobertura básica, no ofrecía una visión completa ni actualizada de cómo se podía atacar la plataforma en la práctica.

“El mayor problema era la fragmentación”, dice Robin. “No teníamos una visión única de nuestra postura de seguridad, lo que facilitaba pasar por alto casos límite, especialmente en torno a las API y las integraciones.”

Con lanzamientos continuos y múltiples integraciones, las brechas entre las comprobaciones de seguridad se hicieron más difíciles de justificar. El equipo necesitaba una forma de entender dónde eran más vulnerables en ese momento, no solo dónde podrían existir problemas en teoría.

“Quedó claro que la seguridad no podía depender únicamente de controles periódicos, dice Robin. Necesitaba integrarse en la forma en que construimos y entregamos software.”

Solución: pentesting de IA muestran rutas de ataque reales y prioridades claras.

Al evaluar soluciones, Smartendr buscaba pruebas de seguridad que reflejaran el comportamiento de ataques reales sin ralentizar el desarrollo.

“Aikido se adaptó a nuestra forma de trabajar. Se integra en nuestro flujo de desarrollo, proporciona feedback continuo y se centra en riesgos reales y accionables en lugar de ruido.”

Smartendr ya utilizaba Aikido para controles de seguridad preventivos. El pentest de IA no reveló conceptos básicos olvidados, sino rutas de ataque realistas que solo surgen cuando las API, los pagos y las integraciones de puntos de venta interactúan en condiciones del mundo real.

Empezar requirió una configuración mínima. Dado que la base de código de Smartendr ya estaba conectada a Aikido, lanzar el pentest de IA solo requirió unos pocos clics.

“No se necesitó una configuración o preparación compleja”, explica Robin. “La seguridad debería ser fácil de activar, no un proyecto aparte.”

El pentest de IA se ejecutó contra la aplicación de Smartendr y reveló 54 hallazgos validados. Aunque al principio fue un desafío, los resultados proporcionaron claridad en lugar de confusión.

“Al principio, fue impactante ver lo exhaustivos que eran los resultados”, dice Robin. “Al mismo tiempo, nos dio una imagen clara de lo que debíamos mejorar.”

A diferencia de los pentests tradicionales basados en listas de verificación, los agentes de IA se comportaron como un atacante real explorando el sistema. Cada hallazgo fue validado, agrupado por severidad y acompañado de pasos reproducibles que mostraban cómo el problema podía ser explotado en la práctica.

“Los agentes se comportaron más como un atacante real explorando el sistema. Eso hizo que los resultados fueran más relevantes que un pentest de tipo checklist.”

Esto permitió a los ingenieros de Smartendr distinguir inmediatamente lo que necesitaba ser corregido con urgencia de lo que podía priorizarse con el tiempo.

“Los pasos de validación facilitaron mucho confiar en los hallazgos y evitar perseguir falsos positivos”, explica Robin.

Algunos de los descubrimientos más valiosos fueron problemas no evidentes que solo surgieron cuando múltiples sistemas interactuaron, exactamente el tipo de riesgo más difícil de analizar solo con revisiones manuales.

De las suposiciones a la reducción verificada del riesgo

Una vez que comenzó la remediación, la guía proporcionada ayudó a los ingenieros a avanzar rápidamente desde la comprensión de los problemas hasta su solución.

“Las recomendaciones eran concretas y accionables”, dice Robin. “Los ingenieros podían pasar directamente de entender un problema a solucionarlo.”

Retesting automático jugó un papel crítico en el cierre del ciclo. En lugar de asumir que las correcciones funcionaban, el equipo podía verificar que las vulnerabilidades habían sido realmente eliminadas.

“Una vez que se aplica una solución, se obtiene una confirmación inmediata”, dice Robin. “Eso elimina la incertidumbre y ahorra tiempo.”

El informe final del pentest también reforzó las conversaciones más allá de la ingeniería. En lugar de depender de garantías de alto nivel, Smartendr pudo señalar una evaluación estructurada y reciente con hallazgos y seguimientos claros.

“En lugar de declaraciones vagas sobre seguridad, pudimos mostrar una evaluación estructurada y reciente. Eso hizo que las conversaciones con socios, auditores o posibles compradores fueran más concretas.”

Resultado: claridad, priorización y seguridad continua

Tras abordar los hallazgos, Smartendr ganó confianza en su postura de seguridad, no porque se eliminara cada riesgo, sino porque los riesgos más importantes fueron claramente identificados, priorizados y verificados.

“Tenemos una comprensión más clara de nuestros puntos más débiles”, explica Robin. “No porque todo sea perfecto, sino porque los mayores riesgos se identifican y se abordan.”

La seguridad ya no se trata como un punto de control ocasional. Se ha convertido en una práctica continua y verificada constantemente que se integra directamente en el flujo de trabajo de desarrollo.

“Con la ayuda de Aikido Attack, podemos pensar de forma más proactiva en las superficies de ataque y los casos extremos al desarrollar nuevas funcionalidades”, dice Robin.

Resumen

“Nos dio una visión mucho más clara y realista de nuestro riesgo real, sin ralentizar la forma en que construimos y entregamos software, concluye Robin.”

Encabezado 1

Encabezado 2

Encabezado 3

Encabezado 4

Encabezado 5
Encabezado 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Cita en bloque

Lista ordenada

  1. Elemento 1
  2. Elemento 2
  3. Elemento 3

Lista no ordenada

  • Elemento A
  • Elemento B
  • Elemento C

Enlace de texto

Texto en negrita

Énfasis

Superíndice

Subíndice

Ir a:
Enlace de texto
Compartir:

https://www.aikido.dev/customer-story/smartendr

Sitio web
https://www.smartendr.com/
Fundada
2020
Industria
Tecnología para la hostelería
Sede
Gante, Bélgica
Tamaño del equipo de desarrollo
Socio

Asegúrate ahora.

Proteja su código, la nube y el entorno de ejecución en un único sistema central.
Encuentre y corrija vulnerabilidades de forma rápida y automática.

Iniciar escaneo
Sin tarjeta
Solicitar una demo
No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.