El 5 de junio de 2026, Secrets Vault ganó la categoría Trust Tech & Data de South Summit Madrid. Su producto sustituye contraseñas por imágenes. Mientras tanto, el 87% de las empresas mundiales ya despliega passkeys.
La compañía apuesta contra el consenso de toda una industria. Eso no la convierte en errónea. Tampoco la convierte automáticamente en visionaria. Conviene mirar los datos antes de decidir cuál de las dos cosas es.
Quiénes están detrás del producto
Gerard Cervelló y Jordi Puiggalí fundaron Secrets Vault en enero de 2024. Ambos vienen de Scytl, la empresa española de voto electrónico fundada en 2001.
Aquí hay un matiz que la prensa generalista no siempre recoge bien. Puiggalí fue cofundador técnico real de Scytl. Dirigió su departamento de I+D desde el primer día. Cervelló se incorporó después, en un rol ejecutivo durante la etapa de crecimiento. No fue cofundador original de 2001.
Scytl llegó a operar en más de 40 países. Levantó más de 150 millones de dólares a lo largo de su historia. Nunca logró ser rentable. Una polémica judicializada dañó su reputación en 2019. Entró en concurso de acreedores en 2020. Fue rescatada por un grupo irlandés. Entró en un segundo concurso, esta vez de liquidación voluntaria, en marzo de 2024.
Esa segunda liquidación ocurrió dos meses después de que Secrets Vault se constituyera legalmente. No hay declaraciones públicas que conecten ambos hechos. La coincidencia temporal es real. La causalidad, no está verificada en ninguna fuente.
Puiggalí acumula 49 patentes a lo largo de su carrera. Cervelló acumula 5. Ninguna fuente especifica si esas patentes cubren el protocolo actual de Secrets Vault. Pueden ser, en parte, herencia de su trabajo previo en voto electrónico.
Qué es exactamente la criptografía visual
El usuario elige una imagen cualquiera. Una foto de su mascota, un paisaje, una selfie. El dispositivo genera localmente una clave criptográfica a partir de esa imagen. La imagen en sí no cambia. Puede guardarse en cualquier sitio sin revelar su función.
Esto es distinto de lo que la literatura académica llama «esquemas de contraseña gráfica». Esos sistemas piden al usuario recordar puntos dentro de una imagen. El mecanismo de Secrets Vault usa la imagen completa como semilla criptográfica. Se acerca más a la tradición de «criptografía visual» que arranca con un esquema académico de 1995.
La empresa describe su tecnología combinando cuatro componentes. Procesamiento de imágenes, cifrado homomórfico, pruebas de conocimiento cero y computación multipartita. La web corporativa añade criptografía post-cuántica y visión por computador.
No existe ningún análisis de seguridad independiente publicado. Tampoco una auditoría externa. Las afirmaciones de resistencia a ataques provienen únicamente de la propia empresa.
El mercado va hacia los passkeys, no hacia las imágenes
Aquí está el problema de fondo. El 69% de los usuarios ya tiene al menos una passkey activa. Hace dos años era el 39%. El 48% de los 100 sitios web más visitados del mundo ya ofrece passkeys como login.
Las passkeys logran una tasa de éxito del 93%. Los métodos tradicionales se quedan en el 63%. Google reporta 800 millones de cuentas usando passkeys. Más de 2.500 millones de inicios de sesión mediante este método.
En el ámbito empresarial la señal es igual de clara. El 87% de las compañías ya despliega o está desplegando passkeys. Microsoft, Google, IBM Security, Okta, Thales, Yubico, 1Password. Todos los grandes proveedores de identidad han orientado su producto hacia passkeys o biometría. Ninguno hacia esquemas de imágenes.
Hay además plazos regulatorios concretos empujando la adopción institucional. Emiratos Árabes Unidos tiene un plazo el 31 de marzo de 2026. India, el 1 de abril. La Unión Europea debe completar su Cartera de Identidad Digital antes de que termine el año.
El mercado de autenticación sin contraseña crece a un ritmo del 15% al 23% anual según la consultora. El de gestión de identidad y acceso, entre el 10% y el 16%. Es un mercado grande y en expansión. Y se está construyendo casi entero alrededor de las passkeys.
Por qué la industria no ha ido por este camino
La literatura académica documenta una limitación estructural de los esquemas visuales. Son más vulnerables al «shoulder surfing» que las contraseñas tradicionales. Alguien observando el proceso de autenticación puede memorizar una imagen más fácilmente que una secuencia alfanumérica.
Una revisión sistemática reciente, publicada en 2025, es clara en su conclusión. No existe una solución definitiva a este problema. Cada mitigación propuesta tiene sus propias limitaciones. Y proteger contra este tipo de ataque suele alargar el proceso de login, lo que erosiona la usabilidad.
No hay declaraciones de la industria que descarten activamente la criptografía visual frente a las passkeys. Lo que hay es ausencia. Ningún proveedor grande la ha adoptado a escala. Eso no prueba que el camino esté cerrado. Sí indica que, hasta ahora, nadie con recursos suficientes lo ha intentado en serio.
La victoria en South Summit, en su contexto real
Secrets Vault venció a nueve competidores en su categoría. Empresas de Estados Unidos, Portugal, Brasil, Reino Unido, Francia, Singapur y Alemania, además de dos españolas. Ninguna de las nueve trabaja en autenticación basada en imágenes. La categoría agrupa perfiles muy distintos: compliance, gestión de datos, ciberseguridad gestionada, infraestructura de bases de datos.
El jurado de South Summit evalúa innovación, escalabilidad, potencial de crecimiento, atractivo para inversores y solidez de equipo. Secrets Vault encaja con fuerza en dos de esos cinco criterios. La innovación es real: nadie más en su categoría propone sustituir contraseñas por imágenes. Y el equipo tiene más de 50 años de experiencia combinada en criptografía, con 54 patentes entre los dos fundadores.
Encaja con más debilidad en los otros tres criterios. La edición 2026 de South Summit tuvo un 60% de finalistas con más de un millón de dólares levantados. Secrets Vault sigue en pre-seed, con una única ronda cerrada de 400.000 euros. No hay evidencia pública de clientes corporativos con nombre. Tampoco de ingresos recurrentes verificables.
Ganar su categoría es una validación real del jurado sobre la propuesta tecnológica. No es, todavía, una validación de mercado sobre si esa propuesta puede competir comercialmente contra el estándar que el resto de la industria ya eligió.
La pregunta que queda abierta
Hay dos formas de leer este caso. La primera: dos veteranos de la criptografía con más de 50 patentes combinadas identificaron una debilidad real en el paradigma dominante, y están construyendo la alternativa antes de que el mercado la necesite.
La segunda: dos fundadores que vivieron el fracaso comercial de una empresa de criptografía ambiciosa están repitiendo un patrón conocido. Tecnología sofisticada, validación técnica fuerte, tracción comercial todavía sin demostrar.
Las dos lecturas son compatibles con los datos verificados. Ninguna de las dos está descartada. Lo que sí sabemos es esto: el mercado al que Secrets Vault apunta ya tomó una decisión mayoritaria. Y esa decisión no fue la criptografía visual.
Como ya analizamos en [South Summit 2026 desvela el mapa del capital], ganar una categoría en este evento es una señal de innovación percibida. No es, por sí sola, una señal de que el capital vaya a seguir.
Si quieres conocer más casos de estudio, puedes hacerlo aquí.