Pasar al contenido principal

Esta startup acaba de conseguir 20 millones para lanzar ciberataques sobre sus propios clientes, y el dinero lo usará para contratar a más hackers 'adictos' a penetrar en sistemas

David 'Moose' Wolpoff, CTO de Randori.
David 'Moose' Wolpoff, CTO de Randori. Randori
  • David 'Moose' Wolpoff es el director de Tecnología y cofundador de Randori, una compañía que ataca a sus clientes para detectar sus debilidades en ciberseguridad.
  • Wolpoff, un excontratista del gobierno estadounidense que abordó desafíos militares del tipo "discos duros que han sido disparados" dice que puede penetrar en cualquier compañía.
  • Randori acaba de conseguir 20 millones de dólares en una ronda de financiación liderada por Harmony Partners, inversores en E-Trade, Priceline y Spotify. Una fuente cercana a la compañía asegura que Randori ya se valora en más de 60 millones.
  • La startup invertirá en contratar a más personal: la compañía quiere hackers que entiendan la irrupción en sistemas informáticos como "una adicción".
  • Esta startup de hackers y de plataformas de autoataque detecta vulnerabilidades, comprueba defensas y ahorra costes a clientes como athenahealth o a organizaciones estadounidenses como la ACLU.
  • Descubre más historias en Business Insider España.

David 'Moose' Wolpoff es un tipo intimidante. Al director de Tecnología y cofundador de la startup de ciberseguridad Randori le gusta hablar sobre cómo ataca a sus clientes: en realidad, sobre cómo irrumpe en sus sistemas informáticos.

"Quizá mi visión sea un poco arrogante", dice Wolpoff. "Pero si me das el tiempo suficiente, voy a acceder a tus sistemas: no me vas a poder dejar fuera".

Randori es un término relacionado con artes marciales japonesas, y quiere decir "ataque aleatorio". Compañías que cotizan en el F500 pagan a Wolpoff y a su equipo para ser atacados. Solo eso: Wolpoff no mueve un dedo a la hora de arreglar los estropicios tras un ciberataque o para mejorar las vulnerabilidades en sistemas informáticos.

Leer más: Un grupo de ciberdelincuentes filtra los archivos robados durante un ataque a la multinacional portuguesa EDP, a la que exigió 10 millones de euros como rescate

"Nunca he ayudado a subsanar un error", dice este tipo, calvo, barbudo y a menudo con el ceño fruncido. Wolpoff es un excontratista del Gobierno estadounidense que se ha enfrentado a desafíos militares del calibre de "discos duros que han sido disparados".

A pesar de todo, muchos quieren contratar a Wolpoff y darle dinero. Quizá porque es bueno tener de tu parte a alguien como él. El punto es que su startup, Randori, acaba de levantar 20 millones de dólares en una ronda de financiación, en plena pandemia, liderada por una firma de capital riesgo neoyorquina, Harmony Partners. Harmony Partners también invierte en compañías como E-Trade, Priceline o Spotify.

Esta startup de 20 personas tiene oficinas en Boston y Denver y usará esta inyección de capital para contratar a más personas que tengan una visión como la de Wolpoff: reventar sistemas informáticos es "una adicción". La firma quiere mejorar su sistema de ataque automático. La meta de Randori, según Wolpoff, es garantizar "ataques reales a infraestructuras reales. Nada de simulaciones". La única diferencia entre Randori y los ciberdelincuentes es: "No vamos a robar los activos que encontremos para venderlos".

"La posición de Randori para ayudar a mejorar los programas de ciberseguridad de las empresas es única", dice Mark Lotke, fundador y gerente de Harmony. Inversores cercanos a la ronda aseguraron que la valoración de Randori ha aumentado hasta los 60 millones de dólares.

El CEO de Randori, Brian Hazzard, quiso montar una empresa con Wolpoff después de verle atacar a la empresa de ciberseguridad en la que entonces trabajaba, Carbon Black, que fue adquirida por VMware.

"Tan pronto como Moose penetra en tu sistema, ya cuenta con ventaja", dice Hazzard con admiración. "Sabe perfectamente ir a por las joyas de la corona. Nuestro trabajo es conseguir detectar las joyas de nuestros clientes. Somos un adversario de confianza".

Cómo trabaja Wolpoff

Si te parece que Moose Wolpoff sería la última persona a la que querrías pagar en estos tiempos difíciles, piénsalo bien. El año pasado hubo más de 5.000 filtraciones de datos, lo que supuso un coste medio de más de 8 millones de dólares para empresas estadounidenses, según IBM. Muchas marcas ya han asumido que no es cuestión de si serán o no hackeadas, es cuestión de cuándo lo serán.

Wolpoff empieza solo con una dirección de correo electrónico de la empresa a la que está hackeando. Este correo se introduce en la plataforma de ataque automático de Randori, que se encarga de registrar todas las cuentas a las que está vinculada, y a partir de ahí busca vulnerabilidades. Combinando aprendizaje automático y trabajo humano, Wolpoff consigue romper las defensas de compañías todo el tiempo, hasta que accede a sus redes.

Leer más: El mejor 'cazador de ransomware' del mundo vive aislado y rodeado de cámaras en un lugar secreto en Reino Unido por las amenazas que recibe a diario de las mafias de ciberdelincuentes

La meta es identificar agujeros en sus defensas y darle a sus clientes la información que sus equipos de seguridad necesitan para entender y mejorar su respuesta ante amenazas. De este modo las compañías ahorran costes al ajustar sus necesidades de seguridad, en lugar de invertir en sistemas de defensa que en realidad no necesitan. Entre los clientes de Randori figuran empresas como athenahealth, el Centro para Estudios Estratégicos e Internacionales de Estados Unidos o una asociación norteamericana, la ACLU.

Los ejercicios de 'red team' —tests de ataques controlados— son habituales en la industria de la ciberseguridad: estos hackeos simulados han ayudado a empresas durante décadas. Pero la tesis de Randori es que este tipo de penetraciones vigiladas no ayudan a las empresas a enfrentarse a ciberamenazas reales.

"Queríamos ir más allá y poner a prueba todas nuestras defensas", dice John Shaffer, jefe de TI de Greenhill, una firma de inversión bancaria de Nueva York que ya es cliente de Randori.

Leer más: Por qué los precios de tus datos robados en la 'dark web' son tan baratos y qué puedes hacer para que no sea tan fácil que tu información caiga en el mercado negro

"Nunca sabes si estás listo para pelear hasta que lo has hecho un par de veces", resume Wolpoff. Con estas palabras queda claro que él no es ningún caco de aparcamiento: es el profesor de defensa personal que te enseña a defenderte de estos criminales.

¿La ratio de éxito de Moose irrumpiendo en los sistemas informáticos de sus clientes? Es del 100%.

Y además