Agencias / Ciudad de México.- David ‘Moose’ Wolpoff es un tipo intimidante. Al director de Tecnología y cofundador de la startup de ciberseguridad Randori le gusta hablar sobre cómo ataca a sus clientes: en realidad, sobre cómo irrumpe en sus sistemas informáticos.
«Quizá mi visión sea un poco arrogante», dice Wolpoff. «Pero si me das el tiempo suficiente, voy a acceder a tus sistemas: no me vas a poder dejar fuera».
Randori es un término relacionado con artes marciales japonesas, y quiere decir «ataque aleatorio». Compañías que cotizan en el F500 pagan a Wolpoff y a su equipo para ser atacados. Solo eso: Wolpoff no mueve un dedo a la hora de arreglar los estropicios tras un ciberataque o para mejorar las vulnerabilidades en sistemas informáticos.
«Nunca he ayudado a subsanar un error», dice este tipo, calvo, barbudo y a menudo con el ceño fruncido. Wolpoff es un excontratista del Gobierno estadounidense que se ha enfrentado a desafíos militares del calibre de «discos duros que han sido disparados».
A pesar de todo, muchos quieren contratar a Wolpoff y darle dinero. Quizá porque es bueno tener de tu parte a alguien como él. El punto es que su empresa, Randori, acaba de levantar 20 millones de dólares en una ronda de financiación, en plena pandemia, liderada por una firma de capital riesgo neoyorquina, Harmony Partners.
Harmony Partners también invierte en compañías como E-Trade, Priceline o Spotify.
Esta empresa de 20 personas tiene oficinas en Boston y Denver y usará esta inyección de capital para contratar hackers que tengan una visión como la de Wolpoff: reventar sistemas informáticos es «una adicción».
La firma quiere mejorar su sistema de ataque automático. La meta de Randori, según Wolpoff, es garantizar «ataques reales a infraestructuras reales. Nada de simulaciones».
La única diferencia entre Randori y los ciberdelincuentes es: «No vamos a robar los activos que encontremos para venderlos».
«La posición de Randori para ayudar a mejorar los programas de ciberseguridad de las empresas es única», dice Mark Lotke, fundador y gerente de Harmony. Inversores cercanos a la ronda aseguraron que la valoración de Randori ha aumentado hasta los 60 millones de dólares.
El CEO de Randori, Brian Hazzard, quiso montar una empresa con Wolpoff después de verle atacar a la firma de ciberseguridad en la que entonces trabajaba, Carbon Black, que fue adquirida por VMware.
«Tan pronto como Moose penetra en tu sistema, ya cuenta con ventaja», dice Hazzard con admiración. «Sabe perfectamente cómo ir a por las joyas de la corona. Nuestro trabajo es detectar las joyas de nuestros clientes. Somos un adversario de confianza».
"You don't know if you're ready to fight until you fight a couple of times and suddenly it becomes clear." Our CTO recently spoke with @businessinsider on why the future of security starts by going up against ""real attacks" https://t.co/S55sNv0oEd
— Randori (@RandoriSecurity) May 6, 2020
Cómo trabaja Wolpoff
Si te parece que Moose Wolpoff sería la última persona a la que querrías pagar en estos tiempos difíciles, piénsalo bien.
El año pasado hubo más de 5,000 filtraciones de datos, lo que supuso un coste medio de más de 8 millones de dólares para empresas estadounidenses, según IBM. Muchas marcas ya han asumido que no es cuestión de si serán o no hackeadas; sino de cuándo lo serán.
Wolpoff y sus hackers empiezan solo con una dirección de correo electrónico de la empresa a la que está atacando. Este correo se introduce en la plataforma de ataque automático de Randori, que se encarga de registrar todas las cuentas a las que está vinculada, y a partir de ahí busca vulnerabilidades. Combinando aprendizaje automático y trabajo humano, Wolpoff consigue romper las defensas de compañías todo el tiempo, hasta que accede a sus redes.
If you're addicted to breaking into things (for the better good) – we want you. The @RandoriAttack is hiring and looking for folks with a passion for hacking at scale. #redteam. https://t.co/sZnR3CDKjt
— Randori (@RandoriSecurity) May 5, 2020
La meta es identificar agujeros en sus defensas y darle a sus clientes la información que sus equipos de seguridad necesitan para entender y mejorar su respuesta ante amenazas. De este modo las compañías ahorran costes al ajustar sus necesidades de seguridad, en lugar de invertir en sistemas de defensa que en realidad no necesitan. Entre los clientes de Randori figuran el Centro para Estudios Estratégicos e Internacionales de Estados Unidos, la ACLU.
Los ejercicios de ‘red team’ —tests de ataques controlados— son habituales en la industria de la ciberseguridad: estos hackeos simulados han ayudado a empresas durante décadas. Pero la tesis de Randori es que este tipo de penetraciones vigiladas no ayudan a las empresas a enfrentarse a ciberamenazas reales.
«Queríamos ir más allá y poner a prueba todas nuestras defensas», dice John Shaffer, jefe de TI de Greenhill, una firma de inversión bancaria de Nueva York que ya es cliente de Randori.
«Nunca sabes si estás listo para pelear hasta que lo has hecho un par de veces», resume Wolpoff. Con estas palabras queda claro que él no es ningún novato: es el profesor de defensa personal que te enseña a defenderte de estos criminales.
¿La posibilidad de éxito de Moose y sus hackers irrumpiendo en los sistemas informáticos de una empresa? Es del 100%.
It’s live! Check out our CTO and Co-Founder moose’s #derpcon talk on 0-day, realism and the economic realities of running a #redteam and how he’s doing things differently with @RandoriAttack https://t.co/3rTjGFqcBV
— Randori (@RandoriSecurity) May 10, 2020