No es ningún secreto que el ejército israelí ha sido la génesis de decenas de empresas de ciberseguridad que se han abierto camino en el mercado o han encontrado comprador. Nir Zuk, el entrevistado de hoy, fue destinado en 1990 a la Unidad 8200 de inteligencia electrónica militar. Tres años después, su antiguo oficial al mando, Gil Schwed, le invitó a incorporarse a la empresa Check Point, que acababa de fundar. La relación quedó rota en 1999 y ha dejado mal rollo. Del antecedente nacería Palo Alto Networks, fundada por Zuk en California con el apoyo de otros dos fundadores de CheckPoint. La rivalidad ha sido duradera: parece imposible hablar con una empresa sin que aluda a la otra.

Nir Zuk

Compiten en un mismo campo, proponiendo sus respectivas tecnologías de firewall frente a la aceleración y creciente sofisticación de los ciberataques. La tarea de proteger una red es hoy más crítica, si cabe, con la proliferación de dispositivos móviles de acceso y de aplicaciones intrínsecamente vulnerables que pasan por las redes. Dicho en general, los ´cortafuegos` se basan en la técnica de «inspección de estado», método que permite discriminar qué paquetes de datos son aceptables o deben ser interceptados. El planteamiento de Palo Alto Networks difiere en que actúa selectivamente, en lugar de bloquear un proceso porque sobre la aplicación o la fuente pesan sospechas genéricas: simplificando, es lo que se conoce como firewall de nueva generación.

El mundo está lleno de empresas de ciberseguridad, y todas las grandes compañías tecnológicas tienen sus divisiones especializadas. ¿Qué espacio ocupa Palo Alto Networks?

Somos una empresa cotizada, con un valor bursátil [15.000 millones de dólares a finales de 2015] superior al de cualquier otra compañía independiente de ciberseguridad. Nuestra cifra de negocios es más alta que los ingresos por seguridad de cualquier gigante tecnológico. Algunos analistas vaticinan que en dos o tres años seremos la primera empresa de ciberseguridad por facturación. Y lo dicen sobre la base de nuestro crecimiento del 50% anual, de nuestra rentabilidad y nuestro cash flow positivo. No somos un especialista de nicho, ni estamos en el segmento de consumo: nuestros clientes son grandes corporaciones, como Telefónica o gobiernos como el español… por esto he venido a Madrid.

Se proponen muchas soluciones, pero la inseguridad persiste…

Esta es una industria muy eficaz para enfrentarse a amenazas a condición de que sean conocidas; si antes de sufrir un ataque se sabe algo sobre el malware que podrían usar los atacantes, quizá esas soluciones – entendidas como tecnologías aisladas – podrían corregir el problema. En la práctica no es así: la mayoría de los incidentes de ciberseguridad más sonados de los últimos años se han originado en amenazas que no podían conocerse por anticipado. El año pasado nos ha dejado una lección, todo es nuevo: el malware, las vulnerabilidades que permiten abrir una brecha, los procedimientos […]

Esas soluciones tienen un mercado y están muy extendidas.

[…] Hay mucha tecnología desplegada con la finalidad de defenderse de los ataques de malware. Los antivirus, los IPS [sistemas de prevención de intrusiones], los filtros de contenidos […] todas son realmente buenas para frenar aquello que conocemos, pero no lo que no conocemos por anticipado. Tomemos IPS, un mercado de 2.000 millones de dólares: le puedo asegurar que todas y cada una de las compañías que han sido víctimas de ataques muy dañinos y muy costosos, contaban con IPS, Pero resulta que los sistemas contra intrusiones fueron violados por intrusos: no hay un solo IPS en el mundo, tampoco el nuestro, del que pueda decirse que hubiera sido capaz al 100% de detener esos ataques. Lo mismo podría decirse de los antivirus, cuyo mercado mundial se estima en unos 4.000 millones: ninguno de esos ataques hubiera sido bloqueado por un antivirus. Me han pasado una entrevista suya al CEO de una compañía de seguridad [se refiere a Dave DeWalt, de FireEye] que vende una tecnología de sandboxing […] Sí, hay tecnologías que usan análisis de big data, y nosotros mismos ofrecemos a nuestros clientes cinco tecnologías diferentes, incluyendo sandboxing, para detectar ataques procedentes de URLs que no se habían visto con anterioridad.

¿Qué propone Palo Alto?

Cuando se detecta un ataque de cierto tipo que no se había visto nunca, ¿qué hacer? Por supuesto, lo primero es tratar de pararlo, pero puede ocurrir que en el tiempo que se tarde en pararlo, sea demasiado tarde; por eso se usa sandboxing, que permite aislar los elementos de software que, según correlaciones previas, pueden constituir amenazas. Pero los atacantes suelen ser lo bastante listos como para lanzar varios ataques al mismo tiempo. Tampoco es una solución para el 100% de los casos, bien porque no se investiga lo suficiente y a tiempo, o porque el ataque se produce entre la investigación y la limpieza.

¿Y entonces?

Creemos que hay otra forma de actuar. Cuando se detecta un ataque de cierto tipo que no se había visto antes, reprogramar la infraestructura, no digo el IPS o el antivirus o los filtros, digo todo aquello en la infraestructura que pueda servir para detener un ataque cuando se está formando. El problema es que las empresas amenazadas, que son todas, no se pueden permitir tener en nómina centenares de expertos en seguridad: ante todo, porque son escasos, y aun si los encontraran no tendrían presupuesto. Es importante entender que al enemigo que tenemos enfrente hay que combatirlo con software, con sistemas, no con personas. Las personas fracasan con demasiada facilidad.

Me está metiendo miedo.

Es lo que pretendo [risas]. ¿Ha visto Terminator? En la película, los humanos vencen a la máquina… en la vida real los humanos no pueden vencer a las máquinas. Ocurre todos los días a nuestro alrededor: una empresa recoge cantidad de información sobre algo que podría esconder una amenaza. En el mejor de los casos, habrá sido un falso positivo, o se conseguirá neutralizar el ataque a tiempo; pero, normalmente, cuando se acaba la investigación… es demasiado tarde. O sea que este modelo de seguridad no funciona.

Para eso se inventaron los firewalls. Y usted ha tenido que ver con el invento…

Claro que si quieres estar protegido, tienes que instalar un firewall, el único elemento de la infraestructura que mira hacia todas las direcciones desde las que pueda venir un ataque. Otras tecnologías, en el mejor de los casos, pueden detectar pero no frenar al atacante. Ahora bien, ¿usted sabe cuántas compañías de ciberseguridad se han creado en los diez últimos años? Probablemente, miles. ¿Y cuántas compañías de firewall hay en el mundo? Sólo cuatro, y una de ellas es Palo Alto Networks. Lo que significa que los esfuerzos de la mayoría de las compañías no sólo no han conseguido disuadir a los atacantes, sino que hace falta mucha gente para pararlos, y en consecuencia los sistemas colapsan. También significa, y no se asuste, que mucho del dinero invertido en financiar esas compañías no ha servido para lo que se pretendía […]

Hay muchísimas compañías de ciberseguridad, probablemente miles según ha dicho. Sin embargo, es muy bajo el número de fusiones o adquisiciones. ¿Por qué no se ven signos de consolidación en un mercado en el que la masa puede ser crítica?

La razón por la que hay tan pocas adquisiciones es simple: ¿para qué comprar una compañía cuya tecnología no será capaz de evitar los ataques? Hubo un momento, hace cuatro o cinco años, en el que la prensa hizo sonar las alarmas, y entonces se produjo una carrera de compras de compañías especializadas en una u otra tecnología, hasta que se comprobó que no daban el resultado esperado. Desde entonces, muchas se han convertido en compañías de servicios, porque ya nadie compra la tecnología con la que aparecieron en el mercado. También se ha vivido una fase de entusiasmo exacerbado por IPS, pero al final las compañías de IPS fueron adquiridas por compañías de firewall.

Su compañía postula el firewall de nueva generación. ¿De qué se trata?

NGFW [next-generation firewall] integra tres capacidades: firewall, IPS y control de aplicaciones. No se trata de consolidar todo en una cajita, sino de crear una infraestructura automatizada. Nosotros inventamos el concepto, y si usted presta atención al mercado encontrará compañías que a su firewall de 20 años de antigüedad le han colocado esas dos palabras mágicas: nueva generación, y las justifican por el añadido de alguna función cosmética.

Esas compañías especializadas son sus competidores. También otras como Cisco o Juniper, en la que usted trabajó un tiempo. Vamos, ¿por qué una empresa debería confiar en Palo Alto Networks en lugar de esos potentes competidores?

Ante todo, mire los números: son muchas las que se fían de nosotros. Le señalo que empezamos hace 8 años, mientras que CheckPoint ha estado en el mercado los últimos 22, y Cisco lleva 25 hablando de seguridad. Pero esta respuesta no sería satisfactoria. La competición en el mercado se da actualmente entre los grandes vendedores de seguridad, no entre los especialistas de nicho. Sólo los vendedores de firewall han sobrevivido a lo largo de 20 años […] los vendedores de antivirus están obligados a malvivir de los consumidores. Bueno, le diré por qué muchas empresas confían en Palo Alto: porque somos los únicos que en los últimos 10 años hemos creado una plataforma completamente nueva, desde cero.

Volviendo a la consolidación: ¿puede Palo Alto mantenerse independiente? ¿Podría ser comprada por otra más grande?

Por definición, toda empresa cotizada está permanentemente en venta: cualquiera puede comprar acciones y tomar el control, si el precio es convincente. Personalmente, no tengo el menor interés en trabajar para una compañía grande, y tampoco creo que un comprador potencial llegara a comprender por qué, tras desembolsar miles de millones, el talento que había en la empresa adquirida se habría dispersado en poco tiempo.

El otro lado de la pregunta es si piensan crecer mediante adquisiciones.

Hemos dicho públicamente, cuando los analistas lo han preguntado, que no creemos en la necesidad de comprar empresas para aumentar los ingresos. Lo estamos haciendo bastante bien: en el último trimestre, 290 millones de dólares, nuestro ritmo de facturación anual es de más de 1.500 millones, con un crecimiento de más del 50%. Una cifra respetable, entre las más altas de la industria, pero menos del 10% del mercado total, que se estima en unos 20.000 millones. O sea que tenemos una pequeña cuota y mucho espacio para crecer, no necesitamos comprar facturación. Tenemos una hoja de ruta a dos, tres y cinco años. Dicho esto, si acaso encontráramos una pequeña compañía que nos permitiera acelerar el crecimiento en el sitio adecuado del planeta, estaríamos dispuestos a comprarla. Ya lo hemos hecho tres veces y volveríamos a hacerlo.

¿Cuál es la perspectiva de su compañía y del mercado de ciberseguridad?

¿Desde el punto de vista tecnológico?

Sí.

La premisa es que hay que parar a los malos. Implica que la única forma de combatir los ciberataques es automatizando el proceso de pararlos. En lugar de detectarlos y poner gente a pelear con ellos, hay que detectarlos y pararlos en el acto. El primer reto es conseguir una tasa muy baja de falsos positivos: estar razonablemente seguros de que realmente se trata de un ataque. El segundo: una vez detectado, hay que reprogramar la infraestructura y para esto hace falta mucha I+D que haga mucho más rápido el proceso. La diferencia entre detección y prevención tiene que ser más corta, para parar el ataque en su fase temprana, no cuando ya se han hecho sentir los daños. Por tanto, estamos dedicando recursos en torno al sandboxing; nosotros, y nuestros competidores, deberíamos invertir más en machine learning, en análisis de big data […] esto es lo que vamos a ver en los próximos años. Como resultado, es muy probable que en el mercado se produzca un cambio generacional: el espacio de los vendedores tradicionales como Symantec o McAffee, será ocupado por compañías como la nuestra u otras como la nuestra.

¿Incluye la seguridad gestionada, la seguridad como servicio?

Algunas organizaciones prefieren ocuparse directamente de su seguridad, otras prefieren externalizarla. Mi opinión es que en torno a la arquitectura de los sistemas es muy difícil que lo hagan por sí mismas, de manera que habrá un crecimiento del outsourcing. Personalmente, creo que la actividad de monitoring va a decaer, y ese es precisamente el foco de mucho de lo que hoy se llama seguridad gestionada: sólo se puede ver lo que ocurre, y por eso esos servicios tendrán que reorientarse hacia el diseño, despliegue y operación de la infraestructura.

El reclutamiento de personal es problemático en este sector. ¿Cómo puede estar seguro de que su empresa no contribuye indirectamente a entrenar ciberdelincuentes?

En ninguna tecnología está siendo fácil reclutar personal cualificado, hay que andarse con cuidado. Cuando fundamos Palo Alto Networks, tomamos una decisión: nuestra ingeniería jamás estaría en países como China, Rusia, India, etcétera. Todos los desarrollos los hacemos en Santa Clara (California) o en Tel Aviv. También tenemos una unidad en Virginia, para estar cerca de las agencias del gobierno federal de Estados Unidos.