• David 'Moose' Wolpoff es el director de tecnología y cofundador de Randori, una compañía que ataca a sus clientes para detectar sus debilidades en ciberseguridad.
  • Wolpoff, un excontratista del gobierno estadounidense que abordó desafíos militares del tipo "discos duros que han sido disparados" dice que puede penetrar en cualquier compañía.
  • Randori acaba de conseguir 20 millones de dólares en una ronda de financiación liderada por Harmony Partners, inversores en E-Trade, Priceline y Spotify. Una fuente cercana a la compañía asegura que Randori ya se valora en más de 60 millones.
  • La startup invertirá en contratar a más personal: la compañía quiere hackers que entiendan la irrupción en sistemas informáticos como "una adicción".
  • Esta startup de hackers y de plataformas de autoataque detecta vulnerabilidades, comprueba defensas y ahorra costes a clientes como athenahealth o a organizaciones estadounidenses como la ACLU.

David ‘Moose’ Wolpoff es un tipo intimidante. Al director de Tecnología y cofundador de la startup de ciberseguridad Randori le gusta hablar sobre cómo ataca a sus clientes: en realidad, sobre cómo irrumpe en sus sistemas informáticos.

«Quizá mi visión sea un poco arrogante», dice Wolpoff. «Pero si me das el tiempo suficiente, voy a acceder a tus sistemas: no me vas a poder dejar fuera».

Randori es un término relacionado con artes marciales japonesas, y quiere decir «ataque aleatorio». Compañías que cotizan en el F500 pagan a Wolpoff y a su equipo para ser atacados. Solo eso: Wolpoff no mueve un dedo a la hora de arreglar los estropicios tras un ciberataque o para mejorar las vulnerabilidades en sistemas informáticos.

«Nunca he ayudado a subsanar un error», dice este tipo, calvo, barbudo y a menudo con el ceño fruncido. Wolpoff es un excontratista del Gobierno estadounidense que se ha enfrentado a desafíos militares del calibre de «discos duros que han sido disparados».

A pesar de todo, muchos quieren contratar a Wolpoff y darle dinero. Quizá porque es bueno tener de tu parte a alguien como él. El punto es que su empresa, Randori, acaba de levantar 20 millones de dólares en una ronda de financiación, en plena pandemia, liderada por una firma de capital riesgo neoyorquina, Harmony Partners. 

Harmony Partners también invierte en compañías como E-Trade, Priceline o Spotify.

Esta empresa de 20 personas tiene oficinas en Boston y Denver y usará esta inyección de capital para contratar hackers que tengan una visión como la de Wolpoff: reventar sistemas informáticos es «una adicción». La firma quiere mejorar su sistema de ataque automático. La meta de Randori, según Wolpoff, es garantizar «ataques reales a infraestructuras reales. Nada de simulaciones». 

La única diferencia entre Randori y los ciberdelincuentes es: «No vamos a robar los activos que encontremos para venderlos».

«La posición de Randori para ayudar a mejorar los programas de ciberseguridad de las empresas es única», dice Mark Lotke, fundador y gerente de Harmony. Inversores cercanos a la ronda aseguraron que la valoración de Randori ha aumentado hasta los 60 millones de dólares.

El CEO de Randori, Brian Hazzard, quiso montar una empresa con Wolpoff después de verle atacar a la firma de ciberseguridad en la que entonces trabajaba, Carbon Black, que fue adquirida por VMware.

«Tan pronto como Moose penetra en tu sistema, ya cuenta con ventaja», dice Hazzard con admiración. «Sabe perfectamente cómo ir a por las joyas de la corona. Nuestro trabajo es detectar las joyas de nuestros clientes. Somos un adversario de confianza».

david wolpoff empresa hackers randori
David Wolpoff. Randori.

Cómo trabaja Wolpoff

Si te parece que Moose Wolpoff sería la última persona a la que querrías pagar en estos tiempos difíciles, piénsalo bien.

El año pasado hubo más de 5,000 filtraciones de datos, lo que supuso un coste medio de más de 8 millones de dólares para empresas estadounidenses, según IBM. Muchas marcas ya han asumido que no es cuestión de si serán o no hackeadas; sino de cuándo lo serán.

Wolpoff y sus hackers empiezan solo con una dirección de correo electrónico de la empresa a la que está atacando. Este correo se introduce en la plataforma de ataque automático de Randori, que se encarga de registrar todas las cuentas a las que está vinculada, y a partir de ahí busca vulnerabilidades. Combinando aprendizaje automático y trabajo humano, Wolpoff consigue romper las defensas de compañías todo el tiempo, hasta que accede a sus redes.

La meta es identificar agujeros en sus defensas y darle a sus clientes la información que sus equipos de seguridad necesitan para entender y mejorar su respuesta ante amenazas. De este modo las compañías ahorran costes al ajustar sus necesidades de seguridad, en lugar de invertir en sistemas de defensa que en realidad no necesitan. Entre los clientes de Randori figuran el Centro para Estudios Estratégicos e Internacionales de Estados Unidos, la ACLU.

Los ejercicios de ‘red team’ —tests de ataques controlados— son habituales en la industria de la ciberseguridad: estos hackeos simulados han ayudado a empresas durante décadas. Pero la tesis de Randori es que este tipo de penetraciones vigiladas no ayudan a las empresas a enfrentarse a ciberamenazas reales.

«Queríamos ir más allá y poner a prueba todas nuestras defensas», dice John Shaffer, jefe de TI de Greenhill, una firma de inversión bancaria de Nueva York que ya es cliente de Randori.

«Nunca sabes si estás listo para pelear hasta que lo has hecho un par de veces», resume Wolpoff. Con estas palabras queda claro que él no es ningún novato: es el profesor de defensa personal que te enseña a defenderte de estos criminales.

¿La posibilidad de éxito de Moose y sus hackers irrumpiendo en los sistemas informáticos de una empresa? Es del 100%.

AHORA LEE: Trabajar desde casa abre la puerta a los hackers para robar tus datos; expertos te dicen cómo evitarlo

Descubre más historias en Business Insider México

Síguenos en Facebook , Instagram y Twitter