El phishing es un tipo de ciberdelito en el que un atacante se hace pasar por una fuente de confianza para obtener información sensible de la víctima, como contraseñas, datos o números de tarjetas de crédito. A través de correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos se manipula a las personas para que descarguen malware, compartan información confidencial o realicen determinada acción que las exponga a ellas mismas o a las organizaciones de las que forman parte. 

Los datos que se obtienen se utilizan luego para el robo de identidad, el spam, el fraude o el espionaje empresarial, implicando una pérdida financiera enorme para las organizaciones, figurando entre las causas más comunes y la segunda más costosa de las filtraciones de datos. 

Si bien el phishing es una amenaza creciente y latente en todo el mundo, en el último tiempo, América Latina se ha convertido en la región más atractiva para los ciberdelincuentes. La pandemia ha hecho su parte en tanto cada vez son más los colaboradores teletrabajando, pero también esto se explica por la falta de concientización en las empresas sobre el tema y de implementación de buenas prácticas que reduzcan los ataques al mínimo posible.  El 90% de los incidentes de seguridad comienzan con un error humano.
 

Este es el escenario en el que surgió Whalemate, una plataforma de security awareness que tiene un software interactivo de educación anti-phishing y una plataforma de learning de ciberseguridad. 

“Yo trabajaba en una empresa de ciberseguridad”, cuenta Federico Joel Hombre, CTO de Whalemate. “Empecé a trabajar a los 19, mientras estudiaba Ingeniería en Sistemas en la UTN. A los 24 me sumé a una startup de ciberseguridad y empecé a hacer investigación de seguridad y de productos. Éramos una empresa de seguridad, todos Ingenieros, y cada vez que mandaban el reporte de phishing interno había un 30% de gente que había hecho click. Evidentemente había algo que estábamos haciendo mal”. 

Esto se fue incrementando en pandemia porque mucha más gente y más empresas tuvieron que dar el salto a la digitalización de manera abrupta. “Las organizaciones no estaban pudiendo capacitar a sus colaboradores”, dice Hombre.

En aquel momento, Federico conoció a Lucas Lopatin, quien luego sería el primer inversor de Whalemate. “Él quería ayudar a la gente a comenzar sus empresas, a emprender. Nos juntamos, avanzamos y con el tiempo le dimos forma a una idea que no prosperó. Luego le presenté lo que era Whalemate y le encantó. Empezamos en una búsqueda de socios comerciales y ahí llegamos a Mateo”. 

Mateo Bovio, CEO de Whalemate, es ingeniero industrial del ITBA, Master en RRII por la Universidad de Bologna (Italia), Master en Neurociencias por la Universidad Favaloro y MBA por la Universidad de Trieste (Italia). “Yo ya había hecho una primera startup y estaba abierto a hacer una segunda”, narra. 
 

Hoy la compañía está radicada en Estados Unidos, y es propiedad de Federico, Mateo, Lucas Lopatin, Tomas Mindlin y Alejandro Asrin, Presidente de Naranja X, y el último que se sumó como inversor del proyecto. 

“En 2023, Asrin se interesó en la startup porque entendió que las empresas están demandando soluciones innovadoras en ciberseguridad como la que ofrece Whalemate. Con mirada a largo plazo, su objetivo es dar impulso al proyecto y ayudarlo a crecer, aportando experiencia, redes y capital”, expresan los emprendedores.

Si bien la compañía tiene un año y medio de vida, los primeros clientes de México y Argentina, Mendel y Tapi, se sumaron en septiembre de 2022, con la incorporación de Asrin el servicio “se profesionalizó aún más”, aseguran. “Nos permitió focalizarnos en clientes de mayor envergadura, focalizar en ventas, contratar recursos para producción de contenidos y desarrollo de producto. Nos permitió llegar a otro nivel”.

La propuesta de valor de Whalemate

En la actualidad existen empresas que brindan servicios similares, pero ninguna que lo haga para el mercado latinoamericano. “Lo que hicimos, cuando creamos la plataforma, fue diseñar un modelo similar a Duolingo, entendiendo que estamos ensañando o capacitando sobre algo que es tedioso, pero de manera divertida”, explican. “Sumado a ello, no es lo mismo capacitar a un gerente, a alguien de ventas o alguien de TI”. 

“Cada persona tiene que aprender cosas diferentes y está bueno armar esa estrategia para educar al mundo de manera distinta según sus necesidades”, destaca Bovio. “En América Latina tenemos todo por hacer, no hay gamification, no hay automatización, personalización por área, ni por país en lo que respecta a concientización en ciberseguridad”. La empresa utiliza gamification y neurociencias para que “aprender sea divertido”, aseguran. 

Whalemate es una solución SaaS que cuenta con un software de generación automática y personalizada de campañas de phishing y una plataforma de learning en ciberseguridad.

“Nuestra plataforma es un Software as a Service que se paga de manera anual”, detalla Federico. “La plataforma tiene dos partes basadas en los conceptos de ciberseguridad de red team y blue team, donde el equipo azul defiende y el equipo rojo se dedica a atacar a quienes defienden para mantenerlos alerta. Nosotros realizamos lo mismo con los colaboradores de una empresa: los capacitamos a través de la generación de campañas de phishing y con una plataforma de learning en ciberseguridad”.

Es decir, detalla el CTO, “brindamos una parte de cursos donde podemos asignarle un camino de aprendizaje y después una parte donde se mandan las campañas de phishing de manera automática. La organización después puede ver las estadísticas de quién cayó, quién no cayó, qué área está más vulnerable. Eso te sirve como estrategia para lanzar entrenamientos más especializados, y tener un mejor entendimiento de nuestras debilidades”.

En este sentido, “hay dos maneras de ver el impacto de Whalemate”, plantea Hombre. “La primera, si una empresa está certificando una normativa de ciberseguridad, con Whalemate se le asignan los cursos a los colaboradores, se le da el seguimiento correspondiente y con esto ya tiene el reporte de auditoría que le garantiza el cumplimiento. Por otro lado, si usa Whalemate para subir los niveles de concientización, va a empezar a ver en las estadísticas de la compañía cómo va decreciendo la curva de la cantidad de gente que hace click. Si educa va bajando ese número”.

Presente y futuro del negocio de Whalemate

Hoy la empresa cuenta con más de 100 clientes en todo América Latina, especialmente de la industria fintech y bancaria como Tapi, Belo, Fintual, LetsBit, Vita Wallet y Lemon, pero también Georgalos y Tsoft, por ejemplo, forma parte de la lista de empresas que ya confían en su servicio. 

Los fundadores de Whalemate apuntan a seguir creciendo en cantidad de clientes, robusteciendo el producto para lograr mayor competitividad, innovando en el contenido que ofrecen y ampliando el ecosistema de canales que han comenzado a forjar para lograr la capilaridad deseada en todos los países de la región. Si bien Argentina es relevante en tanto es el país donde nació la empresa, Chile, México y Colombia son los mercados donde ven mayores oportunidades de crecimiento. “En seis meses vamos a estar en un nivel donde el producto ya no tendrá competencia”, concluyen.