Para Santiago Rosenblatt (28) hackear era divertido. La primera vez lo hizo para ganar un videojuego y tenía seis años. Después, activó pases para ver la NBA y sumó dinero a su cuenta de PayPal, hasta que en la adolescencia llegaron a su casa televisores y consolas que en realidad no había pagado. En entrevista con Forbes Uruguay revela qué lo llevó a hacer el clic para cambiar de bando.
Devenido en "hacker de sombrero blanco", Rosenblatt estudió Ingeniería de Sistemas y en 2022 montó su propia empresa, Strike, junto a su socio Facundo López Juncal para replicar lo que hacía desde niño, pero ahora en defensa de los negocios.
A su fortaleza para buscar puntos débiles en la seguridad de las compañías le sumó innovación y automatización. Así logró expandirse globalmente y captar clientes de la talla de Santander, Telefónica y Delivery Hero.
En Uruguay, un reciente informe de Grupo Radar y Datasec revela que el 77% de las empresas no aplican políticas de ciberseguridad. En la región y el mundo el escenario es más auspicioso, pero no por mucho. En medio de fraudes, cuentas vaciadas y un costo global del ciberdelito estimado por organizaciones del sector en US$ 10.000 millones, Rosenblatt, de 28 años, juega fuerte.
En marzo, anunció que levantó una ronda de inversión por US$ 13,5 millones para escalar en el mercado estadounidense y alcanzar su meta de facturar más de US$ 10 millones en 2025. A pocas horas de retornar de Montevideo a New York, desde donde gestiona el crecimiento de Strike, concedió una entrevista a Forbes Uruguay. A continuación, una síntesis del intercambio.
En Uruguay la ciberseguridad está en la portada de los diarios. Fueron hackeadas páginas web del gobierno y quedaron expuestos datos del presidente, entre otros. ¿Qué tan vulnerables somos?
Está habiendo un impacto de ataques bastante alto, pero no es solo en Uruguay. Los índices de adopción muestran que hay digitalización y entendimiento de la ciberseguridad en Uruguay. En un índice del 1 al 10, Uruguay, Argentina, Chile y Brasil están en un 8, es decir, entienden que la ciberseguridad es importante; otros países de la región están en 6. Uruguay siente la necesidad, pero todavía faltan más recursos económicos para implementar tecnología y talento que permitan estar preparados ante los ataques. Latinoamérica, en general, está cuatro o cinco años detrás de EE.UU. en certificaciones, regulaciones y en entendimiento de la importancia que tiene que tu empresa esté segura.
¿Hay sectores más vulnerables a los ciberdelitos?
Sí, principalmente, financieras y salud. Las financieras mueven dinero, hemos encontrado vulnerabilidades que nos han permitido en un banco reconocido —no Santander— vaciar cuentas con varios millones de dólares. Lo financiero está siempre más expuesto y vulnerable. También en e-commerce están todo el tiempo con actualizaciones y hoy cada vez más las empresas quieren probar antes de ponerlas online para asegurarse de que las cosas estén seguras. Hoy levantás una página web y a los 40 minutos ves cómo te están intentando hackear.
Antes estabas de ese lado. ¿Qué te hizo cambiar de bando para pasar a defender las empresas?
Cuando arranqué tenía cientos de miles de dólares en créditos hackeados en juegos o en plataformas. Para mí era un juego, no era real. Pero cuando a los 14 años encontré una vulnerabilidad en un marketplace que me permitía comprar todo sin pagar y por US$ 8 llegaron a mi casa un Samsung Smart Tv, un PlayStation, dije: esto es real y está mal. Ahí hice el clic por ayudar a las empresas y también para no terminar en cana. Me di cuenta de que no era un juego y que estaba robando.
¿Cuándo y cómo fue la primera vez que hackeaste?
Era muy inquieto, desarmaba los juguetes para ver cómo funcionaban desde los 3 años hasta los 6. Tuve la suerte de tener una computadora en casa, uní la curiosidad con la parte digital y de las primeras cosas que recuerdo haber empezado a hackear fue Club Penguin. Mis amigos me llamaban para que les hackeara los juegos remoto a ellos. Después fui pasando a NBA para ver a Kobe Bryant en los Lakers, PayPal para tener suscripción ilimitada a cualquier cosa que pudieras pagar con eso y más adelante marketplaces, hasta que transicioné a defender las empresas para bien, por suerte.
Ahora con Strike levantaste una ronda de inversión Serie A por US$ 13,5 millones —over suscribed por US$ 30 millones— liderada por Fintech Collective y Galicia Ventures, y en total llevan captados casi US$ 20 millones desde que empezaron en 2022. ¿Para qué van a usar ese capital?
Nos estamos expandiendo fuerte en EE.UU. y avanzando en innovación, en automatizar todo el proceso de penetration testing (pentesting) que se usa para atacar a las empresas, encontrar sus puntos débiles y resolverlos. Para eso fuimos a levantar una Serie A, para enfocar los esfuerzos, redoblar la apuesta en EE.UU. y contratar talento top en Inteligencia Artificial (IA), data y machine learning para esta automatización.
"Hoy levantás una página web y a los 40 minutos ves cómo te están intentando hackear"
¿Cómo conquistás a un inversor para que apueste a Strike?
Hoy miran que estés creciendo rápido y al mismo tiempo que tengas eficiencias. Se acabó eso de crecer a todo costo. Sería muy difícil que empresas de quick commerce crecieran como lo hicieron entre 2010 y 2020 con el contexto actual a nivel de mercados y de fondos. En octubre, cuando fuimos a levantar la ronda, yo dije cuál era el revenue con el que íbamos a terminar el año y en ese número se terminó. Eso da mucha seguridad a los inversores. Ven la visión, el producto y el equipo para llegar a eso. En una serie A ya empieza a ser mucho más tangible que en una seed o pre-seed, en las que se vende una visión.
¿Cómo es su modelo de negocio?
Es B2B SaaS. Básicamente, una empresa entra a la plataforma, selecciona los recursos que quiere probar y en base a eso es el costo. Cuando pagan la suscripción anual tienen acceso a la plataforma, pueden gestionar las vulnerabilidades que encontramos en sus sistemas y acceder a reportes en tiempo real. Inclusive, ahora hay un módulo que hace que lo que antes requería una persona y dos días para probar, hoy lo puedan probar en 10 segundos sin ninguna persona.
Strike crece a tasas de 3x al año desde que comenzó en 2022. ¿Qué gran objetivo tienen para 2025?
Estamos fuertemente enfocados en consolidarnos en los mercados que estamos abriendo, sobre todo en EE.UU., llegando a superar los US$ 10 millones de facturación anual recurrente a fin de año y después, para ese momento, llegar a automatizar por lo menos el 50% del pentesting; hoy estamos en un 15%.
¿Qué mercados le mueven la aguja a Strike?
Estamos en los países de habla hispana de Latinoamérica. Arrancamos en Uruguay en la pandemia, seguimos por Latinoamérica, después México y el año pasado yo me mudé a Nueva York. México es el 19% de nuestros ingresos y Latam, sin contar Brasil, el 58%. EE.UU. es el 11% y Europa alrededor del 12%. Pero hasta ahora Latinoamérica es nuestro principal mercado y queremos que a fin de año EE.UU. represente entre 40% y 44% de la facturación.
¿Cuáles son sus mayores clientes?
Tenemos clientes de US$ 15.000 y otros de un conglomerado como puede ser Credicorp, de medio millón de dólares. El 70% de nuestros clientes son entidades financieras. Hay bancos tradicionales como Santander, una procesadora de pagos como Astropay, Pomelo o Ualá. En tech está Delivery Hero, OLX y en la parte de salud tenemos, por ejemplo, a Thirty Madison de EE.UU. En lo más tradicional a Telefónica y a TIGO. Esos son algunos clientes relevantes.
¿Qué tan grande es el problema del ciberdelito? ¿Qué valor tiene el mercado?
El mercado que estamos atacando nosotros, que es de seguridad ofensiva y toca también el segmento de cyber insurance, está en unos US$ 24.000 millones y esto se multiplicará por cuatro para 2030. Solo en EE.UU., en nuestro punto clave —que son empresas de 500 a 5.000 empleados— hay 132.000 empresas que precisan Strike.
¿Cuál fue tu estrategia para conquistar al primer cliente?
El primero está peleado entre la fintech Prometeo y Tiendamia. Recién arrancábamos y fue más por contactos. Ellos confiaban en mí y entendían que estaba haciendo algo que estaba bueno, lo probaron y les gustó. Después ya pudimos mostrar casos de estudio, qué pasó con otras empresas. Pero al empezar se necesita mucha confianza.
¿Cuánto inciden los fundadores en las ventas?
Al principio, un montón, después se logra una estrategia fácil de replicar por el equipo. Para pasarlo a números, en nuestro primer año (2022) el 88% de los ingresos vino de mí y de mi socio, Facundo (López Juncal). El siguiente año, el 18%, y el año pasado menos del 5%. Ahora hay contratos mayores a US$ 100.000 en los que ni siquiera participo.
"Solo en EE.UU. en empresas de 500 a 5.000 empleados hay 132.000 que precisan Strike. Es tremendo".
¿Reclutaste hackers que delinquían?
Sí, me tocó reclutar hackers éticos a mí, pero nunca uno que tuviera un mal pasado. Nosotros usamos cinco pasos para validar a nuestros strikers; el tercero, cuarto y quinto tienen que ver con verificar sus antecedentes. Después, firman un acuerdo de confidencialidad e inclusive cada vez que se les va a pagar se corre un chequeo para corroborar que la cuenta de banco no esté en una lista negra.
¿Cuál es la modalidad de hackeo más sofisticada que hay actualmente?
Ataques que combinan ingeniería social y deepfake y te permiten hacerte pasar por alguien más, por ejemplo, en una videollamada donde se copie la voz y la imagen de otra persona. Con esto pueden vaciar las cuentas de banco y acceder a los datos privados. La más grave es poder autenticarnos ante cualquier empresa de las top del mundo. Otro puede ser que logres acceder a un sistema interno de una compañía y que eso te permita vulnerar todo. Muchas veces las empresas se protegen contra todo lo que viene de afuera, pero no tienen nada a nivel interno. Con este tipo de ataque lográs utilizar el propio activo de una empresa para atacarla.
¿Cuánto le puede costar eso a una empresa vulnerada?
Decenas de millones de dólares por lo bajo, porque va en la confianza, en la reputación de marca, los usuarios se van a ir a otro lugar y, sobre todo, si yo puedo autenticarme como si fueras vos, puedo vaciar tus cuentas o puedo acceder a lo que utilizás para firmar digitalmente y firmar por vos. Eso es lo que más impacta.
Fuiste hacker y vivís rodeado de estafas y delitos. ¿Qué tan desconfiado sos para los negocios?
No me meto en algo porque sí, trato de analizarlo y entender a lo que estoy entrando, tomar la decisión con cabeza. Si algo es muy bueno para ser verdad, considero que no es verdad.
¿En qué invertís tu dinero?
Tuve un momento en el que tenía mucho en stocks (acciones), como en 65 empresas. Hoy en día estoy diversificado. Tengo cripto, acciones, alguna cosa de real estate, bonos, letras del Tesoro americano y después tenía vacas... en Conexión Ganadera.
Es uno de los "fondos" ganaderos acusados por estafa, ¿cómo te impactó?
Es un excelente aprendizaje para entender que si es muy bueno para ser verdad posiblemente no lo sea. Mi consejo es estar diversificado, porque en mi caso dolió, pero no fue tan fuerte el impacto. Con lo que es ahorro e inversión siempre me acostumbré a vivir muy por debajo de lo que podría vivir, entonces nunca tuve que cambiar mi estilo de vida.
¿Cualquiera puede emprender?
Cualquiera, pero tenés que querer más que el resto. No hay que ser más inteligente, hay que tener mucha convicción, muchas ganas y disciplina. Esas dos cosas le ganan por robo a tener un coeficiente intelectual más alto. Yo soy una persona completamente normal, pero con muchas ganas y mucha convicción.
¿En dónde te ves de acá a 10 años?
Lo que quiero de Strike es que para los próximos 10 a 25 años estemos ayudando directa o indirectamente al 70% de las empresas del mundo. Y yo en 10 años quiero estar ayudando bastante a las personas.
¿Cómo pensás ayudar a otros?
Estando en contacto con muchas más startups. Hay gente que quizás no tiene muchos contactos, como fue en mi caso, para arrancar. Quiero devolver lo que recibí. Hay mucha gente que me ayudó, con conocimiento, con conexiones, también con dinero obviamente. De la misma forma, yo quisiera compartir para que otros puedan generar más impacto.
