No ha sido nada aburrido el verano para Palo Alto Networks. Todo lo contrario, muy movido. En coincidencia con el cierre de un año con crecimiento del 15%, el cofundador Nir Zuk anunciaba su retirada. Pero la noticia ha hecho poco ruido, toda vez que la compañía estaba al mismo tiempo involucrada en un vaivén de anuncios y rumores. Un competidor emergente, Sentinel One, era su presunto objetivo de compra. No se concretará, por lo menos en corto plazo. En cambio, sí ha fructificado la negociación por CyberArk (25.000 millones de dólares), con la que consigue reforzar sus posiciones en la rivalidad con CrowdStrike y Zscaler, que tienen en común parecidas estrategias de ´plataformización`.
Nikesh Arora
Los resultados del cuarto trimestre del año fiscal fueron mejores de lo esperado y, en consecuencia, las previsiones para el año en curso son muy optimistas. Con una facturación de 2.540 millones de dólares, el crecimiento fue del 16% en el último cuarto, contribuyendo a cerrar el ejercicio con 9.200 millones. Los ingresos recurrentes (ARR) de sus productos de nueva generación (NGS) crecieron un 32% hasta alcanzar los 5.600 millones. Es un parámetro central para los inversores.
No sorprende, pues, que tanto el CEO Nikesh Arora como el CFO Dipak Golechha destilaran entusiasmo en la conferencia con analistas, al presentar unas previsiones en la horquilla de entre 10.480 y 10.530 millones para el año fiscal 2026 en el que ha entrado Palo Alto Networks. Más que cualquier analista, un detalle que no ha pasado inadvertido en Wall Street. Sólo en el primer trimestre, Golechha cifró las obligaciones de compra pendientes en 15.500 millones, que superan con creces las estimaciones iniciales. En cuando a los ARR, se espera un incremento notable, rondando el 27% con unos 7.100 millones de dólares. Consecuencia: la cotización tocó su techo histórico el 19 de septiembre y en nueve meses ha subido un 15,6%.
En este contexto, el anuncio de la marcha de Nir Zuk, quien fundó la compañía en 2005 y últimamente se reservaba la función de CTO, no ha causado ningún revuelo. Quizá se deba a que en los últimos años no se le veía especialmente involucrado en la definición estratégica, distraído por sus inversiones personales, entre las que se encuentra la creación de un banco digital en Israel. Su sustituto será Lee Klarich, quien fue fichado en 2006 y hasta ahora se desempeñaba como director de productos.
Con la tranquilidad que dan los buenos resultados, la atención se ha desplazado a los movimientos de talonario. Hubo un rumor que sólo fue una ilusión óptica engendrada por vaya a saber por quién. Lo cierto es que le versión según la cual Palo Alto se aprestaba a adquirir SentinelOne, provocó una subida del 15% en las acciones de la segunda, que convive desde hace más de un año con esa conjetura. En 2023 se habló (y se publicó) que estaba a punto de ser adquirida por Wiz, empresa que ha terminado adquirida por Google en nada menos que 32.000 millones de dólares [se da la circunstancia de que Zuk es accionista de Wiz].
Hay que reconocer que la operación debería haber tenido sentido estratégico, al fortalecer la oferta de Palo Alto en el segmento de detección y respuesta (EDR) en el que ahora mismo es superada por CrowdStrike y por Microsoft. La absorción de la plataforma Singularity, de SentinelOne y su integración con las operaciones XSIAM de la compradora habría cerrado esa brecha al menos en parte.
Según la prensa israelí, que sigue con asiduidad la evolución de este sector de la ciberseguridad, un detalle chirriaba en los rumores de compra de SentinelOne: el tamaño de la operación. Desde 2018, Palo Alto ha digerido 17 empresas, todas de dimensiones menores (250 millones de precio medio) por lo que el esfuerzo de la adquisición – supuestamente entre 15.000 y 20.000 millones – se antojaba excesivo.
Sin embargo, en un insólito giro de guión, la compañía dirigida por Nikesh Arora dio a los pocos días una sorpresa mayúscula con la compra más alta de su historia: 25.000 millones de dólares por CyberArk, especialista de la categoría conocida como PAM (Privileged Access Management) que ha adoptado recientemente el modelo de suscripción. Esta operación, precedida de la venta de Wiz a Google, han alterado bruscamente la idea de que la consolidación del sector de ciberseguridad se produce lentamente y por su parte baja.
Palo Alto Networks es un ejemplo. Sus únicas compras que llegaron a superar el millar de millones fueron QRadar adquirida a IBM y la de Expanse, por 1.250 millones. Aunque la bolsa recibió la compra de CyberArk con un descenso momentáneo de la acción de Palo Alto, la opinión unánime es que sale reforzada en la batalla con sus rivales.
El precio pactado ha acabo alineándose con la capitalización en bolsa de Cyberark, que mejoró un 11% desde que se anunció la operación. Pero su cotización venía lanzada: un 31% más desde el 2 de enero. Todos contentos.
A diferencia de CrowdStrike, que a finales del 2024 compró la empresa Adaptive Shield, la gestión de identidades era una de las asignaturas pendientes en la plataforma de Palo Alto Networks. Además, esta categoría está adquiriendo un peso innegable con la eclosión de los agentes de inteligencia artificial, dado que a la vigilancia de las identidades humanas ahora habrá que extremar la de estos agentes inmateriales, cada vez más numerosos. De hecho, las estimaciones de CyberArk hablan de 82 identidades de máquina por cada una de humano en las organizaciones de todo el mundo.
El daño que podría infligir un agente de IA no autorizado en el entorno empresarial es alarmante, dado que en muchos casos disfrutan de acceso privilegiado a datos de riesgo. Por este motivo se impone la necesidad de que estos agentes de AI se autentiquen en sistemas críticos, con estrictos controles de acceso que restrinjan su actividad exclusivamente a las funciones previstas. Tanto es así que Gartner pronostica que para 2028 el 25% de las infracciones que experimentarán las empresas tendrán como origen el abuso de agentes de IA.
Con la tecnología de CyberArk, que encaja a la perfección en los enfoques de seguridad Zero Trust, Palo Alto espera atajar esos problemas, puesto que comprueba constantemente la identidad y el contenido de cada acceso, actualizando los permisos automáticamente, si así fuera requerido. A diferencia de lo que ocurre en empresas que administran identidades de usuarios y máquinas en diferentes sistemas, generando indeseables ´silos de identidad`, CyberArk lo hace bajo un mismo paraguas.
Con la compra de CyberArk, Palo Alto Networks se marca un golpe de autoridad en su pugna con CrowdStrike por la plataformización de la ciberseguridad. A fin de cuentas, su oferta ya cubría la red, la nube y los puntos terminales, a los que ahora sumará el segmento de identidad para los invasivos modelos de IA.
Sería ingenuo ignorar que la integración de una compañía con más de 25 años haciendo las cosas a su manera será más complejo que adquirir una startup en la que todo está fresco. También es verdad que, a diferencia de otras adquisiciones, la oferta de CyberArk parece complementar muy bien la de Palo Alto, en un segmento que esta no cubría. No habrá, pues, duplicidad de producto ni de equipos humanos. Otro de los puntos a favor que los directivos de la compradora repiten a quien quiera oírlo es que probablemente estimulará las ventas cruzadas.
En suma, la adquisición de CyberArk ha sido la noticia del verano. Consolida la estrategia de plataformización – cuya inspiración se atribuye a Nir Zuk – y acumula más clientes. Cuando, en 2022, Arora expresó su intención de hacer de Palo Alto la primera compañía de seguridad de 100.000 millones de dólares, no iba desencaminado: al cierre de septiembre, su capitalización bursátil supera los 135.000 millones.
[informe de David Bollero]