La semana pasada se constató un curioso cruce de trayectorias. Symantec destituyó el jueves a su CEO, Steve Bennett, tras fracasar en la promesa de enderezar las cuentas de la compañía, cuyas acciones han caído un 38% en doce meses. Coincidentemente, la cotización de FireEye seguía su carrera ascendente (un 86% de subida desde que salió a bolsa en octubre) pese a que los beneficios no están a la vista. Estas dos empresas exponentes de la vieja guardia y la nueva guardia, respectivamente, del sector de la ciberseguridad, y la diferencia entre ambas esboza el perfil del mercado, uno de los pocos de los que puede decirse que colectivamente crece y seguirá creciendo, pase lo que pase con la crisis.
Para mayor coincidencia, ese día se encontraba en Madrid el anterior CEO de Symantec, Enrique Salem – destituido por la misma razón que Bennett, y ahora miembro del consejo de administración de FireEye. En una rueda de prensa, a Salem nadie le preguntó por ello – a esa hora no se había publicado la destitución de Bennett – y, aunque la conociera, es obvio que no la iba a comentar. Pero negó que se esté produciendo una burbuja de inversiones en empresas de ciberseguridad: «hay mucho tensión en el ambiente, y los ingresos han subido, dos factores que explican esa idea de burbuja».
En efecto, hay mucha tensión. Raro es el día en que no se publica alguna noticia sobre un ciberataque. Por citar sólo los más notorios de los últimos tiempos: Yahoo admitió que una infiltración en su servicio de mail dejó al descubierto millones de cuentas de usuarios; a la cadena de supermercados Target le robaron datos de 40 millones de clientes, incluídos los de sus tarjetas de crédito y débito; Twitter denunció haber sido víctima de un ataque sistemático. A la autora del libro «Stop Cybercrime from Running Your Life» se le ha ocurrido esta frase: «sólo hay dos tipos de compañías; aquellas cuya seguridad ha sido quebrada, y aquellas que van a pasar por esa experiencia en cualquier momento».
Los cálculos sobre el gasto en seguridad varían según quien los hace, y con variantes para distintos perímetros de mercado. En lo que todo el mundo está de acuerdo es en que el problema con los programas antimalware reside en su actualizacion y en que a menudo actúan demasiado tarde. La mayor parte de los ataques actuales son del tipo llamado de día cero, lo que significa que el agente atacante no ha sido identificado con anterioridad, pero ha estado agazapado dentro de un sistema esperan el momento de golpear, o de cambiar su fisonomía para no ser detectados. En el caso de Target, el malware permaneció oculto durante meses en la red de terminales en los puntos de venta, recolectando subrepticiamente datos de los clientes de la cadena.
Esta seguidilla de malas noticias, más el goteo de revelaciones del caso Snowden, han reavivado el protagonismo de las empresas especializadas. Que no necesariamente son las mismas que han desempeñado ese papel durante años. Han aparecido en primer plano otras más pequeñas y más recientes, pero menos conocidas, como Barracuda – que suministra su appliance para proteger servidores web y de correo a clientes como Citibank o Coca Cola – o Palo Alto Networks, especialista en firewalls para redes corporativas. Otros competidores son la israeli CheckPoint y Fortinet, que han crecido mucho en 2013, despertando la demanda de sus acciones.
No se quedan al margen algunos grandes nombres de la industria, que ganan posiciones en este segmento. Cisco, por ejemplo, sigue aumentando su peso en el mercado de seguridad de redes, tras la compra de Sourcefire, hace pocos días John Chambers hacía alarde de liderazgo en ese mercado en auge. Por su pago, HP ha dado un campanazo al adjudicarse un contrato multimillonario para suministrar licencias de software sobre dos productos – Webinspect y Code Analyzer – nada menos que al departamento Homeland Security del gobierno de Estados Unidos. Se confirma así el sentido de las compras de Fortify y ArcSight.
Entre 2012 y 2013, los capitalistas de riesgo, ángeles inversores y fondos equity han canalizado fondos por 1.400 millones de dólares para financiar el desarrollo de nuevas compañías de seguridad en Estados Unidos (un 29% más que el año precedente). Una nueva generación de empresas está saliendo a la superficie, algunas de ellas creadas por antiguos especialistas en seguridad del gobierno federal. Las tecnologías que aplican son un salto con respecto a las que se han usado durante años.
Machine learning y virtualización, sumadas a las capacidades de análisis masivo de datos, son las armas con las que han irrumpido esas startups. El objetivo es la observación permanente, en tiempo real, de los patrones y anomalías que permitan detectar la inminencia de un ataque, antes de que se inicie.
Una de esas startups que renuevan el paisaje de la seguridad es Shadow Networks, que crea una «red en la sombra» de máquinas falsas para atraer intrusiones maliciosas. Otra es Splunk, en realidad una empresa de BigData que ha estado a punto de ser adquirida por Symantec. Bromium ha desarrollado una técnica para virtualizar cada proceso de los sistemas de una empresa, de manera que los aisla para prevenir su infección [una propuesta similar a la de FireEye], mientras que la novedad de Lastiline es una emulación en la nube para detectar el malware dormido que no ha sido identificado en el momento de penetrar una red protegida por fórmulas convencionales.