Santiago Rosenblatt tiene un objetivo claro, que Strike supere los US$ 10 millones de facturación anual para fin de año. Para eso apuesta con fuerza a la expansión en el territorio norteamericano, donde ya tiene mapeados sus objetivos: "Hay 132.000 empresas que necesitan Strike". En Uruguay, un reciente informe de Grupo Radar y Datasec revela que el 77% de las empresas no aplican políticas de ciberseguridad. En la región y el mundo el escenario es más auspicioso, pero no por mucho. En medio de fraudes, cuentas vaciadas y un costo global del ciberdelito estimado por organizaciones del sector en US$10.000 millones, la empresa uruguaya Strike atiende a clientes de la talla de Santander, Delivery Hero y Telefónica.

En ese mercado de la ciberseguridad ofensiva, Rosenblatt se mueve como pez en el agua. Para él todo empezó como un juego a los 6 años cuando hackeó videojuegos por primera vez. Ahora, junto a su equipo de 51 colaboradores, es el escudero de grandes empresas que le confían sus vulnerabilidades para estar protegidas ante el delito cibernético. A pocas horas de retornar de Montevideo a New York, desde donde gestiona el crecimiento de Strike, Rosenblatt concedió una entrevista a Forbes Uruguay. A continuación, un resumen del intercambio.

Strike acaba de levantar una ronda de inversión Serie A, ¿quiénes invirtieron y por qué monto?

La ronda de inversión la lidera Fintech Collective, un fondo americano que también mira Latinoamérica, y después Galicia Ventures, algunos inversores ángeles y de la ronda pasada- seed- tuvimos mucho apoyo. Levantamos US$ 13.5 millones, pero over suscribed por US$30 millones. Entonces, todos los fondos que ya estaban antes quisieron poner mucho más de lo que les correspondía por contrato.

¿A qué se destinará el capital?

Nos estamos expandiendo fuerte en Estados Unidos y avanzando en innovación, en automatizar todo el proceso de penetration testing (pentesting), desde el descubrimiento de vulnerabilidades hasta la resolución de las mismas. Para eso fuimos a levantar una serie A, para enfocar los esfuerzos, redoblar la apuesta en Estados Unidos y contratar talento top en Inteligencia Artificial (IA), data y machine learning para esta automatización. 

   En esta ronda el monto fue de US$ 13.5 millones, si le sumamos la ronda seed, ¿cuánto capital lleva levantado, en total, la empresa? 

Unos US$19.5 millones. 

¿Cuál es hoy en día el modelo de negocio de Strike? 

Es B2B SaaS. Básicamente una empresa entra a la plataforma, selecciona los recursos que quiere probar y en base a lo que quieren probar es el costo. Cuando pagan la suscripción anual tienen acceso a la plataforma, pueden gestionar las vulnerabilidades que inclusive sus equipos encuentran y las que encuentra Strike y acceder a reportes automatizados en tiempo real. Inclusive ahora hay un módulo de retesting automatizado que hace que lo que antes requería una persona y dos días para probar, hoy tarde 10 segundos sin ninguna persona y pueda dar todo el flujo de lo que se está probando. 

 ¿Cuál es el gran objetivo para 2025? 

Estamos fuertemente enfocados en consolidarnos en los mercados que estamos abriendo, sobre todo en Estados Unidos, llegando a una facturación que supere los US$ 10 millones de revenue o facturación anual recurrente a fin de año y después, para ese momento, llegar a automatizar por lo menos el 50% del pentesting, hoy estamos en un 15%.

 Hablás de expansión, ¿cuáles son los mercados que hoy mueven la aguja para Strike y a cuáles quieren acceder? 

Estamos en los países de habla hispana de Latinoamérica. Arrancamos en Uruguay en la pandemia, seguimos por Latinoamérica, después México y el año pasado yo me mude a Nueva York. México es el 19% de nuestro revenue y Latam, sin contar Brasil, el 58%. Estados Unidos es el 11% y Europa alrededor del 12%. Pero hasta ahora Latinoamérica es nuestro principal mercado y queremos que a fin de año Estados Unidos represente entre 40% y 44% de la facturación.

En volumen, ¿cuáles son sus mayores clientes? 

Tenemos clientes de US$ 15.000 y otros de un conglomerado de un grupo como puede ser Credicorp de medio millón de dólares. El 70% de nuestros clientes son entidades financieras. Hay bancos tradicionales como Santander, una procesadora de pagos como Astropay, Pomelo o Ualá. En tech está Delivery Hero, OLX y en la parte de salud tenemos, por ejemplo, a Thirty Madison de Estados Unidos. En la parte más tradicional a Telefónica y a TIGO. Esos son algunos clientes relevantes.   

Al momento de conquistar a un inversor, ¿cuál es tu señuelo para que apueste a Strike?

 Hoy miran que estés creciendo rápido y al mismo tiempo que tengas eficiencias. Se acabó eso de crecer a todo costo. Sería muy difícil que empresas de quick commerce crecieran como lo hicieron entre 2010 y 2020 con el contexto actual a nivel de mercados y de fondos. Hoy lo importante es mostrar que la máquina de ventas funciona, qué tenés muy claras las distintas métricas y que si yo pongo determinado capital para generación de demos, voy a tener cierta conversión que va a resultar en tal número de clientes en un tiempo estabecido. La clave es mostrar eso claro y el camino hacia atrás que comprueba que fuiste cumpliendo esto todo el tiempo. En octubre cuando fuimos a levantar la ronda yo dije cuál era el revenue con el que íbamos a terminar el año y en ese número se terminó el año. Eso da mucha seguridad a los inversores.

 Ven la visión, el producto y el equipo para llegar a eso. En una serie A ya empieza a ser mucho más tangible que en una (ronda de inversión) seed o pre-seed en las que se vende una visión.

  ¿Qué facturación manejan hoy y cuál es su tasa de crecimiento? 

No sé si puedo decirlo, pero estamos hablando de millones de dólares y venimos creciendo 3x año a año desde que lanzamos. 

 ¿Cuántos clientes tienen hoy en día? 

Un poquito más de 100. La mayoría está concentrada en Latam, tenemos en Europa, en Australia, en Brasil. En Estados Unidos hay un poco más de 20 clientes. 

La ciberseguridad es transversal a todas industrias, pero ¿hay sectores más vulnerables hoy en día?

  En lo que es industrias principalmente financieras y salud. Las financieras mueven dinero, hemos encontrado vulnerabilidades que nos han permitido en un banco reconocido -no Santander- vaciar cuentas con varios millones de dólares. Lo financiero está siempre más expuesto y vulnerable. También definitivamente la parte de salud. En e-commerce también están todo el tiempo con nuevos features y hoy cada vez más las empresas quieren probar antes de salir a producción para asegurarse de que las cosas estén seguras. Hoy levantás una página web y a los 40 minutos ves cómo te están intentando hackear. 

 ¿Qué tan grande es el problema? ¿Qué valor tiene el mercado? 

El mercado que estamos atacando nosotros que es de seguridad ofensiva y toca también la parte de cyber insurance está en unos US$ 24 billions y esto se multiplicará por cuatro para 2030.  

Solo en Estados Unidos en nuestro punto clave, que son empresas de 500 a 5.000 empleados, hay 132.000 empresas que precisan Strike. Es tremendo.

Hablando de las vulnerabilidad de las regiones, ¿cómo está Uruguay como mercado a nivel de ciberseguridad?¿Hay diferencias con otros países de la región o con el mundo? 

Separo por regiones. Latinoamérica está cuatro o cinco años detrás de Estados Unidos por ejemplo en certificaciones, regulaciones, en entendimiento a la importancia que tiene que tu empresa esté segura porque si no te parten al medio, perdés un montón de credibilidad, de dinero, te comés una multa y tenés que pagar millones. Con respecto a la región estamos bien posicionados, pero si te comparás con los mejores en el mundo hay una distancia. Estamos en el momento en el que se comienza a entender la importancia de proteger las empresas y los datos. 

 ¿Cuál es el ciberataque más costoso que viste en el último tiempo? 

Ataques que te permiten impersonarte para acceder a la cuenta de cualquier otra persona en el mundo, sea desde una entidad financiera a una entidad que se encarga de autenticar a todos. Vaciar cuentas de banco, acceder a los datos privados-inclusive contraseñas de los usuarios- de algunos bancos en Centroamérica. La más grave es poder autenticarnos ante cualquier empresa de las top del mundo.

¿Cuánto le puede salir eso a una empresa que es vulnerada de esa forma? 

Decenas de millones de dólares por lo bajo, porque va a en la confianza, en la reputación de marca, los usuarios se van a ir a otro lugar y, sobre todo, si yo puedo autenticarme como si fuera vos en una aplicación muy importante que vos utilizas para acceder a cualquier otra aplicación o sistema, puedo vaciar tus cuentas o puedo acceder a lo que utilizas para firmar digitalmente y firmar por vos, eso es lo que más impacta.  

¿Cuándo fue la primera vez que hackeaste y cuál fue tu objetivo? 

Todo empezó como un juego. Era muy inquieto entonces desarmaba los juguetes para ver cómo funcionaban desde los tres años hasta los seis. Ahí tenía la suerte de tener una computadora en casa, uní la curiosidad con la parte digital y de las primeras cosas que recuerdo haber empezado a hackear fue el juego Club Penguin. Mis amigos me llamaban para que les hackeara los juegos remoto a ellos. Después fui pasando a NBA para ver a Kobe Bryant en los Lakers, PayPal para tener suscripción ilimitada a cualquier cosa que pudieras pagar con eso y más adelante marketplaces hasta que transicioné a defender las empresas para bien, por suerte.  

Con lo que es ahorro e inversión siempre me acostumbré a vivir muy por debajo de lo que podría vivir

¿Qué te hizo a vos cambiar de bando y hacer ese clic entre hackear una empresa y defenderla? 

Cuando yo arranque tenía cientos de miles de dólares en créditos hackeados en juegos o en plataformas. Para mí era un juego, no era real. Pero cuando a los 14 años encuentro una vulnerabilidad en un marketplace que me permite comprar todo sin pagar y por US$ 8 me pido cosas, llegan a mi casa un Samsung Smart Tv, un PlayStation, digo esto es real y está mal. Ahí fue cuando hice el clic por ayudar a las empresas y también para no terminar en cana. En ese momento me di cuenta de que no era un juego y que yo estaba robando básicamente.

¿En qué invertís tu dinero?

Hoy en día estoy diversificado. Tuve un momento en el que tenía mucho en stocks (acciones) como en 65 empresas, pero tengo crypto, tengo acciones, tengo alguna cosa de real estate, bonos, letras del tesoro americano y después tenía vacas, tenía mucho en vacas en Conexión Ganadera.

Conexión Ganadera es uno de los fondos ganaderos acusados por estafa, ¿cómo te impactó?

 Es un excelente aprendizaje para entender que si es muy bueno para ser verdad posiblemente no lo sea. Mi consejo es estar diversificado porque en mi caso dolió, pero no fue tan fuerte el impacto. Con lo que es ahorro e inversión siempre me acostumbré a vivir muy por debajo de lo que podría vivir, entonces nunca tuve que cambiar mi estilo de vida.

¿Cualquiera puede emprender?

Cualquiera que tenga ganas. Tenes que querer más que el resto. No hay que ser más inteligente, hay que tener mucha convicción, muchas ganas y disciplina. Esas dos cosas le ganan por robo a tener un coeficiente intelectual más alto. Yo soy una persona completamente normal, pero con muchas ganas y mucha convicción.

¿Pensas en algún otro emprendimiento en paralelo con Strike?

Hoy no. En su momento cuando arranqué Strike tenía una lista con un montón de ideas. Algunas hoy existen y funcionan. Hoy no tengo tiempo, quiero que mi tiempo esté en aumentar lo máximo posible las chances de que a Strike le vaya hiper mega bien y ser un ejemplo de que podés arrancar en Uruguay y hacer algo gigante en todo el mundo.

¿En dónde te ves, a vos y a Strike, de acá a 10 años?

Lo que quiero de Strike para los próximos 10 a 25 años es que estemos ayudando directa o indirectamente al 70% de las empresas del mundo. Considero que tuve mucha suerte y me ayudaron mucho entonces, independientemente de si es con o sin Strike, quiero ayudar más a las personas.