Sanaz Yashar estudiaba biología en la Universidad de Tel Aviv cuando recibió la noticia: La Unidad 8200 de cibervigilancia de élite de Israel quería reclutarla. Tenía quizás los antecedentes más inusuales de sus compañeros. Cuando era adolescente, Yashar y su familia huyeron de su hogar en Teherán, la capital de Irán -uno de los mayores enemigos geopolíticos de Israel- y emigraron a Israel. Sus antecedentes fueron parte del atractivo para el 8200, el equivalente israelí de la Agencia de Seguridad Nacional: Yashar entendía el farsi y la cultura iraní, ambos útiles para reunir información de inteligencia sobre su patria.
Tras pasar 15 años en la inteligencia israelí y siete en el sector privado, Yashar recaudó ahora 30 millones de dólares para una nueva empresa llamada Zafran. La startup de ciberseguridad pretende evitar que espías y ciberdelincuentes exploten vulnerabilidades conocidas para colarse en las redes de las empresas. Se dirige a un problema acuciante: la violación media de datos cuesta a la empresa víctima 4,5 millones de dólares, según datos de IBM de 2023, y estudios anteriores demostraron que los ciberataques cuestan a la economía mundial cientos de miles de millones cada año.
"Es casi biología, es como una plataforma de autocuración"
Sanaz Yashar, CEO y cofundador de Zafran
La premisa de Zafran es sencilla, aunque técnicamente difícil: determinar qué vulnerabilidades digitales existentes son las más acuciantes para un cliente determinado y, a continuación, indicarle cómo utilizar las tecnologías de las que ya dispone para reducir el riesgo. Zafran lo hace escaneando la red de un cliente y sondeando las interfaces de programación de aplicaciones (API), para buscar qué controles pueden solucionar un punto débil determinado, traduciéndolo a algo que incluso un ejecutivo sin conocimientos técnicos pueda entender, dice Yashar.
"Es casi biología, es como una plataforma de autocuración", dice, y explica que el producto examina el cuerpo de cada cliente para determinar cómo puede repeler mejor la infección.
La idea surgió durante una investigación sobre el pirateo de un ransomware en un hospital cuando Yashar trabajaba en Mandiant, una empresa de respuesta a incidentes cibernéticos. Yashar y sus futuros cofundadores, Ben Seri y Snir Havdala, trabajaban en empresas de seguridad diferentes pero investigaban el mismo incidente. No fueron capaces de recuperar los archivos del centro y más tarde se horrorizaron al saber que el hospital disponía de la tecnología que podría haber evitado la brecha en primer lugar.
Habían visto cómo ocurría lo mismo una y otra vez. "Estoy harto de esto, no puedo verlo más", recuerda Yashar que le dijo a Seri. Éste respondió pasando el fin de semana subiendo un prototipo de lo que se convertiría en Zafran. Yashar, Seri y Havadala renunciaron a sus puestos en sus respectivos empleadores para fundar la empresa a finales de 2022.
Mientras Zafran sale del sigilo el jueves, también revela 30 millones de dólares en financiación hasta la fecha de algunos pesos pesados del capital riesgo. Doug Leone, un multimillonario inversor de Sequoia con historial en el respaldo de exitosas startups de ciberseguridad fundadas en Israel como Wiz y Cyera, forma parte del consejo. Gili Raanan, creador de la Lista Midas y fundador de la empresa israelí de capital riesgo en fase inicial Cyberstarts, y su socio Lior Simon también inviertieron en Zafran, al igual que Penny Jar, el fondo de capital riesgo de la superestrella del baloncesto Steph Curry.
"Reducir las amenazas es sencillamente superdifícil. La razón por la que es difícil es que necesitas un conocimiento profundo de la topología de la red del cliente", dice Raanan. "Puedes eliminar la amenaza reduciéndola con los controles existentes. Esa es una nueva ciencia en ciberseguridad y eso es lo que hace que todo el mundo esté tan entusiasmado con Zafran."
Zafran se centra ahora en un crecimiento ultrarrápido. Ya tiene 12 clientes, dice Yashar, incluida una organización sanitaria, aunque declinó nombrar a ningún cliente. Sin embargo, Leone, miembro multimillonario del consejo de administración, afirma que la empresa no se centrará en ser la próxima startup multimillonaria. "El estatus de unicornio es una métrica de vanidad", afirma Leone, que dirigió Sequoia durante más de 25 años. "Te quita el ojo de encima... lo siguiente que tenemos que hacer es desarrollar un modelo de ventas repetible con velocidad".
La startup está entrando en un sector de la ciberseguridad saturado de empresas que afirman ser capaces de proteger a las empresas de las inminentes amenazas online - y sacar tajada de un mercado de un billón de dólares. Zafran tendrá que convencer a los ejecutivos de seguridad de que su producto ayudará realmente a frenar el incesante maremoto de incidentes de ciberseguridad que otros no consiguieron detener.
"Las empresas invirtieron mucho en tecnologías de detección y respuesta y de tipo preventivo, y aun así vemos infracciones", afirma Erik Nost, analista senior de Forrester. Las nuevas tecnologías tienen que estar a la altura de la hiperescala y la velocidad a la que se mueven hoy en día los ciberdelincuentes y los espías digitales, suma Nost.
Yashar lo sabe todo sobre el ritmo al que pueden moverse los hackers. En la Unidad 8200, se convirtió en oficial en 2004, donde seleccionaba objetivos extranjeros y decidía la mejor forma de vigilarlos. "Es una gran pensadora innovadora y muy creativa", dice el antiguo comandante de la 8200, Ehud Schneorson, "eso se debe en parte a que procedía de una cultura diferente... pero también a que era una recién llegada a Israel y quería demostrar su valía".
A mediados de la década de 2010, Yashar buscaba una salida del ejército y se unió a Cybereason, una nueva empresa del antiguo alumno del 8200 Lior Div (la valoración de la empresa ascendería a 2.700 millones de dólares en 2021, aunque desde entonces vio cómo el personal se marchaba en masa, incluido Div, y cómo su valoración se reducía en un 90%). Yashar se puso al frente del equipo de ciberinteligencia de Cybereason en 2016, investigando algunos de los hackeos de mayor repercusión que se producían en todo el mundo.
En 2017, eso la llevó al epicentro de lo que se convertiría en uno de los ciberataques más devastadores de la historia. NotPetya era un malware virulento y destructivo diseñado para aplastar a las víctimas, entre las que se encontraban gigantes corporativos como el bufete de abogados DLA Piper y la naviera global Maersk. Yashar dirigió los esfuerzos de Cybereason en Ucrania, zona cero de los ataques, para comprender el malware, haciendo un descubrimiento crucial poco después de aterrizar en Kiev: NotPetya tenía un interruptor de muerte.
Cualquier persona infectada con el malware podía esencialmente apagarlo, y el código ya no podría propagarse ni cifrar archivos. Yashar y Div afirman que la tripulación colaboró más tarde con la Policía Cibernética de Ucrania, mientras ésta intentaba descifrar el código de NotPetya, y su procedencia. La Policía Cibernética de Ucrania no respondió a las solicitudes de comentarios.
"Encontramos todas las puertas traseras rusas. Fue una locura", recuerda. En octubre de 2020, el Departamento de Justicia de Estados Unidos culpó a espías rusos que trabajaban en la dirección de inteligencia GRU de dirigir los ataques NotPetya.
Durante sus cinco años en Mandiant, comprada por Google por 5.400 millones de dólares en 2022, volvió a centrarse en Irán, investigando a APT33, un grupo que desde hace tiempo tiene como objetivo las principales empresas aeroespaciales y petroquímicas. "Son muy poderosos", afirma. "Los encontré en más de cinco organizaciones, incluidas infraestructuras críticas".
Pocos fundadores primerizos de startups de seguridad pueden presumir de una experiencia tan profunda y diversa. "Pasó la mayor parte de su vida adulta en el centro de la comprensión de lo que hacen los adversarios", dice su antiguo jefe de Cybereason, Div. "Es de fiar... Y ya di suficientes vueltas a la manzana como para saber quién está mintiendo".
*Con información de Forbes US