La empresa trabaja para 62 entidades financieras y 22 de sus clientes cotizan en el Ibex. S21Sec detectó el pasado año 609 casos de fraudes por Internet. La compañía donostiarra duplicará su tamaño en 2007.
Ya no sabían a quién llamar. Mes tras mes seguían los fallos de seguridad en una importante entidad financiera. No era cuestión de dinero. Las empresas de seguridad más importantes del mundo habían pasado por allí y habían fracasado. Desesperada, la entidad echó mano del último recurso, ese tan español de «mi hermano tiene un amigo que…». Así llegaron al consejo de administración de la entidad un par de melenudos en vaqueros, con un señor que les apadrinaba, que tranquilizó a aquellos ejecutivos: «Aunque no se lo crean, estos jóvenes son los únicos que les pueden solucionar lo que nadie les ha solucionado».
Y así fue, la entidad financiera salió adelante y dos jóvenes melenudos de San Sebastián junto con dos señores dieron a luz S21Sec, una empresa de seguridad informática que seis años después tiene fama mundial. Su éxito inicial corrió de boca en boca y fueron ganando clientes en un mundo tan exclusivo como el de las grandes empresas, donde no se tiende a arriesgar ni con la seguridad ni con la juventud.
Seis años después de su primer cliente, la empresa de seguridad informática S21Sec trabaja para 62 entidades financieras y 22 de sus clientes cotizan en el Ibex 35. Ya factura más de siete millones de euros, la mitad que el próximo año.¿Qué tienen en común las prestigiosas firmas de seguridad Verisign, McAfee, ISS, Symantec y Dimension Data? Todas han pasado por San Sebastián para ver S21Sec. «Nuestro objetivo es ser un referente mundial», dice Xabier Mitxelena, director general. «No tenemos nada que envidiar en seguridad a las empresas israelíes o norteamericanas. No sé si somos mejores, pero sí que somos tan buenos como ellos». Así lo debió ver Verisign, la gran empresa norteamericana de seguridad, que se hará con el 5% de S21Sec.
La empresa se gestó en 1999. En 2000, en plena burbuja de Internet, Miguel Fernández, fundador y presidente de la empresa, que falleció ese mismo año, recibió el premio Start-up 2000 de McKinsey & Company a la mejor idea empresarial de consultoría de seguridad informática en Internet.
En la sede central de San Sebastián no cabe un alfiler, y que se preparen, porque el próximo año serán el doble. La empresa ha crecido mucho en muy poco tiempo. «Los norteamericanos dicen que un año en seguridad son siete en la industria. Así que nosotros hemos convertido 35 años industriales en cinco reales», comenta Mitxelena. No tiene despacho: «¿Para qué? Basta con un portátil y un teléfono móvil».
La idea de la empresa partió de Miguel Fernández, que trabajaba en una empresa de infraestructuras de voz y datos. Quería aprovechar el conocimiento de los hackers, gente que investigaba la seguridad y aportaba cosas a ese mercado. Así surgió No Con Name, el primer congreso de hackers, en 1999 en Mallorca. «Allí se reunió la flor y nata del hacking ético nacional», recuerda Mitxelena. «Llegamos a la conclusión de que había capacidad y materia prima suficiente para crear una empresa».
En el equipo de S21Sec se encuentra el ganador de las ediciones de los años 1999 y 2000 del Open Hack. David Barroso y Alfredo Andrés, dos expertos de la compañía, han sido los primeros españoles que participaron en BlackHat Europe, evento de seguridad europeo dedicado a proveer soluciones a los desafíos de seguridad.
A Floren, Florentino Molina, otro de los fundadores de S21Sec, no le gusta que le llamen hacker porque a veces se confunde con la delincuencia informática, aunque reconoce que para las auditorías de seguridad se emplean sus técnicas. «Comprobamos la seguridad de nuestros clientes. En nuestro trabajo, hemos pasado del más absoluto autismo a trabajar en equipo. Al principio obteníamos resultados espectaculares, con efectividad total. Cuando realizábamos una auditoría, entrábamos hasta el portátil del gerente. Ahora es más difícil. Todo es más sofisticado. El cambio se nota mucho en los bancos; han pasado de la página estática a la banca online».
Un total de 609 fraudes
S21sec detectó el pasado año 609 casos de fraudes por Internet, entre ellos ataques de phishing (suplantación de identidad de empresas en envíos de correos electrónicos), pharming (clonación y redirección fraudulenta de páginas web) y troyanos (programas espía para capturar información).
Para Floren, los objetivos de los atacantes han variado. «La diferencia es que antes se tumbaba la página y ahora quieren conseguir un beneficio económico. Nadie cambia ya las fotos de una página para demostrar hasta dónde ha llegado. Eso no da dinero».
«Basta con que una empresa salga por televisión para que empiece a sufrir ataques informáticos», explica Ígor Unanue, responsable de organización de la empresa. Este ingeniero de telecomunicación cree que «en muchas vulnerabilidades se aprovecha la ingeniería social, algo así como el timo de la estampita, para atacar. Por tanto, en un centro de seguridad no se puede aplicar al cien por cien la seguridad con inteligencia avanzada. El factor humano es la mejor defensa contra la ingeniería social».
Una escuela española para estudiar Seguridad
La empresa donostiarra levantará en Huarte (Pamplona) un edificio donde se podrá estudiar, como sucede en otros países, la carrera de Seguridad.
Al principio, S21Sec abrió provisionalmente las oficinas en unos bajos (en California le hubieran llamado garaje). Seis años después, construyen un edificio de 5.500 metros en Huarte, donde instalarán un SOC (Security Operation Center) en el que invertirán 18 millones de euros. Los centros de seguridad se dedican a prevenir, detectar y responder a los ataques informáticos, y realizan copias de seguridad y análisis de vulnerabilidades. Estos servicios de seguridad remotos permanecen en alerta constante durante las 24 horas los siete días de la semana.
«El edificio estará construido en junio, pero no lo ocuparemos hasta septiembre. Disponemos de más terreno y podemos llegar a duplicar instalaciones». S21Sec tiene previsto crear más de 100 empleos en el centro en 18 meses. También abrirán otro SOC en Madrid. En S21Sec tienen más proyectos: una nueva empresa del grupo se dedicará a la investigación e innovación en seguridad digital. El edificio albergará la escuela de seguridad. «Nuestro objetivo», dice Mitxelena, «es que se estudie en España la carrera de seguridad que ya existe en otros países. Es necesario formar a directores de seguridad. Ya tenemos experiencia en acuerdos con universidades para posgrados y masters. Ahora, hemos llegado a un acuerdo con Foro Europeo, una escuela de negocios, para impartir una ingeniería en seguridad digital. El primer paso será generar cultura entre los directivos, porque la seguridad no se implanta en una empresa si no parte de la dirección».
Fuente:El País
23.02.06
