Era una jornada como cualquier otra en la oficina. Mariano Nuñez trabajaba como cada día cuando descubrió algo raro en uno de los proyectos de sus clientes. Al indagar en profundidad, encontró importantes vulnerabilidades en sistemas SAP.
Emocionado, compartió su su hallazgo con Victor Montero y Juan Pablo Perez Etchegoyen, compañeros de la consultora. Lo que no sabían era que esto cambiaría para siempre sus vidas.
Con un primer prototipo de software probado para automatizar el análisis de estos sistemas, observaron una oportunidad de crear su propio negocio y fundaron Onapsis, una empresa de ciberseguridad que se volvió pionera y referente en la Argentina y el mundo.
"Creamos la empresa con el fin de brindar soluciones de seguridad para proteger sistemas críticos de negocio frente a ciberataques", cuenta Nuñez a iProUP .
Como no podía ser de otra manera, durante los dos primeros años los especialistas en ciberseguridad tuvieron su propia versión del "garage" -símbolo del startup tecnológica- en San Telmo: "Nuestro espacio de trabajo fue la habitación de Víctor, donde habíamos desplegado tablones para poder trabajar todos juntos".
Sin embargo, al descubrir las vulnerabilidades en SAP e indagar en el sector, los emprendedores notaron que no había ninguna empresa haciendo ciberseguridad para aplicaciones críticas de negocio, por ende no había un mercado desarrollado. "Entendimos que había una posible necesidad y que teníamos el know-how para cubrirla", asegura Montero.
Los tres destacan que, si bien es muy positivo ser innovadores y contar con la ventaja de ser los pioneros, también es "muy arduo el camino a recorrer para generar conciencia en el mercado sobre un problema a resolver, sobre todo cuando no tenés recursos para amplificar el mensaje".
Por esta razón, desde el comienzo la firma hizo foco en la investigación y desarrollo. "Comenzamos a presentar charlas en conferencias de seguridad internacionales donde la audiencia es más receptiva y afín a estos problemas. Nunca hubiésemos podido arrancar con una campaña de marketing telefónico", aseguran.
Durante su primera etapa, este grupo de emprendedores buscó difundir su trabajo entre la comunidad para generar conciencia sobre el alcance de este tipo de vulnerabilidades. A partir de este descubrimiento, y su fuerte trabajo en la investigación y desarrollo, lograron consolidarse a nivel global y trabajar con más de 300 empresas (entre las que se encuentran Microsoft, Sony e IBM) en todo el mundo. Pero no siempre fue así.
"Cuando empezamos, Victor tenía un vecino con un loro como mascota que graznaba todo el día y, a la hora de hacer llamadas a posibles clientes, mientras uno de los co-fundadores estaba al teléfono, otro le daba galletitas al loro desde la ventana para que no hiciera ruido", cuentan entre risas los fundadores.
Desde esa misma habitación, y en estas condiciones, consiguieron su primer cliente: el Ejército de los Estados Unidos.
Para comenzar con las operaciones de Onapsis, los tres cofundadores reunieron recursos propios e ingresos de las ventas y servicios iniciales. Además, los socios no cobraron sueldo los primeros 18 meses. Con sus ahorros, lograron reunir u$s50,000 para iniciar las operaciones.
Sin embargo, la primera ronda de inversión llegó en 2012 y consistió en u$s 3 millones. El grupo inversor estaba integrado por inversores privados internacionales y, nada más y nada menos, que Marcos Galperin, CEO y fundador de Mercado Libre. Hoy, la firma ya cuenta con inversiones por más de u$s 60 millones.
Desde la compañía destacan que su principal diferencial está en el centro de Investigación y Desarrollo en aplicaciones críticas de negocio, unidad que hoy integra a más de 30 personas dedicadas a generar conocimiento, realizar análisis técnicos y alertas, lo que permite mejorar las soluciones de forma recurrente.
El Onapsis Research Labs trabaja en estrecha colaboración con los equipos de seguridad de SAP y Oracle para entregar de manera responsable la información a los clientes.
En 2019, la empresa adquirió Virtual Forge, una firma alemana especializada en ciberseguridad de SAP y el principal competidor hasta ese entonces. De esta forma, el crecimiento fue exponencial.
"Somos la única empresa en el rubro que tiene alcance global. Adquirimos Virtual Forge con el fin de brindar a nuestros clientes un producto integral con mayor cobertura para la gestión de respuesta a incidentes y cumplimiento con estándares y regulaciones de seguridad en aplicaciones críticas de negocio", explica Perez Etchegoyen.
Con un crecimiento interanual del 70%, la compañía -que prefiere no hablar de su valuación ni facturación- es apuntada por los especialistas y referentes del sector como uno de los próximos unicornios albicelestes, a la "mesa chica" que ya integran Mercado Libre, Auth0, OLX, Globant y Despegar.
Apoyados por grupos inversores como Arsenal, LLR, 406 Ventures y Evolution Equity Partners, los fundadores aseguran que quieren cotizar en bolsa en los próximos años y hacer escalar sus productos y soluciones.
"Nuestro plan de innovación incluye la inversión en investigación y desarrollo y el uso de tecnologías innovadoras como Inteligencia Artificial, Machine Learning, y Cloud focalizado en aplicaciones críticas de negocio y así también resolver los problemas latentes de nuestros clientes", aseguran.
Sin embargo, al igual que todo el mundo, la pandemia los obligó a recular sus planes y cerrar sus oficinas en Buenos Aires, Boston (EE.UU) y Heidelberg (Alemania).
Pero esto no les impidió detectar en los últimos días una vulnerabilidad de alto riesgo denominada RECON (Código explotable de forma remota en NetWeaver, por sus siglas en inglés) en los sistemas SAP, uno de los proveedores más utilizados por las firmas más grandes del mundo para recopilar y procesar grandes volúmenes de datos de negocio como finanzas, recursos humanos y propiedad intelectual.
La vulnerabilidad hallada por Pablo Artuso, miembro del Onapsis Research Labs, afecta a más de 40 mil clientes de SAP y podría haber causado millones daños por millones de dólares.
Por esta razón, ambas firmas trabajaron en colaboración para reparar la falla, que incluso llamó la atención del Departamento de Seguridad Nacional de los Estados Unidos (DHS), que emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas con esta vulnerabilidad.
Esta vulnerabilidad es de un elevado nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a Internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de COVID19.
Esto significa que un potencial ciberataque a partir de RECON podría haber permitido a un atacante el acceso desde cualquier parte del mundo a información sensible de empleados, clientes y proveedores; modificar registros financieros e información bancaria; interrumpir el funcionamiento general de un sistema; interferir en transacciones o eliminar archivos.
"SAP pudo liberar una actualización oficial para arreglar este problema después de que el Onapsis Research Labs descubriera e informara esta nueva vulnerabilidad. Luego de muchos años de ser partners con SAP, se evidencia un renovado sentido de urgencia y compromiso para garantizar que los clientes estén protegidos lo más rápido posible al identificar nuevas brechas de seguridad", concluye Nuñez.
Con un gran camino recorrido, el trabajo silencioso pero crucial de Onapsis cuida la seguridad de organizaciones de calibre mundial y los posiciona como uno de los refentes más influyentes del mercado global.