La ciudad estaba sitiada. Los hackers habían destruido su producción de electricidad y petróleo, provocaron una explosión en una estación de servicio y dejado caer un contenedor de envío en una barcaza en el puerto. La matanza se contuvo, aunque ocurriendo en una ciudad modelo, una falsa metrópolis moderna en miniatura. Era una guerra cibernética ficticia, una competencia entre los hackers del equipo rojo y los defensores del equipo azul —organizada en una sala de conferencias en un hotel de Moscú y supervisada por Yury Maksimov, el propietario mayoritario de 43 años de Positive Technologies, sede de la competición durante una década—.
Apenas un mes antes del ejercicio en la conocida conferencia de mayo Hack Days de Positive, Maksimov, – que Forbes Rusia estimó recientemente en 500 millones de dólares—, se estaba preparando para hacer pública su empresa con sede en Moscú, posiblemente en un intercambio estadounidense. Con su participación del 55% —y la compañía valorada en 2.500 millones de dólares por los bancos que trabajan en una oferta pública inicial, según cifras publicadas—, Maksimov se convertiría en multimillonario cuando se lanzara la OPI (oferta inicial pública de venta). “Ser multimillonario es más que dinero. En este mundo es una clara señal de éxito de la capacidad y el poder de cada uno”, dice Maksimov. Sería “una confirmación de mi éxito y una inversión en mi futuro éxito”.
Los planes de OPI se pusieron en duda en abril (al menos temporalmente) cuando Positive Technologies y otras cinco empresas fueron sancionadas por el Departamento del Tesoro de Estados Unidos, que las acusó de apoyar a las agencias de inteligencia rusas a la realización de “ciberataques peligrosos y disruptivos”. La compañía de Maksimov quedó fuera porque era la única con reputación internacional, en gran parte gracias a asociaciones con compañías como Microsoft, IBM y Samsung, y algo más de 60 millones de dólares en ingresos declarados públicamente en 2020. (Según explicó la compañía a Forbes los ingresos totales, incluidos los de sus entidades no cotizadas, son de aproximadamente 77 millones de dólares).
El Departamento del Tesoro también afirmó que la conferencia Hack Days de Positive se había utilizado como una especie de feria de reclutamiento para la inteligencia militar rusa. Si bien el departamento ofreció pocos detalles, las afirmaciones más contundentes contra Positive estaban contenidas en un informe de marzo del Atlantic Council, un influyente grupo de expertos de Washington D.C. Aunque este no mencionaba a la empresa por su nombre sí se refería a una entidad con el nombre en clave de ENFER, confirmado como Positive por dos expertos de la industria de la ciberseguridad, con los que se habló bajo la condición del anonimato, con conocimiento del informe. (El Atlantic Council no pudo revelar la verdadera identidad de ENFER. Positive negó que fuera ENFER). El informe dijo que ENFER había desarrollado herramientas digitales de espionaje para el FSB, una agencia sucesora de la KGB rusa, y creado tecnologías para localizar teléfonos móviles aprovechándose de las debilidades de la infraestructura mundial de telecomunicaciones. También dijo que después de que ENFER investigara un ataque de un país occidental a una red del gobierno ruso entre 2014 y 2015, reutilizó el malware “para usarlo en otras intrusiones”.
Maksimov rechaza rotundamente las acusaciones del Departamento del Tesoro y del Atlantic Counci. Hablando desde la oficina de Positive en Moscú, vestido con una camiseta a rayas y jeans, afirma que su negocio se ha visto envuelto en una guerra geopolítica: “Nunca hemos participado en ningún ataque dirigido a empresas o estados”.
Maksimov no discute que su empresa trabaje para el Ministerio de Defensa y el FSB de Rusia, pero afirma que Positive proporciona exclusivamente servicios defensivos a las agencias. “Ellos [el Ministerio de Defensa] pueden llamarnos y pedirnos que pirateamos sus defensas”, dice, para ayudar a encontrar debilidades en sus propias redes, pero no en otras. Solo el 1,5% del negocio de Positive proviene de militares y otras fuerzas del orden, añade, y sostiene que la mayoría de sus ingresos provienen de 320 de las empresas privadas más grandes de Rusia, incluidas Sberbank y Lukoil. “En Estados Unidos la seguridad nacional y el FBI también tienen preocupaciones de defensa y estaremos encantados de atenderlos también”, dice Maksimov.
Sus afirmaciones de inocencia no influyen en los expertos en seguridad estadounidenses. James Lewis, ex asesor político del Departamento de Estado y vicepresidente senior del Centro de Estudios Estratégicos e Internacionales, dice que las empresas cibernéticas rusas no tienen más remedio que seguir las órdenes del gobierno y su aparato de seguridad. “Es imposible trabajar en este espacio y no tener una relación con los servicios de seguridad rusos”, explica Lewis en un correo electrónico. “Los servicios de seguridad trabajan en estrecha colaboración con los piratas informáticos”, dice. “La corrupción rusa significa que hay menos oportunidades comerciales legítimas en tecnología que en Estados Unidos. Aquí puedes ir a Silicon Valley. Allí tienes muchas menos opciones”.
Lo que distingue a los contratistas rusos de sus homólogos estadounidenses es la voluntad de actuar “más como una entidad proxy”, llevando a cabo campañas de piratería por su cuenta, en lugar de simplemente proporcionar herramientas para ataques cibernéticos, agrega Trey Herr, director del área de iniciativas de ciberpolítica en el Atlantic Council y uno de los autores del informe ENFER.
“Hay una gran cantidad de apretones de manos, deliberaciones y debates sobre cómo proceder con este tipo de sanción”, dice un exfuncionario de alto rango del FBI con conocimiento de la inteligencia del gobierno en Positive. “Esto no es algo que se tome a la ligera. Cuando el gobierno de los Estados Unidos toma una decisión como esta, tienen una gran confianza en que hay personas dentro de estas empresas específicas que están trabajando en nombre de los servicios de inteligencia rusos, tienen una relación activa con ellos o están esencialmente dotados para participar en estas actividades”.
Maksimov reconoce que las sanciones han dañado los planes de la empresa para la OPI al hacer que sea poco probable que los inversores estadounidenses puedan participar. Según el Tesoro, las entidades o individuos estadounidenses tienen prohibido hacer “cualquier contribución o provisión de fondos” a las partes sancionadas. “Ciertamente han impactado nuestros planes de OPI”, dice. “Porque los fondos estadounidenses participan muy a menudo en las OPI y tienen una inclinación por la inversión en alta tecnología, y obviamente no estarán en la lista”. Mientras tanto, Microsoft eliminó a Positive de su programa de asociación que proporciona información anticipada sobre vulnerabilidades de su software, y le dijo a AP en abril que cumplía con todas las sanciones. “Seguimos cumpliendo con la ley de Estados Unidos”, dijo un portavoz de Microsoft a Forbes el lunes. Un portavoz de IBM agregó que también estaba cumpliendo con las sanciones, diciendo que su trabajo con Positive se limitaba a la integración de productos. Dadas las sanciones, ya no coopera con Positive en esas integraciones, y añadió: “Se proporcionó información estándar a Positive Technologies para que su producto de escaneo de vulnerabilidades pudiera comunicarse con la herramienta de seguridad IBM QRadar. Positive Technologies nunca ha estado involucrado en QRadar ni en ningún otro desarrollo de productos de IBM, ni IBM ha utilizado o distribuido ninguno de sus productos”.
Positive sigue tratando de determinar si puede funcionar de alguna manera con las empresas estadounidenses y está en conversaciones con la Oficina de Control de Activos Extranjeros de los Estados Unidos para tratar de abordar las acusaciones, dice Maksimov, y agrega: «No tenemos nada que ocultar».
La compañía espera poder seguir adelante con una OPI la próxima primavera, incluso si Estados Unidos, donde se encuentra la mayor parte del mercado de seguridad cibernética de 130 mil millones de dólares, está ahora fuera de los límites.
Maksimov ha intentado durante años salir de Rusia y entrar en el juego del mercado estadounidense sin éxito – y este no es su primer revés en ese esfuerzo. En 2014, Positive acumulaba la mayor parte de su dinero de marketing en establecer una empresa en los Estados Unidos, pero luego Rusia se anexionó a Crimea, lo que hizo que los estadounidenses temieran hacer negocios con cualquier organización rusa, incluida la suya, explica. Incluso antes de esto, Maksimov dice que había una “corriente subterránea de tensión y sospecha” por parte de Estados Unidos.
Maksimov cree que puede hacer mucho bien fuera de la empresa. El mes pasado renunció y fue reemplazado por el ex director gerente Denis Baranov, diciendo que lo que quería era concentrarse menos en las operaciones diarias. Él sigue siendo presidente de la junta (una junta directiva que Maksimov seleccionará, según sus portavoces) y accionista mayoritario. “Ahora tengo intereses diferentes. Quiero que el mundo sea más seguro y quiero que deje de estar separado”.
Hoy, viviendo en una casa inteligente con inteligencia artificial que diseñó hace 12 años, una casa con un cerebro informático que administra la calefacción, la electricidad y la ventilación, Maksimov dice que espera actuar como una especie de pacificador cibernético, trabajando para reducir las tensiones entre ellos las potencias mundiales que viven en esta guerra secreta del sombrío mundo de la ciberseguridad. Su primer paso, dijeron sus portavoces, establecer proyectos de colaboración entre sus competidores y el gobierno ruso para tratar de encontrar soluciones que apunten a elevar el listón de la seguridad digital. El mundo cibernético podría actuar con a alguien así, particularmente a raíz del pirateo y secuestro de datos que obligó al Colonial Pipeline, lo que a su vez llevó al presidente Biden a comenzar conversaciones con Vladímir Putin sobre ciberseguridad. “De hecho, creo que nacimos en este mundo para comprender y respetar las diferencias entre nosotros”, dice Maksimov. “Tenemos que dejar de ofendernos el uno al otro y hacer cosas juntos”.
Maksimov afirma que quiere unir a las distintas partes. Le gusta esa apariencia zen. Pero eso no le impide plantear lo que considera hipocresías estadounidenses. Tiene un punto demostrable: el gobierno de los Estados Unidos se beneficia indirectamente del trabajo de Positive para descubrir fallas en el software ampliamente utilizado. Tomemos, por ejemplo, las vulnerabilidades que sus investigadores descubrieron en productos fabricados por IDEMIA, uno de los proveedores de reconocimiento facial y escaneo de huellas dactilares favoritos del gobierno estadounidense. Una de las vulnerabilidades podría haber permitido la vigilancia remota del sistema, pero Positive informó a IDEMIA y los problemas se solucionaron en julio. Maksimov dice que, debido a las sanciones, esa colaboración será mucho más difícil. “Los clientes internacionales no pueden comunicarse con nosotros, [entonces] ¿cómo les vamos a informar sobre una nueva vulnerabilidad?”.
Maksimov también dice que, tanto en Rusia como en Estados Unidos, existe un elemento de chivo expiatorio que pierde el sentido: que todos deben reforzar su seguridad. “No sé si SolarWinds fue obra de hackers rusos o no. Supongo que es conveniente echarle la culpa a los piratas informáticos rusos, pero ¿quién se beneficia realmente de ello?”.
“Cuando las empresas rusas son pirateadas, solemos decir que debe ser el Departamento de Seguridad Nacional, ¿no? Y les decimos a nuestros clientes que seguro pueden culpar de ello a los estadounidenses, pero ¿qué pasaría si reparáramos esos enormes agujeros en su perímetro? ¿Qué pasaría si mejoráramos sus estándares de seguridad?”.
Maksimov mantiene la esperanza de que Positive pueda hacer negocios internacionales, aunque admite que dependerá de algún tipo de tregua ruso-estadounidense. Por supuesto, espera ser uno de los intermediarios de esta paz empujando a las naciones a una «posición más sensata».
