En el desfile del Orgullo Gay de Tel Aviv, en junio, Assaf Rappaport, consejero delegado de Wiz, parece inquieto. Delgado y vestido con sencillez con una camiseta gris y pantalones de vestir, esta con amigos íntimos –el fundador Yinon Costica y el director de marketing Raaz Herzberg–, pero también con un destacamento de seguridad. Una hora antes, un intruso intentó enfrentarse a Rappaport en su despacho y luego le esperó emboscado en el patio, sin que se conozca el motivo. Ahora, un guardia de paisano armado le sigue de cerca mientras Rappaport se abre paso entre la multitud.
De repente, un desconocido le llama por su nombre. Rappaport se tensa, pero esta persona sólo quiere un selfie; en hebreo, dice que su madre es una gran fan. Aliviado, el director general accede y vuelve a ponerse en marcha. No termina de respirar hasta que él y Costica, jefe de producto de Wiz, llegan a un tranquilo callejón cercano y paran a comer jachnun, un pastel judío yemení. «Preferiría que no fueran sólo las madres las fans», bromea Rappaport, de 39 años.
En Israel, donde se fundó Wiz, esta cuasi celebridad no es ninguna sorpresa. Hace casi una década, Rappaport, Costica y dos amigos vendieron su startup de seguridad, Adallom, por 320 millones de dólares a Microsoft, donde Rappaport ayudó a la empresa a destronar a Google como «mejor lugar para trabajar» según Dun & Bradstreet en Israel. Pero en sólo tres años, desde que dejó ese trabajo para volver a reunir a la banda en otra startup, también se ha convertido en un actor tecnológico de relevancia mundial: consejero delegado de uno de los unicornios de software más en boga, invitado a codearse con Sam Altman, de OpenAI, en la exclusiva reunión de magnates de Sun Valley, asistiendo a las carreras de Fórmula 1 como invitado VIP de Amazon y saltándose la cumbre de consejeros delegados de la famosa empresa de capital riesgo Sequoia para estar entre bastidores con los Chainsmokers en Las Vegas.
Todo esto es nuevo para Rappaport, un introvertido con los hábitos alimenticios de un niño de 5 años (sin café, sin verduras, sin especias) y pocas aficiones aparte de los paseos con su border collie rojo, Mika, el «jefe canino» de Wiz (que tiene 2.000 seguidores en LinkedIn), que le hace compañía durante las noches en la oficina de Tel Aviv. Pero Rappaport es el hombre del momento porque está cogiendo dos olas –la nube y la IA– con sus herramientas de seguridad, y lo está haciendo más rápido que nadie.
A medida que las empresas trasladan más aplicaciones y datos a la nube –un mercado de 500.000 millones de dólares para servicios y herramientas que crece a un ritmo saludable de más del 20%, según Gartner–, la necesidad de protegerlos adecuadamente siempre ha sido una prioridad y un reto. La generalización de la IA no ha hecho más que agravarlo. A medida que las empresas se apresuran a adoptar herramientas de IA como ChatGPT de OpenAI, suben a la nube los enormes conjuntos de datos necesarios para entrenarlas. Pero en este nuevo mundo, los hackers maliciosos tienen sus propias herramientas de IA.
Wiz se conecta a proveedores de almacenamiento como Amazon Web Services o Microsoft Azure y analiza todo lo que se almacena en la nube, señalando y priorizando los riesgos de seguridad. Wiz no es la única empresa que aprovecha el auge de la seguridad en la nube –se enfrenta a un gigante revitalizado que cotiza en bolsa como Palo Alto Networks (75.000 millones de dólares de capitalización bursátil) y a rivales bien financiados–, ni siquiera fue de las primeras. Pero es indiscutiblemente el actor del momento.
El «plan suicida» de Rappaport y sus cofundadores, como ellos lo llaman –acelerar la creación de la empresa contratando rápidamente, reuniendo grandes sumas de capital y dirigiéndose primero a las empresas más importantes del mercado– provocó un temblor sísmico en todo el sector. Entre los clientes de Wiz figuran Fox, Morgan Stanley y LVMH, cuyo director general, Bernard Arnault, el hombre más rico del mundo en varias ocasiones, quedó tan impresionado por la ambición de Rappaport que extendió un cheque personal a Wiz. Los ingresos anuales recurrentes superaron los 100 millones de dólares en 18 meses, el hito más rápido alcanzado por una empresa de software. Alcanzó los 200 millones de dólares nueve meses después, lo que le ayudó a situarse en el número 15 de la lista anual Cloud 100 de Forbes.
Cuando Wiz alcanzó una valoración de 10.000 millones de dólares en una ronda de financiación de serie D de 300 millones de dólares liderada por Lightspeed Venture Partners y Greenoaks Capital Partners en febrero, el hecho de que los cuatro miembros principales de Wiz –Rappaport, Costica, Ami Luttwak y Roy Reznik, todos ellos con un 10% de participación– se convirtieran en multimillonarios ni siquiera fue la noticia más importante del día. Rappaport aprovechó el momento para adoptar una postura política: anunció que Wiz no mantendría todo ese dinero en Israel, sino en Estados Unidos, como protesta contra la reforma judicial recientemente aprobada por el Primer Ministro Benjamin Netanyahu. Ha sido el líder tecnológico local de más alto nivel que se ha alineado públicamente con los manifestantes y con algunos de los sindicatos del país, y su postura ha salpicado su cara en los informativos israelíes esta primavera, una visibilidad con consecuencias a las que todavía se está aclimatando, ya sean buscadores sorpresa de selfies o acosadores de la oficina.
«Lleva el corazón en la manga y ama a su país», afirma Howard Schultz, ex consejero delegado de Starbucks e inversor multimillonario en Wiz. «Su superpoder es que, a pesar de lo confiado y exitoso que ha sido a una edad temprana, está impregnado de humildad«.
No todo el mundo está tan entusiasmado con el rápido ascenso de Rappaport. La rapacidad de Wiz a la hora de contratar (750 empleados y muchos más) y recaudar fondos (más de 900 millones de dólares hasta la fecha) recuerda al despilfarro de la década anterior en el sector tecnológico. A los rivales de Wiz les encanta cualquier paralelismo con el mayor fracaso de esa época, dirigido por su propio cofundador israelí visionario. Pero es una indirecta superficial: a diferencia de Rappaport, Adam Neumann no era un ingeniero con una salida importante a su nombre cuando fundó WeWork.
Aun así, una gran apuesta como la de Wiz conlleva presión. Algunos colegas del sector creen que la empresa va demasiado lejos con sus agresivas tácticas de crecimiento. Un competidor, Orca Security, presentó una demanda en julio acusándola de todo, desde infringir sus patentes hasta copiar metáforas de marketing. La portavoz de Wiz, Tamar Harel, calificó las acusaciones de la demanda de «infundadas».
Rappaport sabe que está desafiando la sabiduría empresarial actual. Pero el cementerio de startups está lleno de tecnologías prometedoras que nunca llegaron al mercado lo bastante rápido, dice, y añade que el ganador de la carrera por la seguridad en la nube será una empresa de 100.000 millones de dólares. Así que mientras otros se conservan y se retiran, Wiz redobla la apuesta. «Las posibilidades son mayores para nosotros en esta posición», dice Rappaport. «¿Es seguro? Desde luego que no».
Rappaport y sus tres cofundadores se conocieron durante el servicio militar obligatorio de Israel, donde su aptitud técnica de adolescentes les llevó a todos a la Unidad 8200, una división de inteligencia de élite. Destacado en matemáticas y física, Rappaport había servido primero en Talpiot, un exclusivo programa de liderazgo en el que un reducido número de cadetes se entrena en todas las áreas del ejército israelí y asiste a la universidad mientras vive en un cuartel dentro del campus. Allí conoció a Costica, cuando esta cadete le salvó de suspender una inspección en un cuartel.
En 8200, sirvieron junto a Luttwak y Reznik antes de que Rappaport se marchara a un cibergrupo de élite más pequeño y aún más secreto llamado Unidad 81, y luego pasó dos años insatisfactorios como consultor en McKinsey. Rappaport, Luttwak y Reznik se dedicaron a lo que mejor sabían hacer, la seguridad, y en 2012 unieron fuerzas para lanzar Adallom, que inicialmente se centró en la protección de archivos de Microsoft SharePoint. Tras recaudar unos cuantos millones de Sequoia –a pesar de lo que su antiguo socio Gili Raanan, ahora fundador de la empresa en fase inicial Cyberstarts, recuerda como una «idea mediocre con un discurso que no era genial»–, Rappaport se trasladó a San Francisco en 2013, cuando la startup amplió su misión para incluir Box, Dropbox, Salesforce y otros sitios de intercambio de archivos. (Costica se incorporó como vicepresidente de producto a principios de 2014.) Entonces, en 2015, Microsoft sorprendió a Rappaport con lo que parecía una enorme oferta en efectivo, y la oportunidad de volver a casa de sus amigos. Con la bendición a regañadientes de los inversores, Adallom vendió, y cada cofundador se embolsó 25 millones de dólares en la ganancia inesperada de 320 millones de dólares.
Empresa de élite
Unit 8200, la histórica división cibernética israelí, tiene profundas raíces en la comunidad del software de seguridad. Al menos un veterano se cuenta entre los cofundadores de cada una de estas empresas destacadas, y de muchas otras como Orca Networks.
Cuando se cerró el trato, Satya Nadella, CEO de Microsoft, se reunió cara a cara con Rappaport para darle unas inesperadas órdenes de marcha: «Yo estoy aquí para establecer las reglas y tú estás aquí para romperlas». Rappaport se tomó muy a pecho las palabras de Nadella, que le encargó dirigir la incipiente unidad de seguridad en la nube de Microsoft en la ciudad israelí de Herzliya. Creó un programa de transporte de cercanías desde el centro de Tel Aviv, donde él y otros empleados jóvenes preferían vivir, y escondió el arte corporativo de la oficina en el armario de un refugio antiaéreo. Cuando el gobierno de Netanyahu se negó a apoyar la gestación subrogada para homosexuales, Rappaport anunció, a través de un post en Facebook, que Microsoft patrocinaría a empleados locales para que viajaran al extranjero para someterse a esos procedimientos, una medida unilateral que pilló desprevenidos a sus jefes.
No fue hasta febrero de 2020, cuando la propagación del virus Covid-19 empezó a provocar paradas mundiales, que Rappaport, desde entonces ascendido a director general del centro de I+D de Microsoft en Israel, concluyó sus cinco años de servicio. «En mi primer vuelo de vuelta de Redmond [Washington], escribí en una servilleta una lista de lo que quería hacer en Microsoft, lo que era importante que consiguiera», explica. «Cuando terminé la servilleta, dejé el trabajo».
Rappaport y su antiguo equipo de Adallom decidieron que querían construir algo más grande, pero no sabían qué. Armados con financiación inicial de Sequoia y Cyberstarts, jugaron con varias ideas, desde pagos en línea (brevemente) hasta seguridad de red de última generación. Hablando con docenas de posibles compradores, en su mayoría directores de seguridad de la información (CISO), para averiguar qué necesitaban, volvieron a la seguridad en la nube.
Los fundadores se enteraron de que las empresas que trasladaban sus operaciones a la nube no dejaban de molestarse por el tiempo que llevaba desplegar las herramientas existentes y lo complicadas que eran de utilizar. Una vulnerabilidad en un solo fragmento de código de fuente abierta, reutilizado en docenas de lugares, podía significar una partida interminable de Whac-A-Mole. En la nube, cualquier conexión, aunque parezca intrascendente, puede dar pie a un ataque devastador. «Hoy en día, los equipos de seguridad tienen un trabajo realmente difícil, porque tienen que asumir la responsabilidad de algo que realmente no les pertenece», afirma Luttwak.
La solución de Wiz: una herramienta que pudiera ejecutarse sin un largo proceso de descarga (lo que se conoce como software «sin agente»), con una interfaz práctica que cualquier desarrollador pudiera entender. Pocos minutos después de que un cliente entregue sus credenciales de AWS o Azure, Wiz puede comprobar todas las conexiones y vías que lo conectan con el mundo exterior. Un panel de control llamado «gráfico de riesgos» priorizaría los problemas más críticos, ayudando a los desarrolladores a saber dónde invertir su tiempo. Piense en un edificio de oficinas con miles de ventanas y cientos de puertas, dice Luttwak. Wiz las escanearía todas y daría prioridad a las que no estuvieran cerradas y estuvieran más cerca del suelo o de una escalera de incendios.
Para competir con un mercado saturado que incluye Prisma Cloud, de Palo Alto Networks, y startups unicornios como Orca y Lacework, Rappaport y compañía persiguieron primero a los clientes de mayor valor del mercado. «Fue realmente interesante desde el principio», afirma Jon Raper, CISO de Costco, que probó Wiz en el verano de 2020 y lo puso en marcha en todas las aplicaciones y bases de datos internas de Costco en un día. Añade Igor Tsyganskiy, CTO de Bridgewater, que firmó lo que entonces era el mayor contrato plurianual de Wiz en otoño de 2021: «Un montón de gente tenía las herramientas, pero para ofrecer ROI casi instantáneamente, nadie más estaba allí». Dice que la inversión se amortizó en solo una semana cuando ayudó a Bridgewater a identificar múltiples exposiciones a una vulnerabilidad de día cero llamada Log4j, un «potencial Covid digital» que amenazaba con exponer sus más de 100 mil millones de dólares en activos a los ciberdelincuentes.
Para Rappaport y sus inversores, esas respuestas entusiastas eran un rayo en una botella que había que aprovechar a toda costa. Después de que Raanan y sus antiguos colegas de Sequoia lideraran una ronda semilla de 20 millones de dólares de Wiz antes de que tuviera clientes, Index Ventures e Insight, antiguos patrocinadores de Adallom, lideraron una Serie A casi inmediata de 80 millones de dólares que valoró a Wiz en 400 millones de dólares ese otoño. En marzo de 2021, Wiz recaudó otros 130 millones de dólares liderados por Advent International y Greenoaks; solo dos meses después, Salesforce, Blackstone y otros, incluidos Arnault y Schultz, aportaron otros 120 millones de dólares, valorando a Wiz, de un año de edad, en unos 2.000 millones de dólares. En seis meses, esa cifra se disparó a 6.000 millones de dólares cuando Insight, Greenoaks y otras personas con información privilegiada invirtieron otros 250 millones de dólares en octubre de 2021.
«Estamos luchando contra gigantes», dice Rappaport encogiéndose de hombros, señalando que Palo Alto Networks tiene recursos similares a su disposición. «Necesito tener la capacidad de invertir para competir, porque la oportunidad es enorme».
Tras el inicio de la pandemia, cuando las OPV tecnológicas se paralizaron y las startups se encontraron con que el acceso a fondos frescos se había agotado en su mayor parte, Douglas Leone, el multimillonario ex líder mundial de Sequoia, escribió un memorando a los CEO de cartera de la firma, instándoles a centrarse en los beneficios por encima del crecimiento descontrolado. Después, llamó a Rappaport con un breve apéndice: «Lo que dije no era para ti».
En la creciente sede estadounidense de Wiz, en la urbanización Hudson Yards de Manhattan, se diría que aún estamos en 2019, al menos los días que acuden los empleados. La mayoría de los Wizards, como los llama la empresa, se incorporaron el año pasado. En comparación con la oficina de Tel Aviv, a la que acude a diario un núcleo de 200 personas, en su mayoría ingenieros que se conocen desde hace años, se produce un choque cultural. El inversor Teddie Wardi lo llama «caos controlado».
Fuera de los fundadores y el círculo íntimo de Wiz, los ejecutivos no han durado mucho. En septiembre, Rappaport pidió a Herzberg que pasara de producto a director de marketing, su tercero en tres años, a pesar de no tener experiencia en marketing; el anterior director de marketing, un veterano del sector de Okta, duró sólo nueve meses. Un director de atención al cliente dimitió a las dos semanas. Wiz carece de otros líderes clave que se esperan de una empresa de su tamaño, como un director financiero; varios empleados anónimos en el sitio de empleo Glassdoor han publicado que los trabajadores simplemente esperan durar un año, un requisito en la mayoría de las startups para que se les conceda cualquier participación.
Las empresas que contratan tan rápido no siempre aciertan, admite Rappaport. «Hay algo confuso en Wiz, porque ya es una gran empresa, pero también es muy joven», se encoge de hombros Herzberg. Pero el consejo de Wiz no se queja: la empresa sigue superando todos sus objetivos de ventas. «Me siento incómodo, pero quiero sentirme incómodo», recuerda Rappaport que declaró Shardul Shah, de Index, un año después de que el consejero delegado anunciara que los ingresos de 8 millones de dólares previstos para el primer año de Wiz habían ascendido a 42 millones. Incluso Leone, que en general ha animado a la empresa a esperar uno o dos trimestres para ver los primeros resultados antes de cada gran apuesta, dice que no puede discutir los resultados: «Puede que haya acertado 99 de cada 100 veces y me haya equivocado en esta».
Según Arsham Memarzadeh, de Lightspeed, que pagó los 10.000 millones de dólares a principios de año tras no haber apostado por Wiz, los cálculos son sencillos: con el uso de la nube dirigiéndose hacia un billón de dólares en gasto global, hay una oportunidad creciente para las empresas que prometen asegurarlo, potencialmente un recorte del 5%. «Están en una zona muy preciada», afirma un banquero de inversión especializado en seguridad que pidió el anonimato para hablar con libertad.
Pero más de 50 startups de ciberseguridad tienen una valoración superior a 1.000 millones de dólares, incluidas muchas en la nube. No todas ganarán a lo grande. Lacework, que recaudó su propio megaround de 1.300 millones de dólares en 2021, lo que la valora en 8.300 millones, está empezando a ascender en el mercado empresarial, lo que la sitúa en una posición más de colisión con Wiz bajo el nuevo CEO Jay Parikh, antiguo jefe de ingeniería de Facebook. También está Orca, fundada en Israel, que recaudó 550 millones de dólares ese año con una valoración de 1.800 millones (debuta en el puesto 95 de la lista Cloud 100 de este año).
Incluso para la cultura despiadada de las ventas de seguridad, varias fuentes del sector afirman que los vendedores de Wiz sobrepasan los límites de la ética, por ejemplo diciendo a los clientes potenciales que no confíen en que rivales como Orca sigan en el negocio mucho tiempo. En julio, Orca intensificó el conflicto, demandando a Wiz en Delaware por un libro de jugadas que describió como «copia de Orca». Algunas de las supuestas tácticas –como que Wiz llevara una cafetera al stand de una conferencia al día siguiente de que lo hiciera Orca– no parecen tener mucha importancia. Otras, como la infracción de patentes, parecen más graves. (Orca declinó hacer comentarios).
Wiz también se enfrenta a otras cuestiones, como sus vínculos a través de Cyberstarts y otros inversores con los CISO de algunos de sus mayores clientes, lo que plantea la posibilidad de un conflicto de intereses, y las afirmaciones de que «compra negocios» con precios rebajados que luego aumenta. Rappaport llama a este tipo de difamación «FUD», abreviatura de miedo, incertidumbre y duda. «Si alguien se siente agredido, eso no forma parte de nuestros valores», afirma. «Ojalá tuviera tantos amigos como para llegar a los 200 millones de dólares de ingresos con ellos».
Incluso los aliados de Wiz admiten que la empresa tiene los cuchillos afilados, consecuencia, dicen, de su necesidad de crecer tan rápido. «Son ultraagresivos, y eso no gusta a todo el mundo. ¿Tienen que serlo? Sí, es parte del juego», dice Nadav Zafrir, cofundador de la incubadora de startups israelí Team8, que a veces compite con Wiz, y antiguo comandante de sus fundadores en la Unidad 8200.
Rappaport también compite con titanes de la seguridad, como Crowdstrike (capitalización de mercado: 35.000 millones de dólares), que podría comprar su entrada en el mercado, y el resurgimiento de Palo Alto Networks, que ha invertido recursos en su producto competidor, Prisma Cloud. Palo Alto apuesta por que los clientes quieran un proveedor de plataforma para todas sus necesidades, no sólo en la nube, dice el director de negocio Amit Singh; la propuesta ha ayudado a recuperar al menos un cliente de Wiz hasta ahora. (En un guiño tácito, Wiz lanzó hace poco su propio «sensor en tiempo de ejecución» –similar a las herramientas cibernéticas tradicionales, que requieren instalación y que antes desbarataba– para reforzar su capacidad de respuesta a ataques en directo).
Para el próximo campo de batalla, no hay más que mirar el tema tecnológico del momento, la IA, donde la carrera por trasladar los datos a la nube para alimentar modelos como ChatGPT significa una carrera aún más competitiva para protegerlos. Wiz descubrió recientemente 33 terabytes de datos de formación expuestos al mundo por un cliente, afirma Rappaport; la empresa está trabajando en sus propias herramientas de IA para responder a preguntas sobre la configuración de la nube de un cliente o guiarle a la hora de responder a incidentes. «Hay mucha comida para todos estos proveedores» en la fiebre de la IA, dice Dan Ives, analista de Wedbush. «Nadie se va a quedar con hambre».
Así que no espere que Wiz se desacelere pronto, incluso mientras busca ajustar sus operaciones antes de una oferta pública inicial que podría llegar tan pronto como el próximo año. Está a la caza de sus primeras adquisiciones, incluso mientras trata de contratar a un director financiero. «Resulta extraño: todos los periódicos y todas las sociedades de capital riesgo que publican algo dicen lo mismo, pero yo estoy haciendo lo contrario», admite Rappaport. Pero con el equipo, la financiación y el producto adecuados, se dice a sí mismo: «Vamos, vamos, vamos».