«Antes que la de Google, tuvimos otra oferta con más dinero, pero menos libertad»

La intriga venció un día a la limpiadora: ¿Entonces vosotros a qué os dedicáis de verdad? El cibertrabajo sin fin de Virustotal está en un salón donde cabrían dos limusinas, una casi dentro de la barra americana. ¿Mobiliario? Aire de pub sin dardos y futbolín mediano. En mesas juntas, el equipo Francisco Santos, Julio Canto, Karl Hiramoto, Emiliano Martínez y Alejandro Bermúdez se aparta de las pantallas apenas para el saludo. La nube permite un hardware minimalista en este chalet con el único lujo de un trabajo que les cambió la vida en 2012. Bernardo, el buscador veleño de Google, acabó felizmente casándolos a todos con el gigante. Y eligió Málaga.

Usted, nada de traje, corbata, ni discurso de empresario de éxito.

Al principio, en Hispasec tuve un socio que trataba de que actuara como empresario normal. Me pedía que fuera a las reuniones en traje. Trabajábamos mucho en seguridad para bancos y en algunos, cuando me veían en vaqueros y con barba de cuatro días, me lo agradecían. Este si es un técnico que no viene a venderme la moto, pensaban de mí.

Lo cual puede ser un error.

Por supuesto.

¿Cómo selecciona a quien pretende trabajar en Virustotal?

Se les pide que demuestren lo que saben hacer. En Google pasa igual. El curriculum es algo totalmente secundario, y la imagen, aún menos. Hemos tenido telecos con notas brillantes, pero al poco tiempo aquí se ven perdidos en el día a día. Esto cambia cada dos meses...

Eso también les tendrá a ustedes en estado de alerta permanente.

Sí, porque incluso dentro de este campo hay que microespecializarte. No damos abasto. La seguridad es transversal a todas las áreas y la formación en esto es autodidacta.

¿Cuántos como vosotros se ocupan de seguridad en Google?

En Google seremos unos cincuenta mil a nivel mundial, y en seguridad, varios miles. Estamos repartidos en equipos pequeños y funcionamos a modo de células, por especialidades: grupos para Android, para el Chrome, para Gmail...Nosotros somos uno de ellos y nos ocupamos de los virus maliciosos, del malware.

Están disponibles entonces para todos los demás grupos.

Sí. Colaboramos con todas las divisiones y tenemos cierta autonomía dentro de la empresa.

¿Qué tráfico de archivos gestionan a diario desde aquí?

Millón y medio y en casi la mitad detectamos algo malicioso. Somos la principal fuente para los laboratorios antivirus. Nos mandan desde todas las partes del mundo y suministramos virus. Antes dependían de la cooperación entre estas empresas y ahora lo hacen, pero para poder dar abasto. Recopilar y ofrecer nuevos virus era un modelo de negocio que no existía en Internet.

Usted ha podido comprar tiempo con la operación de Google, ¿pero también libertad?

Piense que se negoció hasta el punto de quedarnos en Málaga y no sólo tener una posición semiautónoma sino parecerlo. Nuestro sitio natural era Mountain View o Zurich, pero siempre nos ha preocupado nuestra imagen, precisamente una de las razones por las que nos decantamos por Google frente a otra oferta para comprar Virustotal, dejando incluso de ganar más dinero, es por su posición en Internet. Si no, ahora estaríamos en uno de los dos bandos en esta ciberguerra en Internet, con menos libertad, e incluso creo que el proyecto se hubiera venido abajo. Algunos me han dicho que porqué vendimos a Google, por qué no quedarnos en Málaga como empresa independiente? Quienes no están en esto desconocen que lo que a nosotros nos gusta como ingenieros, más allá de más dinero, es que nuestro trabajo tenga impacto global. Como Virustotal, ya teníamos influencia, pero si estás en Google lo estás el 90% de Internet en el mundo, menos Rusia y China.

¿La exclusividad es total?

Somos trabajadores cien por cien de Google. Los contratos de trabajo americanos son bastante exigentes. También en confidencialidad.

Entonces, de lo que se pagó por ni hablamos.

Así es. Ese compromiso está en el acuerdo.

Digamos que el suficiente para tener el resto de la vida resuelta sin necesidad de trabajar.

Podría decirse.

Esa otra oferta les llegó cuando ya tenían relación Google.

El primero que ofertó en realidad por Virustotal fue un fondo de inversión más relacionado con la parte gubernamental-militar en EE.UU., digamos. Un día, en 2011, ellos cogieron un avión y se plantaron en el PTA. Esa madrugada chateé a mi contacto, un ingeniero de Google, contándole lo que me había pasado. Ya trabajábamos con Google hacía un año.

Le salíó, entonces, la vena negociante para forzar una mejor oferta por esta parte.

Pues sí. Él me dijo: «Bernardo, sigue on line que tengo que hablar. A las dos de la mañana, me presenta y me pasa a un vicepresidente de Google encargado de adquisiciones, un hombre que había vendido ya dos empresas propias, y que me acabó pidiendo por favor que no contestara a la otra oferta. «Danos la oportunidad», me dijo. No firmes nada, sé que para ti es un momento excitante. Esa noche no me acosté. Me compré dos libros en Amazon sobre adquisiciones y técnicas de negociación. Todo el fin de semana me empapé. El lunes me llamaron y esa tarde noche llegó la oferta de Google. La comenté a mis compañeros. No había duda, pero la otra parte no se quedó quieta, volvería después incluso mejorando la oferta.

¿Google fue siempre su gran meta?

Soñaba con ella: la empresa más grande de Internet, la que más ilusión nos hacía, y no tenía producto antivirus. Tenía buena relación Miscrosoft, pero su antivirus era parte de Virustotal y no podía ser que una parte se hiciera con el todo, con nosotros, era perder neutralidad. Sondeé entonces el interés de Google por el malware. Encontré documentación académica en Internet, un trabajo con las firmas de sus autores. Le escribí en frío al que aparecía en primer lugar y me presenté. Le di mi usuario y contraseña con máximo acceso a mis sistemas. Cada mes le escribía. Así, cerca de un año, pero nunca hablé cara a cara. Mientras, cambié la imagen de nuestra página: limpia, se parecía un poco a la de Google y los términos de privacidad, por los que luego me felicitaron, eran un plagio de los suyos. Este primer interlocutor me pasó con otro contacto, que me pedía resolver cosas concretas, a veces en horario de noche. Se me paraba el mundo. No dormíamos. El tipo flipaba con nuestra efectividad. Nosotros le quitábamos importancia.

¿Quién era este contacto?

Nunca le pregunté su puesto. Me dice que quiere ser cliente nuestro . Había sacado un modelo de negocio de dar acceso a empresas, a laboratorios antivirus que podían hacer búsquedas en nuestra base de datos. En 2009, Virustotal facturaba 200.000 euros; el segundo 400.000 y antes de la adquisición superábamos el millón de euros. Al vender, teníamos 60 o 70 clients que pagaban unos 70.000 euros al mes. Me negué a que Google fuera cliente. Se sorprendió. Yo lo quería como socio. Le conté que sería ideal tener una infraestructura potente de servidores que me diera servicio. Tenía cincuenta y se me caían. Cuando se lo planteo a mis tres socios, había dudas, pero es que yo iba buscando a Google. Ya en 2011, vi que mi curva de crecimiento era exponencial y pensé en una acción o noticia relevante. El tema del dinero virtual, el bitcoin, estaba de moda. Creo que yo detecté el primer troyano en este terreno. Hubo un ataque a la RSA, la referencia mundial en criptografia. El virus le había robado el algoritmo del OTP, el dispositivo que da clave de un solo uso en banca electrónica o en tema militar. Era el hacking de la década y acabaron entrando incluso en tema de misiles. Un analista finlandés descubrió gracias a Virustotal el origen de aquel virus. Yo decidí seguir su trabajo y llegué a trazear el ataque: venía desde China. Las autoridades americanas me dieron las gracias.

¿Alguien en particular?

Normalmente, una agencia gubernamental te envía un correo genérico. Quedó en privado, pero contacté con un periodista americano y le comenté la historia. Era reticente a publicarla porque no la podía contrastar. Lo comprendía, pero el caso es que acabó publicándose y teniendo su eco Hasta aquí algún periódico tituló: Un malagueño al rescate del pentágono.

Pero eso ahora lo hace hasta el Estado Islámico.

Cada vez hay más dependencia y más vulnerabilidades.

¿Los malos disparan cada vez con lluvia de virus, por inundación?

El crimen organizado funciona así, con 300.000 o 400.000 variantes al día. No hay capacidad. Por desbordamiento y la parte gubernamental es como el francotirador. En toda la marabunta, el ataque de los gobiernos trata de pasar desapercibido en los sistemas que trata de infectar.

Hispasec es el origen de Virustotal. ¿Cómo empezó esa aventura?

Fue en el 2000. Yo escribía en PC Actual y aquello nació de casualidad, como lista de discusión de los que nos dedicábamos a temas de seguridad. Me piqué y empezamos con un servicio gratuito de noticias de seguridad informática, una al día, se llamaba. Monté la empresa, pero luego tuve miedo. Yo dominaba programación microinformática, pero el mundo de los grandes sistemas aún no lo había tocado. Ya entonces tenía la idea de Virustotal. Busqué a Jesús Cea, que estaba en Madrid y montamos la sociedad. Él tenía visión de la empresa tradicional empleados, socios, política de sueldos... y yo más imagen de cooperativa, de sueldos en función de beneficios. Nos iba muy bien. En El País, en 1999, conté la idea de Virustotal en una entrevista, un proyecto para unir a los mejores antivirus y dar respuesta on line de archivos recibidos. Cuando la gente dice que tiene una idea pero que no se la cuenta a Google porque se la pueden copiar yo les digo que hasta el 2004 la mía no la llevé a cabo y terminó comprándola Google. Cada vez que en Hispasec proponía hacer Virustotal. No veían mi juguetito, así que di un ultimátum. Contraté entonces a Julio Canto. Nos dejaron hacer, pero la relación con los socios se degradaba. Cada uno ganaba el 30 % de beneficios de un proyecto. Mi sueldo era muy alto y se planteó igualarlos.

A la baja, supongo

Sí y eso me rebotó. Llegamos a un acuerdo. Me dejaron la parte de Virustotal y que yo la organizara. Nos convertimos en una spin off dentro de Hispasec. En 2009 pensé en un modelo de negocio y empecé la estrategia de acercarme a Google.