El asombroso viaje de VirusTotal

¿Por dónde empezar la historia de Virustotal? Hay tantas anécdotas y giros argumentales que un guionista tendría serias dudas a la hora de elegir la primera escena. Una muy cinematográfica podría ser la de Bernardo Quintero el 12 de abril de 2012, subido en un tren rumbo a Madrid, donde va a firmar la venta de su empresa a Google. Asomando de su mochila, el libro 'Fusiones y adquisiciones para dummies' (esto fue real). O podría ser la del viaje de vuelta, cuando entra en su casa de madrugada, después de tres días de discusiones con el batallón de abogados de la multinacional. Su mujer le espera en la cocina, le pregunta: «¿Ya está?» y él responde: «Sí, ya está. ¿Qué te gustaría hacer?» y ella le dice: «Nada, seguir como siempre. Vamos a dormir».

La de Virustotal ha sido una aventura digna, como mínimo, de serie de Netflix. Tendría más glamour si hubiera nacido en un garaje de Silicon Valley, pero nacer en el erial que era el PTA de los primeros años 2000 marca carácter. Surgió como spin-off de Hispasec, la empresa de seguridad informática que en 1998 había montado Bernardo Quintero con tres socios más. La idea de montar una web donde cualquiera pudiera mandar archivos para detectar virus la había lanzado él en 1999 en unas declaraciones a 'El País'; siempre lo cuenta en charlas con emprendedores para hacerles entender que lo importante no es la idea, sino la ejecución: ponerse a currar para convertirla en realidad.

Hasta cinco años después de esa idea, es decir, hasta 2004, no nació VirusTotal. Era un servicio útil para usuarios y casas de antivirus, pero sin modelo de negocio: los usuarios enviaban ficheros gratuitamente, se usaban distintos antivirus para revisarlos y se informaba a los fabricantes de sus fallos de detección. Si Quintero fue el padre, Julio Canto, el primer empleado en nómina de VirusTotal, fue la madre: él escribió el código. El servicio fue generando tracción y masa de usuarios, pero no generaba apenas ingresos: era «un pozo sin fondo», como le reprochaban los otros socios de Hispasec. Pero en 2009 llega otra de esas escenas a las que Netflix sacaría jugo. Quintero tiene una reunión tormentosa con su consejo de administración y sale de ella con una determinación: hacer de VirusTotal algo tan grande que llamara la atención de Google. Así lo contaba en una entrevista con SUR:

«Todo lo de la venta a Google fue por un problema que tuvimos entre los socios de Hispasec. Cuando montamos la empresa éramos totalmente novatos en emprendimiento y no teníamos pacto de socios ni nada. No sabíamos qué sueldo ponernos y como los ingresos eran irregulares, dijimos que de cada proyecto, el 30% del beneficio iría a la persona técnica que hubiera ejecutado el proyecto y el 10%, al comercial que hubiera vendido ese proyecto. Así estuvimos trabajando hasta el año 2009. Yo era el socio que más cobraba porque los mayores clientes querían que yo les hiciera la auditoría y el 'hacking' ético. Y un día me plantearon que había que modificar el pacto que tenemos para la compensación: que yo me bajara el sueldo y ellos se lo subieran y así nos igualábamos. No estaba de acuerdo, claro. Tuvimos una reunión, desde por la mañana hasta por la noche, en la que estuve a punto de salirme de Hispasec. Al final llegamos a un acuerdo: yo aceptaba bajarme el sueldo a cambio de quedarme con VirusTotal, que entonces era un proyectito que facturaba muy poco y no tenía modelo de negocio; de hecho, tenía pérdidas. Al día siguiente llegué a la oficina, me reuní con los cuatro o cinco que tenía entonces en el equipo de Virustotal y les dije: 'Vamos a buscar un modelo de negocio, vamos a impulsar esto y se lo vamos a vender a Google'. Julio Canto se apostó una botella de whisky conmigo a que no lo conseguíamos. La perdió».

El salto llegó con el lanzamiento de VirusTotal Intelligence, un servicio que ponía en valor toda la información de muestras, ficheros, metadatos e inteligencia que atesoraba VirusTotal y que se ofrecía a empresas de seguridad y empresas de antivirus. El proyecto escalaba con fuerza y se convertía en pieza clave de la industria antivirus. Y Quintero iba dando pasos hacia su objetivo de llamar la atención de Google. Consiguió contactar a puerta fría con uno de sus expertos en ciberseguridad para ofrecerle colaboraciones y, poco a poco, la relación entre el gigante de Mountain View y la modesta 'startup' malagueña fue haciéndose más y más intensa. El papel de VirusTotal en la resolución de un ataque a la empresa americana RSA tuvo su influencia en dicho acercamiento. Y entre las tácticas que usaron los malagueños en su labor de seducción también estaba la clásica de dar celos. De hecho, la oferta de Google se precipitó porque otra empresa intentó comprarles y ellos se lo comunicaron a Mountain View, que reaccionó pujando por la firma malagueña. Así lo contaba Quintero:

«Cambiamos incluso la estética de Virustotal: pantalla blanca, logotipo en medio. Toda la política de privacidad y los términos de servicio eran copiados de Google, que después durante la 'due diligence' para comprar la empresa, cuando los vieron, dijeron que estaban perfectamente redactados. Y les dije: hombre, claro, si es copia de la vuestra... Y empecé a investigar: ¿quién puede haber dentro de Google interesado en temas de 'malware' y virus? Fue un trabajo bien hecho... No vino Google a señalarnos, elegimos nosotros a Google. La gente me pregunta por qué no busqué a Microsoft, que era 'partner' de Virustotal, pero ser juez y parte no me cuadraba, podía haber problemas con el resto de 'partners'. Google no estaba metido en el negocio de la ciberseguridad, no tenía antivirus. Y además, la fantasía de cualquier ingeniero era trabajar en Google».

En abril de 2012 se firmó la venta, que hasta septiembre no se hizo pública. Y en esa venta hay una estipulación que cambia la historia de Málaga: VirusTotal mantendrá su sede en la ciudad. Al cabo de pocos meses, los seis integrantes del equipo se trasladaron del PTA a un chalé de El Candado, que se convirtió en la primera oficina de Google en Málaga. Eran una anomalía, un experimento dentro de la multinacional: la primera 'startup' que se quedaba en su lugar de origen y seguía funcionando como equipo independiente.

El experimento salió bien: en el primer año en Google, VirusTotal duplicó el volumen de análisis realizados en los ocho años anteriores y multiplicaron por cuatro el número de clientes y la facturación. Esto es lo contrario a lo que suele pasar con las startups adquiridas por una gran corporación, cuya productividad baja hasta que sus miembros se adaptan a la forma de trabajar y a los cambios personales aparejados a mudarse de ciudad o de país.

¿Por qué se empeñó Quintero en no irse a Mountain View o Zurich? «Con veinte años lo habría hecho, pero en ese momento tenía dos hijas pequeñas, mis padres estaban mayores... No me apetecía moverme», contestaba. Pero había algo más. Tenía un nuevo objetivo, una vez alcanzado el de entrar en Google: ahora quería traer Google a Málaga.

«Justo tras la venta me llamó Felipe Romera [el director del PTA] para felicitarme y me dijo: «Ahora lo siguiente que tienes que hacer es traerte a Google aquí». Le dije: 'Ya lo sé, Felipe, pero voy a tardar un tiempo'»

¿La estrategia? Fue doble: por un lado, los números; el rendimiento impecable del equipo. «Si no hubiéramos demostrado que desde Málaga se puede crear producto y se puede tener un rendimiento en ingeniería tres veces superior al del resto del mundo, no estaríamos hablando ahora de esto», recuerda Quintero. Por otro lado, los de VirusTotal se convirtieron en comerciales infatigables de la 'marca Málaga'. Les mandaban fotos de sus vistas a la Bahía, metían imágenes idílicas de la ciudad y referencias a su cultura y gastronomía en presentaciones corporativas, organizaban 'tours' por Andalucía a los directivos que venían de visita... «Entramos en Google como el Equipo VirusTotal y al año y medio ya éramos el Equipo Málaga, porque estábamos todo el día dando la matraca», apunta.

Y no es que Google no les intentara convencer de mudarse a EE UU. Hubo un momento crítico cuando se integraron en X, la división secreta de Google donde se incuban sus proyectos más disruptivos. «Fue la segunda vez que dijimos no a mudarnos a Silicon Valley. Cuando pasamos a formar parte de Google X, viajamos allí y vimos que nos tenían ya asignados los escritorios en la planta más exclusiva del edificio (misma planta de los despachos de Larry Page y Sergey Brin). Nos habían puesto hasta banderitas de Málaga . Por supuesto, nos volvimos para Málaga», cuenta el fundador. Y así, el chalet de El Candado se convirtió por un tiempo, sin que nadie lo supiera en Málaga, en una sucursal de Google X.

Lo que se estaba incubando en X era una nueva empresa de ciberseguridad dentro de Google: Chronicle, dentro de la cual VirusTotal era pieza clave y Quintero, uno de sus principales directivos. Chronicle representa la gran apuesta de Google por la ciberseguridad tras el aprendizaje asumido con la 'Operación Aurora' (un ataque auspiciado desde el gobierno chino que había puesto en jaque a la multinacional).

Dentro de Chronicle, el crecimiento de Virustotal se aceleró y ya no cabían en el chalé, lo que motivó la mudanza al edificio Ada Byron de la UMA. La estancia allí sirvió para consolidar una fructífera relación entre Google y la Universidad de Málaga, de la que han nacido cursos, proyectos de investigación y, más recientemente, una cátedra y una incubadora de proyectos de ciberseguridad. Ese fue el momento en el que Quintero vio la oportunidad para cumplir su plan. «Le dije al CEO, Stephen Gillett, que la central de Chronicle en EMEA tenía que ser Málaga, y el proyecto comenzó a rodar». Tenían incluso el edificio elegido: la antigua sede del Gobierno Militar, en el paseo de la Farola. Pero en 2019 se produjo una reorganización interna en Google y VirusTotal pasó a depender de Google Cloud. Cambio de jefes, incertidumbre... «Al principio no entendían que hacíamos nosotros en Málaga, pero les convencimos, de nuevo, con nuestros números. Ahí fue cuando influimos para que un nuevo GSEC se instalara aquí», contaba Quintero en su día. La botella de whisky esta vez se la ganó a otro compañero, Dani Vaca.

GSEC son las siglas de Google Safety Engineering Center. Hay tres en el mundo: el de Múnich, el de Dublín y el de Málaga. Cada uno tiene una orientación diferente: el de Málaga se centra en la detección y análisis avanzado de amenazas cibernéticas y en el desarrollo de nuevas herramientas para detectarlas y combatirlas. Cuenta ya con 65 personas en plantilla y va creciendo de forma paulatina para alcanzar las cien en dos o tres años.

El perfil del equipo comandado por Quintero se ha diversificado: ya no sólo hay 'hackers' y especialistas en 'malware', como al principio, sino desarrolladores de software y diseñadores. También ha crecido la participación femenina: hasta hace cinco años era cero y ahora es del 25%; no por casualidad, sino como consecuencia de políticas proactivas, como la colaboración con colectivos feministas como Yes We Tech para la búsqueda de candidatas o las becas para mujeres en el curso de Experto Universitario en Ingeniería Inversa e Inteligencia Malware de la UMA.

VirusTotal sigue siendo en bastantes aspectos una 'república independiente' dentro de Google, aunque en el nuevo edificio sus empleados ya tienen más conciencia de pertenecer a la gran corporación. Afrontan ahora una nueva etapa en la que su papel es crucial, no sólo dentro de Google sino en colaboración con instituciones públicas, ante la escala que están alcanzando las ciberamenazas. Su asombrosa historia merece recordarse porque demuestra las cosas extraordinarias que es capaz de hacer gente (aparentemente) normal.

• Temas
• Málaga Tecnológica
• Google Málaga
• Ciberseguridad