Hace poco más de una década, Yubico era una oscura empresa de seguridad fundada en Suecia, con sólo cinco empleados a tiempo completo. Entonces apareció Google y se registró para usar el producto de Yubico, un pequeño hardware que actúa como llave de seguridad física cuando se conecta al puerto USB de un PC, para proteger a sus empleados.
Ese acuerdo puso a Yubico en el mapa, llevando a muchas de las mayores compañías de Internet, incluyendo a Microsoft, Amazon y Apple, a adoptar también esos pequeños dispositivos, conocidos como YubiKeys, para asegurarse de que los hackers no comprometan las cuentas online de sus empleados, dijo una persona con conocimiento directo del asunto. La empresa ha proporcionado sus llaves de seguridad a las campañas políticas de la canciller alemana Angela Merkel, el presidente francés Emmanuel Macron y el presidente electo Joseph Biden, dijo esa persona. Los bancos en los EE.UU. y Europa, que han sido lentos en extender las llaves a los clientes, están empezando a hacerlo ahora, dijo Stina Ehrensvärd, el CEO y co-fundador de Yubico, a The Information en una entrevista la semana pasada.
El Takeaway
- Yubico se encuentra en una tasa de ingresos de 100 millones de dólares para 2021
- La compañía es de nuevo rentable después de la contratación y la inversión del año pasado
- Los bancos están comenzando a ofrecer las llaves de seguridad de Yubico a algunos clientes…
Las llaves de seguridad aumentan considerablemente la protección que ofrece la autenticación de dos factores, un método de acceso a las cuentas en línea que requiere que una persona introduzca una contraseña o un código numérico de una sola vez enviado por correo electrónico o mensaje de texto, además de su nombre de usuario y su contraseña. Con una YubiKey, el usuario debe intervenir el dispositivo para acceder a su PC o aplicación, lo que significa que los hackers remotos no pueden entrar aunque tengan las credenciales del usuario.
Los productos de Yubico no son la panacea para todo tipo de ciberataques, incluyendo los presuntos ataques patrocinados por el estado ruso a la empresa de gestión de redes SolarWinds que actualmente están en los titulares. Pero han demostrado ser muy eficaces para prevenir los tipos de ataques de phishing que han llevado a dañar las cuentas de correo electrónico de los principales demócratas antes de las elecciones presidenciales de 2016.
Mientras que las grandes compañías de tecnología han ganado una reputación de eliminar a las pequeñas empresas, han sido buenas para el negocio de Yubico hasta ahora. Google llegó a Yubico en 2011 después de una serie de ciberataques conocidos como Operación Aurora que se originaron en China y se dirigieron a Google y a muchas otras grandes empresas tecnológicas y agencias gubernamentales. Google ahora ofrece a los usuarios de Gmail la posibilidad de proteger sus cuentas con YubiKeys. Ehrensvärd describió el acuerdo inicial de Google como un cambio de juego para Yubico.
“Cuando eso sucedió, otras compañías tecnológicas dijeron, ‘Nosotros también queremos este nuevo auto brillante'”, dijo Ehrensvärd, agregando que Salesforce y Facebook también son clientes.
Como resultado, Yubico ha sido rentable durante muchos años, aparte de un período de inversión en equipos de producción y una juerga de contratación el año pasado que vio a la compañía hincharse a unos 300 empleados (Ehrensvärd dijo que Yubico está de vuelta en el negro ahora). Hay rumores de que a finales de este año Yubico podría unirse a la avalancha de compañías tecnológicas que salen a la luz, aunque Ehrensvärd fue cauteloso sobre ese tema.
La siguiente es una transcripción editada de la entrevista.
The Information: Yubico fue fundada en 2007, pero parece haber mantenido un bajo perfil a lo largo de los años. ¿Por qué?
Creo que es porque no has visto los ataques de phishing que tenemos hoy en día. Esta es la razón por la que nos estamos volviendo más relevantes. Cuando empecé en Yubico, la gente decía, “¿Llaves de hardware? Esa es la tecnología de 1990. El futuro es aplicaciones móviles, biometría, sensores, grandes datos que rastrean donde los usuarios van a seguir su comportamiento.” Y yo dije, “Sí, tienes toda la razón, pero ¿cómo te vas a proteger contra estos nuevos tipos de ataques avanzados de phishing?” Cuando comenzamos con Yubico, esos ataques eran más teóricos, pero están ocurriendo ahora.
Mencionaste que Google fue tu primer cliente. Pero también le vendes a otros, incluyendo nueve de las 10 principales compañías de Internet. ¿Cómo trabajas con ellos?
Estas compañías usan nuestros productos internamente. Algunos han desplegado YubiKeys a todo su personal, y otros los usan sólo para un subconjunto de sus aplicaciones de alta seguridad.
Google comenzó como nuestro mayor cliente. Nos compraron casi un millón de llaves y aún continúan comprándolas. Nuestros otros grandes clientes son… igualmente importantes porque todos ellos tienen la mayor población de personas y mentes del mundo. La razón por la que tuvimos que trabajar con ellos tan de cerca es que en 2020 está cada vez más claro que Internet está realmente controlada por un puñado de grandes jugadores, lo que es en cierto modo fascinante y en cierto modo aterrador. Pero si las compañías ahora tienen ese poder, necesitan estar seguras. Estamos ayudando a protegerlos.
Algunos grandes clientes también han ayudado con el soporte para el estándar que es compatible con YubiKeys [llamado WebAuthn] y en realidad están construyendo esta tecnología en sus dispositivos, para que podamos llegar a sus usuarios finales, y sus usuarios finales puedan estar seguros. Lo importante es que no puedes usar esta YubiKey para nada a menos que el servicio para el que la tienes tenga… soporte para ello. Necesitamos que las grandes empresas de la nube y los proveedores de gestión de identidades y accesos añadan soporte porque entonces habrá una solución completa.
¿Cómo va el negocio de Yubico?
Fuimos rentables durante seis años. En 2019, decidimos hacer algunas inversiones importantes en la fabricación. Aumentamos la fabricación y construimos robots para hacer YubiKeys a gran escala. Y también hicimos crecer el equipo bastante rápido el año pasado y ahora estamos [en] 300 personas. Y ahora volvemos a ser rentables de nuevo. Para 2021, estamos en una tasa de ejecución de mucho más de 100 millones de dólares en ingresos.
Parece que los bancos deberían ofrecer YubiKeys a sus clientes.
Hay varios bancos en EE.UU. y Europa que usan YubiKeys para proteger a sus propios empleados. Algunos de ellos ahora también están ofreciendo YubiKeys a sus clientes, comenzando con individuos de alto valor neto. En 2021, habrá noticias sobre estos lanzamientos. [Ahora que todos los principales navegadores y plataformas soportan el estándar WebAuthn, será más fácil para los bancos implementar YubiKeys más ampliamente, un portavoz de Yubico añadió más tarde.]
¿Está Yubico considerando hacerse público?
Hasta ahora, ha sido importante para Yubico ser una empresa privada e independiente, lo que nos permite impulsar los estándares de autenticación abiertos globales con plataformas y servicios líderes. En el futuro, tenemos tres opciones: continuar con el crecimiento de una empresa privada de éxito, planificar una [oferta pública inicial] o considerar la posibilidad de formar parte de otra empresa que pueda ayudar a ampliar nuestra misión de hacer que Internet sea más seguro para todos.
¿Qué tendría que pasar para que otras grandes empresas equipen a sus usuarios con YubiKeys para evitar los ciberataques? ¿Esta idea es parte de las discusiones de ventas que Yubico tiene con clientes actuales y potenciales?
Esto ya está en marcha y es parte de nuestra estrategia de ventas. De hecho, cientos de nubes líderes, medios sociales, administradores de contraseñas, y servicios de gestión de identidad y acceso ya tienen soporte para YubiKeys. Algunos de [ellos] también son clientes de Yubico. Toma a Google, por ejemplo. Son clientes de Yubico y también permiten a los usuarios de Google asegurar sus cuentas con YubiKeys.
En 2021, Yubico planea continuar enfocándose en permitir que los clientes aseguren no sólo sus propias organizaciones sino también a sus usuarios finales. Se hará hincapié en la creación de integraciones más estrechas con las empresas existentes y los asociados del sector público para mejorar la experiencia de los usuarios con estos servicios y simplificar el proceso de equipar a los usuarios finales con YubiKeys.
Las elecciones de este año fueron notables porque no hubo ciberataques como en 2016. ¿Qué pasó en 2016? ¿Las campañas presidenciales sintieron que no necesitaban usar este tipo de tecnología en ese entonces?
No hubo la misma conciencia sobre lo vulnerable que es nuestro Internet. La realidad es que hace cuatro años las cosas no estaban tan mal. Ahora lees sobre una brecha de ciberseguridad cada semana. La otra parte que da mucho miedo es que ahora estamos viendo grandes ataques de estados-nación, incluyendo los que han sido vinculados a Rusia. Y estamos en una época en la que los grandes intereses financieros y políticos quieren controlarnos. Ya no es necesario enviar armas físicas para controlar un país, para controlar la mente de la gente, para controlar la propiedad intelectual y las vacunas.
¿Qué piensas de la actual negatividad sobre Silicon Valley y el área de la bahía de San Francisco? Tienes compañías de tecnología que están dejando y moviendo sus oficinas centrales a otros lugares. ¿Se ha acabado Silicon Valley?
No, no creo que Silicon Valley se haya acabado. Pero ahora estamos en el mundo remoto, en el mundo digital, y ahí es donde gobiernan las grandes compañías de Internet. Ellos son los dueños de este mundo. Incluyen las compañías más prósperas del planeta.
Pero no tienes que estar aquí. Cuando nos mudamos aquí en 2011, hace cuatro meses, le preguntamos a Google: “¿Por qué querías trabajar con Yubico?” Ellos dijeron, “Porque son ingenieros brillantes y son locales”. Estábamos literalmente en sus oficinas, hablando con ellos, haciendo pizarra con ellos. Realmente no podemos hacer eso en 2020 o 2021.
Tenemos una gran parte de nuestro equipo en Estocolmo. Suecia no es barata, pero es casi la mitad del costo de emplear gente y tener oficinas….. Todo es casi la mitad del costo comparado con Silicon Valley.
—
Kevin McLaughlin