Inicio Noticiero Digital De VirusTotal a Chronicle: la historia de Bernardo Quintero y el equipo...

De VirusTotal a Chronicle: la historia de Bernardo Quintero y el equipo de ciberseguridad de Google en Málaga

En septiembre de 2012, Google anunciaba la compra de una startup de seguridad llamada VirusTotal. El anuncio, a primera vista, entraba dentro de lo habitual: un gigante de la tecnología adquiría una startup con un buen producto y un equipo prometedor; sin embargo, la noticia era mucho más importante.

VirusTotal era una startup que operaba desde la ciudad de Málaga (España), por tanto, se convertía en la segunda compañía española adquirida por el gigante Google (después de Panoramio) y, lo más importante, el equipo había conseguido seguir trabajando en su ciudad tras la adquisición, abriendo así la «oficina de Google en el sur de Europa».

Seis años después, VirusTotal sigue estando en Málaga manteniendo su producto (que usan incluso las Fuerzas Armadas de Estados Unidos) y afrontando nuevos proyectos. Ya no forman parte de Google, ahora son Chronicle, una compañía que pertenece a Alphabet, el conglomerado que cobija a todas las compañías del gigante de Mountain View.

El equipo más indie de Google, capitaneados por Bernardo Quintero, afronta una nueva etapa. Dejan su «secreta ubicación» en una de las mejores zonas residenciales de Málaga para trasladarse a un edificio del campus de la Universidad de Málaga, tras un lustro trabajando de manera discreta, necesitan una oficina más grande para crecer en equipo, captar talento y convertir a Málaga en la capital de la ciberseguridad.

Para conocer un poco más cómo es VirusTotal, sus retos para el futuro y cómo es el equipo que lidera la empresa de ciberseguridad de Google, hemos compartido un día de trabajo con VirusTotal en la ciudad de Málaga y les hemos acompañado en sus últimos días en su oficina antes de su mudanza a la nueva sede.

El «chalet» de la ciberseguridad

Tuve la suerte de conocer a Bernardo Quintero en 2015, accedió a venir a Sevilla a contar la historia de VirusTotal y la adquisición por parte de Google y compartir su experiencia con startups y emprendedores de la ciudad. Fue una tarde memorable que siempre le agradeceremos porque Bernardo, al igual que el equipo de VirusTotal, es una persona muy discreta a la que no le gustan mucho los eventos, los focos y la exposición pública.

Captura De Pantalla 2018 11 08 A Las 19 44 23

VirusTotal acaba de cambiarse de oficina. Necesitan espacio para el nuevo equipo a incorporar.

Cuando me bajé del Cabify, la primera impresión al llegar a la oficina de VirusTotal es que me había equivocado de sitio. Estaba en una zona residencial de chalets, no había ninguna placa en la puerta que indicase que había una oficina de Google. Sin embargo, toqué al timbre y ahí estaba Bernardo y el equipo de VirusTotal.

Estaban desayunando en la cocina, al igual que ocurre en las oficinas de Google, hay una persona que se ocupa de su dieta y procura que desayunen y almuercen como es debido. El salón de la casa es una zona de trabajo compartido, es también el comedor y tiene integrada la cocina. Las habitaciones son despachos y salas de reuniones y el garaje se transformó en zona de ocio y tiene un futbolín para pasar un buen rato después de comer.

Tras las presentaciones iniciales, me fijo en una pizarra con algunos «títulos» y un cuadro en la mesa de Bernardo en el que se le otorga el título de rey. ¿El motivo? Los titulares que se han publicado en la prensa sobre el fundador de la compañía y que le otorgan títulos como «rey de la ciberseguridad» o «guerrero del ciberespacio» son usados, internamente, como una forma de «troleo al jefe».

Cartel mesa Bernardo Mod

Sin embargo, es el penúltimo día en esa oficina y ya han celebrado una barbacoa de despedida. La casa se ha quedado pequeña para lo que viene. Hay que recoger las cosas para trasladarse a la nueva ubicación y, en cierta medida, perder esa discreción. Llegamos en un punto de transición de la compañía.

Bernardo Quintero y los orígenes de VirusTotal

Bernardo Quintero

Hay dos hitos que acercaron a Bernardo Quintero al mundo de la informática. Por un lado, la película Juegos de Guerra y, por otro lado, la llegada a su casa de un ordenador Spectrum cuando tenía 10 años de edad.

Le pedí a mi padre que me comprase una videoconsola que se conectase a la tele. Fue a un bazar japonés (no había bazares chinos entonces) y le vendieron un ordenador personal y se vino con un Spectrum para que además de jugar, hiciese los deberes del colegio. Empecé a jugar con el Manic Miner, me picó el gusanillo de desarrollar mis propios juegos y empecé a aprender a programar con BASIC. Quise profundizar más y el BASIC se me quedó corto, así que me metí con el ensamblador del Z80 y entré en el mundo del bajo nivel.

Con 14 años, mis padres me compraron el Amstrad PC1512 que fue mi primer PC y se me infectó con el virus del Ping-Pong. Gracias a que, con los videojuegos, había hecho reversing, pude ver cómo funcionaba un virus; me parecía atractivo un programa que se podía reproducir por sí solo y así hice mi primer antivirus.

Alguien que con 14 años hace su primer antivirus, está claro que tiene un futuro vinculado al mundo de la tecnología. Bernardo iba a casa de sus amigos a tomar muestras de los virus con los que se infectaban sus PCs para seguir aprendiendo y, cuando llegó Internet a los hogares en 1995 de la mano de Infovía, Bernardo entró en el mundo underground del hacking y la ciberseguridad.

Virustotal

En uno de estos canales underground, Bernardo conoció a una persona clave: Antonio Ropero y eso le llevó a escribir y colaborar en prensa tecnológica.

Todo empezó con la newsletter «una al día» en octubre de 1998. En esa época colaboraba con PC Actual, y escribía sobre seguridad. Un día le escribí a los editores de la revista para pedirles que hubiese una sección fija sobre seguridad en la revista y me contestaron que no había suficiente contenido como para que hubiese una sección fija con contenidos de calidad.

Al día siguiente, decidí mandarles un correo con asunto «una al día» con una noticia. Al día siguiente, mandé otro correo con «una al día» y así un día tras otro. También se unió Antonio Ropero, del laboratorio de pruebas de PC Actual. Al principio era algo interno entre los editores de PC Actual pero se corrió la voz y recibimos peticiones para suscribirse a la lista de correo. Los primeros que llegaron fueron del equipo de Panda Antivirus y se fueron sumando de McAfee y otras empresas.

Eso nos llevó a que Antonio Ropero y yo montásemos un sitio web, Hispasec.com, para hospedar la newsletter.

Bernardo Quintero desarrolló su primer antivirus con la edad de 14 años

La lista de correo y el sitio web empezaron a tomar dimensión y en febrero de 1999, el diario «El País» se hizo eco del lanzamiento de la primera lista de correo en castellano sobre ciberseguridad. Sin haberlo pensado, la reivindicación de «una al día» se había convertido, en palabras del propio Bernardo, «algo viral porque fuimos los primeros en abordar este tema«. También la prensa, cuando tenía que hablar de temas vinculados a seguridad, recurría a los responsables de esta newsletter para buscar contexto y declaraciones de expertos.

Este posicionamiento como expertos derivó en que hubiese empresas que requerían los servicios de Hispasec en los ámbitos de la consultoría, desarrollo seguro, administración de sistemas… Esto les llevó a montar en el año 2000 «Hispasec Sistemas S.L.» y llevó el apellido «Sistemas» porque el nombre de Hispasec estaba registrado por una cadena de tintorerías, como decía Bernardo, «las cosas que le ocurren a un novato cuando monta su primera empresa».

Futbolín Bernardo y el equipo

Al inicio nos dedicábamos a auditorías, tests de penetración, consultoría… Lo curioso es que en la entrevista que me hizo Mercé Molist en El País ya comenté que me rondaba por la cabeza la idea de montar un servicio multi-antivirus para que cualquiera, por Internet, pudiese mandar un archivo y analizarlo. Ahí lancé la idea en 1999 y hasta 2004 no la ejecuté, una muestra de que las ideas valen poco y lo que cuenta es la ejecución. Puse mi idea en El País y durante 5 años nadie la hizo

Hispasec Sistemas sistemas arrancó con 4 socios y el primer empleado fue Francisco Santos que, a día de hoy, forma parte del equipo de VirusTotal y lleva trabajando con Bernardo desde el año 2002 y ha vivido todos los cambios de la compañía.

Nace VirusTotal

En 2002, Bernardo sacó del cajón la idea de VirusTotal y la planteó a sus socios. En ese momento, el grueso de la actividad de Bernardo eran las auditorías de seguridad, así que plantear un proyecto nuevo sin un modelo de negocio claro no era algo que fuese bien acogido.

Yo tenía un esquema en la cabeza en el que los usuarios enviaban ficheros, teníamos los antivirus para revisarlos y, por otro lado, informábamos a las casas de antivirus si su sistema no detectaba la muestra frente al resto. ¿Dónde estaba el modelo de negocio? No lo tenía pero en mi cabeza el esquema funcionaba y no quería pervertirlo con un modelo de negocio.

Quería generar masa crítica y que el mercado me guiase a cómo monetizarlo. Esto a los socios les ponía nerviosos porque me iba a dedicar a otra cosa e iba a dejar de lado las auditorías (que ocupaban toda mi agenda del año). Así que fichamos a Julio Canto para que iniciase el proyecto y que, por tanto, es la «madre» del proyecto porque fue el que escribió las líneas de código.

Francisco Santos

El servicio de VirusTotal.com se lanzó en el año 2004 aprovechando un congreso de seguridad en Galicia. Era un servicio multi-antivirus gratuito que estaba disponible para los usuarios (y sigue estando disponible de forma gratuita) para analizar archivos. El servicio fue generando tracción y masa de usuarios para dar pie al lanzamiento de Virus Total Intelligence en el año 2009, un servicio que ponía en valor toda la información de muestras, ficheros, metadatos e inteligencia que atesoraba VirusTotal y que se ofrecía a empresas de seguridad y empresas de antivirus.

VirusTotal se basaba en que las casas de antivirus nos daban una licencia de uso de su motor y, a cambio, cuando un fichero malicioso era detectado por servicios de la competencia y no por el motor de dicho fabricante, nosotros le avisábamos y le enviábamos la muestra para que mejorase su motor.

Para la comunidad de usuarios, ofrecíamos un multi-antivirus gratuito. Para los antivirus, un sistema que les mantenía actualizados.

VirusTotal era una spin-off dentro de Hispasec Sistemas pero había un choque conceptual. VirusTotal era una compañía de producto e Hispasec Sistemas era una empresa de consultoría, negocio escalable con posibilidad de crecer de manera exponencial vs. negocio no escalable con crecimiento lineal:

Los servicios escalan con personas y los productos escalan con máquinas. Al final, hubo una escisión de equipos y dos modelos de trabajo distintos en la compañía. Las tensiones entre socios me llevaron a desarrollar el modelo de negocio de VirusTotal Intelligence y pensar también en que esto tenía que ser una empresa.

Equipo trabajando

¿Y cómo consiguieron crecer? La tracción de VirusTotal generó visibilidad y, por supuesto, eran conocidos dentro del sector. Sin embargo, un caso de ataque a la RSA puso VirusTotal en el mapa porque Bernardo pudo investigar el origen del ataque y lo situó en China.

Me puse en contacto con prensa especializada americana pero nadie podía confirmar mi tesis y, en principio, la prensa se lo tomó con cautela. Sin embargo, al final se publicó la noticia y generó mucho impacto en Estados Unidos porque unos «españolitos» habían descubierto un ataque coordinado desde China contra intereses de Estados Unidos.

También el caso de Stuxnet tuvo su relación con VirusTotal porque se identificaron archivos y fuentes tempranas que permitieron hacer un dibujo completo de ese virus.

Bernardo considera que el acelerador de VirusTotal fue el caso de la RSA pero, poco antes, ya había empezado a tener los primeros contactos con Google (cuando empezaron a aflorar las tensiones con sus socios). ¿Cuál podría ser la casa ideal en la que VirusTotal se podía desarrollar? Esa pregunta se la planteó Bernardo y la respuesta fue Google.

La adquisición por Google

Google era una compañía que nos atraía. A cualquier ingeniero le gustaba Google y su cultura. Además, por aquel entonces, Google no tenía ningún esfuerzo comercial en el ámbito de la seguridad. Yo tenía buena relación con Microsoft pero ellos ya tenían su antivirus, así que empecé a tocar a la puerta de Google.

Usé el propio Google, el buscador de papers Google Scholar y encontré un artículo sobre honeypots. Lo bueno de los artículos de investigación es que están firmados por sus autores y viene su correo electrónico, me fijé en el primero y le escribí en frío comentándole que era de España, que trabajábamos en VirusTotal y le envié un acceso al sistema.

Cada vez que añadíamos una nueva funcionalidad, le escribía con las novedades. Llegamos incluso a aplicar una cosa que esta persona de Google había escrito en un artículo y se lo comenté en un correo electrónico. No estaba muy entusiasmado pero un día me escribió.

Me comentó que estando en la cafetería, un compañero de Google que también trabajaba en seguridad le había comentado que usaba VirusTotal y usaba el servicio. Entablamos conversaciones vía hangouts y nos sugería cosas a añadir al servicio que, por supuesto, añadíamos rápidamente. Tras varios meses, esta persona me planteó pagarnos por el servicio.

Boom! Tras lanzar un correo a puerta fría, habían dado con el interlocutor adecuado en Google y estaba dispuesto a convertir al gigante de las búsquedas en cliente de la compañía. El sueño de cualquier startup se hacía realidad pero Bernardo Quintero quería ir más allá y una relación cliente-proveedor no era lo que tenía en mente:

Por aquel entonces, todas las botnets rusas nos lanzaban ataques de denegación de servicio. Así que ante el ofrecimiento de ser clientes les dije que no, que quería a Google como un partner. A los dos días, me plantearon un acuerdo básico en el que nos daban acceso a Google Cloud y ellos tenían acceso a VirusTotal; no me leí el contrato y firmé rápidamente.

Francisco Santos

Cuando tienes como cliente a Google, un servicio de referencia reconocido por usuarios, empresas y, sobre todo, los operadores de tu sector, está claro que tienes un negocio muy interesante entre manos. ¿Y qué suele pasar? Que empiezan a llegar ofertas y eso ocurrió en 2011 pero la primera oferta no era de Google:

Nos llegó una carta de intenciones de un fondo de Estados Unidos y aproveché la ocasión para lanzarle a Google esta oferta y plantear que, si entraba un tercero, quizás la relación no iba a ser la misma. Era viernes noche y me comentaron que no firmase, a las 2 de la madrugada me presentan por correo al VP de adquisiciones de Google y me indica que no firme, que el lunes organizaríamos una videoconferencia con el equipo de ingeniería y adquisiciones de Google.

Esa noche no dormí, me fui a Amazon y me compré un par de libros de «adquisiciones para torpes» porque si era un novato gestionando empresas, era aún más novato en operaciones de fusiones y adquisiciones. Aspiraba al menos a manejar el vocabulario básico y me busqué un abogado en Madrid y otro en San Francisco pero yo controlé la estrategia y Google me reconoció que lo pasó mal porque yo hacía movimientos que no se esperaban y jugamos la baza que había otros interesados en la empresa.

Bernardo puso encima de la mesa de negociaciones la localización de la empresa. ¿Dónde se iban a ir a trabajar una vez formasen parte de Google? Lo natural hubiese sido ir a Mountain View a integrarse en el equipo de seguridad avanzada que, precisamente, usaba VirusTotal y, además, era un equipo creado por Sergey Brin y tenía línea directa con el cofundador de Google.

Yo planteaba que no quería irme de Málaga y eso, al final, llegó a Sergey para que no se presionase con el tema de la ubicación porque adquirir VirusTotal era importante para Google. Zurich fue la otra opción que Google planteaba pero entre Zurich y Málaga, no hay color.

La ubicación no fue lo más tenso de la negociación y, tras las negociaciones, me reconocieron que nunca nadie les había planteado esto. Consideraron que para nosotros era importante, por arraigo y porque queríamos demostrar que se podía tener un grupo avanzado de Google en España y en Málaga sin necesidad de ir a Silicon Valley. Pusimos Málaga en el mapa, se hacían más cosas que los chiringuitos, la playa y el Cartojal.

Al negociar con Google, VirusTotal quiso quedarse en Málaga con su equipo y no cambiar su forma de trabajo

Cuando una startup se integra en una gran corporación pueden ocurrir efectos indeseados. En las adquisiciones de Google, históricamente, los equipos que se integraban bajaban su productividad por la adaptación a la forma de trabajo y a la tecnología interna.

VirusTotal, al trabajar con Google Cloud, se adaptó rápido a los sistemas internos y, además, tampoco se vieron «atropellados» por los procedimientos de Google, consiguieron seguir trabajando como siempre y mantener cierta independencia (en marca, sistemas, procedimientos, etc.).

Para Google fue raro. Reivindicamos nuestra ciudad, conservamos la marca, nuestros buzones de correo, nuestra forma de trabajar… Tenemos espíritu startup y somos ágiles trabajando, al principio hubo tensiones pero tanto Google como nosotros hemos aprendido los unos de otros.

VirusTotal es la historia de un equipo

Para Bernardo Quintero, su equipo es clave. Hay un núcleo que ha vivido con Bernardo la época de Hispasec, la puesta en marcha de VirusTotal, las negociaciones con Google, pasar por Google X y hoy ser una compañía bajo el paraguas de Alphabet, Chronicle.

Equipo de Virustotal en 2012

Ese «núcleo» se resume en una foto que pocas personas fuera de la compañía han visto. Una instantánea tomada en Zurich en 2012, tras las negociaciones y antes de que se hiciese pública la adquisición, en la que sale el equipo de VirusTotal que formaba parte de la operación y que, por tanto, se integraba en Google.

Francisco Santos (16 años trabajando con Bernardo y primer empleado de Hispasec), Emiliano Martínez (10 años trabajando en VirusTotal), Víctor Álvarez (que trabajó en el Ministerio de Ciencia de Cuba, pasó al equipo Panda Antivirus y de ahí VirusTotal y trabaja desde Bilbao. Como dato curioso, Bernardo lo fichó a través de un reto de seguridad que el fundador de VirusTotal lanzaba a modo de mecanismo para captar talento), Julio Canto (16 años con Bernardo) y Alejandro Bermúdez (11 años en el equipo).

Bernardo considera que siempre se ha llevado los focos pero cree que su mayor logro ha sido «fichar a mi equipo y hacer de pegamento«:

Yo soy un facilitador y lo que es VirusTotal es gracias a un equipo que desarrolla su creatividad, que sugiere mejoras e ideas y trabajan por objetivos. No hay egos, el equipo es generoso con los demás y esta cultura de equipo hay que intentar mantenerla ahora que pasamos de 20 a 40 personas. En un año hemos pasado de 6 a 20 personas y pasaremos a ser 40 personas en el plazo de un año.

Emiliano Martinez

Emiliano Martínez, el tech leader de VirusTotal, natural de Marbella, llegó a la compañía en 2008 pero conoció VirusTotal antes (en 2006), cuando hacía su proyecto fin de carrera. Fue uno de los primeros que enviaba malware a VirusTotal, acabó trabajando en la compañía y, como era el que mejor hablaba inglés, también estuvo en las negociaciones de la adquisición por Google:

Uno de los sueños de un ingeniero es trabajar en Google. No quieres que se te escape la operación dentro del «tira y afloja» de la negociación y vives con tensión y estrés todo el proceso. Lo recuerdo con muchas llamadas y reuniones en horario americano pero el acuerdo, finalmente, se firmó.

Ahora ocupa la posición de tech leader de VirusTotal y hace de interfaz con otros equipos de Google y también supervisa el trabajo de la compañía. Bernardo Quintero dice de él que es una persona generosa que siempre está pendiente de sus compañeros; Emiliano considera que es un técnico con visión amplia del negocio y que es capaz de lidiar con marketing y ventas o escribir unas líneas de código.

Víctor Álvarez se incorporó a VirusTotal cuando había que pensar en un modelo de negocio y hoy se encarga del backend de la página web pública del servicio y del backend de VirusTotal Intelligence. Trabaja desde Bilbao en remoto y contribuyó al desarrollo de VirusTotal Intelligence.

Dscf5094

Llegó desde Panda con un proyecto personal bajo el brazo: YARA, un sistema de reglas para clasificar malware que se ha convertido en un estándar para el sector de la seguridad y que, por supuesto, forma parte de VirusTotal:

Al formar parte de VirusTotal, YARA comenzó a generar tracción y se ha convertido en un estándar de facto en el sector de la seguridad. Es algo de lo que estoy orgulloso y contento, el desarrollo de YARA y VirusTotal están muy relacionados porque ambos proyectos se han ido alimentando. Hay muchas empresas que usan YARA internamente e, incluso, Apple se ha apoyado en las reglas de YARA en MacOS para detectar malware

Julio Canto empezó trabajando para Hispasec desde Madrid hace ya 16 años y, desde entonces, ha estado vinculado a VirusTotal. Alejandro Bermúdez llegó al equipo en 2007 y, como el resto de sus compañeros, investigaba por su cuenta, una de sus aficiones era el desarrollo de software, también desarrollaba drivers y también construía su propio hardware:

Entrar en Google nos ha permitido hacer cosas mucho más refinadas al contar con más recursos y presupuesto. Es mucho más cómodo escalar con esos recursos pero nos hemos mantenido estáticos en nuestra forma de trabajar porque funcionaba bien y no hacía falta cambiarlo.

Lo que llama la atención, cuando hablas con Bernardo, Emiliano, Julio, Víctor o Alejandro, es que todos muestran un patrón común: curiosidad, autoaprendizaje y experimentación desde una edad temprana. Todos empezaron experimentando por su cuenta, recorriendo foros underground, recibiendo formación técnica y, sobre todo, «cacharreando».

Emiliano marcaba el perfil de la siguiente forma:

Hay gente que ha ido a la universidad y trabaja en este sector pero la formación universitaria es lo de menos. Todos hemos sido autodidactas, tienen conceptos claros de programación y han aprendido los conceptos básicos de seguridad. Le damos más peso a las habilidades y conocimientos; es más importante que nos enseñen proyectos que hayan hecho o lo que tengan publicado en GitHub que los títulos que tenga alguien.

Lo que yo hago hoy es gracias a lo que aprendí por mi cuenta y no lo que me enseñaron en la universidad.

Victor Alvarez

Víctor consideraba que la formación académica es una base pero que, cuando llegas al mundo profesional, es cuando se empieza a aprender cosas:

Me encantaba el mundo del bajo nivel y el ensamblador, la universidad no profundizaba en esos aspectos y yo quería saber cómo funcionaban las cosas de verdad. Yo llegaba de la universidad y me ponía a investigar por mi cuenta.

Mantener la cultura ágil de VirusTotal y no dejarse atropellar por el gigante Google

Una de las cosas que sorprende es que, tras 6 años en Google, el espíritu original de VirusTotal se mantiene así como el equipo core o, como lo llamó Alejandro Bermúdez, «la vieja guardia».

Podían haber sido absorbidos por los procedimientos, sin embargo, Bernardo ha hecho de «paraguas» y ha conservado el estilo de trabajo.

Cuando he hablado con otros fundadores de empresas integradas en Google se sorprenden de lo que hemos hecho. No se plantearon nunca discutirle a Google los procedimientos o las buenas prácticas de desarrollo que tienen. Hemos sido combativos para defender nuestra forma de trabajo y cómo debíamos escalar el producto y Google nos ha dejado hacer porque se han dado cuenta que hacíamos bien las cosas y nos han permitido trabajar y darnos la posibilidad de equivocarnos.

Dscf5095

Algo parecido comentaba Emiliano Martínez. Google tenía fama de «romper» sus adquisiciones y, sin embargo, durante los dos primeros años todo siguió igual:

Al otorgarle a Google una posición estratégica en el ámbito de la seguridad, las cosas no cambiaron mucho. Cambiamos a una oficina mucho mejor, teníamos la comida que quisiésemos y desde hace un año contamos con una cocinera en la empresa y, lo más importante, no tener que preocuparnos por los costes de infraestructuras para poder escalar mucho más rápido.

Con el tiempo sí que nos hemos ido integrando y eso nos generó algo de burocracia. Un acuerdo con un cliente pasa por firmar un acuerdo legal estándar y, si algo se sale de ahí, hay que revisarlo… Montar un sistema de pagos, por ejemplo, se dilata mucho en Google y en una startup se hace en un fin de semana.

Ahora negociamos una vez al año el roadmap del producto y Google nos deja margen de maniobra una vez que hemos consensuado el rumbo. De hecho, hay muchas mejoras e innovaciones que han surgido porque a alguien se le ocurre una idea y decidimos implementarlas. Así fue como nació VirusTotal Graph.

El equipo de VirusTotal en las nuevas oficinas en el campus de la UMA. Imagen: Bernardo Quintero

El equipo de VirusTotal se considera una familia en la que todos confían en la persona que tienen a su lado

¿Y cómo es trabajar en VirusTotal? ¿Cuál es la cultura de la compañía? Una de las palabras que más veces repetía el equipo de Bernardo era la palabra autonomía y la posibilidad de desarrollar tus propias ideas y visualizar el impacto que tienen tanto en el producto como en los que lo usan.

La modestia es otro de los factores que destacan en el seno de VirusTotal. Personas que desarrollan para Google un sistema que usan compañías de antivirus, Facebook o las empresas del Fortune 500 y que siguen teniendo los pies en el suelo, siguen trabajando desde su ciudad natal y, además, ponen valor las bondades de su entorno y su estilo de vida.

Emiliano señalaba que se ve trabajando en VirusTotal y no tiene aspiraciones de vicepresidente ni de saltar a otra compañía. Sigue viviendo el ritmo de trabajo de una startup y sigue viendo el impacto de su trabajo:

Somos aún más startup que antes. Al ser Chronicle una startup, podemos ser ágiles, dinámicos, tener menos burocracia y podemos innovar más.

Mi trabajo es un reto que tiene muchos cambios de contexto. Llego y me encuentro 5 e-mails de marketing, 10 de ventas, me pongo con el roadmap de desarrollo y lo superviso y también soy responsable de alguno de los proyectos a desarrollar. Parte de mi trabajo es desarrollar y otra parte es hacer de enlace con la gente de Mountain View.

La nueva sala de descanso

Víctor Álvarez señalaba que «mantener la independencia» ha sido clave para seguir siendo VirusTotal. Mantener la oficina y no marcharse a una oficina de Google les permitió seguir trabajando como siempre pero con una ventaja:

Hemos aprendido mucho de Google para hacer las cosas más a lo grande, a hacer sistemas mucho más robustos y adquirir mejores prácticas de ingeniería. Pero nosotros también hemos hecho muchas cosas bien, nuestra cultura por ejemplo.

Nuestra cultura es clave. Todos estamos en el mismo barco, el equipo está muy unido y contribuimos a que las cosas marchen bien. Hay un sentimiento de pertenencia porque nuestro destino es el destino de VirusTotal y esto es un logro de Bernardo y su estilo de llevar el equipo.

Nos ha dado libertad, ha permitido que la gente trabaje en proyectos que le gustan y eso provoca que la gente quiera mejorar lo que hace y demuestren entusiasmo.

Julio Canto

Para Francisco Santos, la persona que más tiempo lleva trabajando con Bernardo Quintero y que ahora se encarga de Monitor, un nuevo servicio que permite a los desarrolladores detectar «falsos positivos» y actuar de manera proactiva con las empresas de antivirus, trabajar en VirusTotal te enriquece y te hace seguir creciendo:

VirusTotal es una locura, no sabes dónde vas a estar mañana. Estás bajo el paraguas de Google, ahora estamos en Alphabet pero se ha mantenido el equipo core, solamente se ha marchado una persona de la compañía y seguimos estando en Málaga. ¿Quién se va a ir de aquí estando en tu ciudad? No tiene sentido dejar este proyecto.

Bernardo es el que lucha con su «espada y su escudo» para que nuestro espíritu se mantenga, él confía plenamente en nosotros y se le corresponde con la responsabilidad sobre las tareas y proyectos que nos encomienda. Emiliano y Bernardo nos resguardan de los golpes de timón que llegan y tienen muy buen ojo eligiendo a la gente que se incorpora al equipo.

A todo el equipo de VirusTotal le pedí que resumiese en una frase lo que significaba trabajar allí. Las respuestas emanan una mezcla entre ambiente retador, cohesión de equipo y una familia:

  • Emiliano Martínez: «VirusTotal es intrigante. No sabes qué te va deparar. Cuando empezamos no sabíamos que Google nos iba a comprar. Cuando nos compró no sabíamos que pasaríamos a X. Al entrar en X no sabíamos que seríamos una compañía en Alphabet al mismo nivel que Google»
  • Víctor Álvarez: «Trabajar en VirusTotal es un lujo. Trabajas con gente que comparte tu misma visión del mundo y son buenas personas. Confías en los demás profesionalmente y éticamente. Todos vemos a los demás como nuestros colegas, confías en el que tienes a tu lado y no hay competencia»
  • Francisco Santos: «VirusTotal es una familia. Trabajamos en algo que te ilusiona y te gusta y es una gran oportunidad para desarrollarse»
  • Alejandro Bermúdez: «Trabajar aquí es compartir conocimiento con tus compañeros. He vuelto a la universidad a investigar pero con presupuesto»
  • Julio Canto: «El ambiente de trabajo es clave, trabajas en algo que tiene impacto en mucha gente. Es el mejor sitio de España para trabajar y, honestamente, comparando con Estados Unidos y Silicon Valley, prefiero trabajar aquí»

Trabajas por objetivos y luchas por tu proyecto pero si le puedes echar una mano a tu compañero, lo haces. Hablamos mucho e intercambiamos ideas y proyectos. Cuando tienes gente tan potente a tu alrededor, todos subimos el rendimiento. La sala común es una sala de debate en voz alta y todos nos enriquecemos.

Virustotal Enterprise

¿Quién usa VirusTotal?

Emiliano comentaba que, si bien al principio, los clientes eran empresas de antivirus, el perfil del cliente se ha ido ampliando a empresas de seguridad y también a grandes empresas. Compañías como Facebook usan el servicio, no tan interesadas en el malware pero sí en conocer «quiénes son sus enemigos y qué gobiernos están esponsorizando equipos para atacarles»:

VirusTotal es el esqueleto de la ciberseguridad para muchas compañías gracias a la inteligencia que les ofrecemos. Toda empresa que está en el ámbito de la ciberseguridad está apoyándose en nosotros y eso es una responsabilidad que nos gusta porque, de manera indirecta, tenemos impacto en billones de personas en todo el mundo.

Actualmente la compañía maneja más de dos mil de millones de ficheros, más de 8 mil millones de URLs catalogadas y un orden magnitud similar de dominios. Al día reciben entre 1 y 2 millones de ficheros nuevos y unos 8 millones de URLs, una actividad enorme que les permite atesorar un gran conocimiento sobre malware y ofrecer el servicio a empresas.

Gracias a toda esta actividad del servicio para usuarios, nosotros podemos hacer procesos de ingeniería en el backend para extraer información interesante y ofrecer la parte privada.

Alrededor de 80 motores de antivirus están integrados en el servicio y, según comentaban Julio y Alejandro, no hay nadie en el mundo que maneje tantas muestras de malware y realice tantos análisis como VirusTotal.

Equipo de Virustotal

Anécdotas e historias de ciberseguridad

Siendo una de las empresas de referencia en el ámbito de la ciberseguridad, todos los miembros del equipo han vivido alguna anécdota o historia destacada.

Bernardo Quintero recibió la llamada de Chema Alonso cuando el ataque de WannaCry a Telefónica y, gracias a la información que había en VirusTotal de muestras de malware, se pudo detectar un fragmento de código que se vinculó a Corea del Norte

Emiliano Martínez recuerda el caso de un email que se había subido con un malware a la plataforma de VirusTotal. El correo electrónico estaba dirigido a un alto ejecutivo del Banco Mundial y un Ministro de Japón y llevaba un PDF adjunto sobre inversiones:

Al abrir el PDF, se explotaba su máquina y se descargaba el malware. Eso es lo bueno de VirusTotal, no solamente ves la bala que es el malware, podemos rastrear la pistola, quién la empuña o quién es la víctima a la que se está apuntando. Por eso somos interesantes para las empresas, porque ofrecemos toda esa inteligencia.

Otra de las anécdotas que recordaba Emiliano es la de los haters de VirusTotal, es decir, las botnets que intentan tumbar el servicio. Hay un malware ruso que está operando desde 2015 y que sigue funcionando:

Este malware infecta una máquina y genera copias polimórficas de sí mismo; son copias de malware con un hash distinto que sube cientos de muestras por segundo a nuestro servicio con intención de tumbarlo. Básicamente, desde Rusia, China, Brasil y Corea del Norte nos vienen bastantes ataques pero estando tras la infraestructura de Google no tenemos que preocuparnos tanto.

Víctor Álvarez comentaba como el hecho que más le llamó la atención quiénes fueron los primeros clientes de VirusTotal Intelligence, el servicio para empresas. ¿Empresas de antivirus? ¿Empresas de seguridad? Pues no, fueron empresas del sector farmacéutico y empresas industriales:

Son empresas grandes con problemas de malware en sus redes que eran presas de ataques que perseguían robarles su propiedad industrial y que estaban formando sus equipos de ciberseguridad para contrarrestar estos ataques.

Dscf5087

Google, X, Alphabet y Chronicle

Han pasado 6 años desde que VirusTotal fue adquirida por Google y, en estos años, aunque el equipo y la forma de trabajo se han mantenido sin muchos cambios, VirusTotal se ha ido haciendo mayor dentro de Google y la compañía encara un futuro muy prometedor.

El primero de los cambios lo provocó Bernardo al ver una gran oportunidad en la creación de Alphabet como conglomerado de empresas para reestructurar y organizar sus negocios. Aunque VirusTotal era un producto para empresas, el equipo estaba integrado en el área de seguridad interna de Google; una paradoja que generaba sus fricciones:

Hace 2 años, cuando se anunció Alphabet, pensé que era el momento de cambiar cosas. Estábamos integrados en el equipo de seguridad interna de Google pero dábamos servicio a clientes como Facebook, Apple, Baidu… Éramos el único producto de seguridad de Google para terceros y al ser una cosa extraña teníamos fricciones con el equipo de seguridad interna.

Alphabet era una oportunidad para tener más autonomía y lo planteé en el seno de Google. Me comentaron que tenía sentido pero, en ese momento, no éramos tan grandes como para tener entidad propia. Así que pasamos a Google X, la incubadora de proyectos.

Graduacion De Chornicle En Google X

Google X es la división de Google que creó Sergey Brin para los moonshots, es decir, aquellos proyectos «destinados a cambiar el mundo». De X han salido las Google Glass, Project Loon, el coche autónomo, los proyectos de drones… Es la incubadora de proyectos innovadores y ahí fue donde llevaron a VirusTotal para «hacerlo grande»:

Hemos estado un año y medio en X, trabajando en VirusTotal y debatiendo sobre el «estado del arte» de la ciberseguridad. Allí conocimos a Stephen Gillett que estaba en Google Ventures como CEO en residencia. Stephen venía de haber trabajando anteriormente en Symantec, conocía nuestro mundillo y enseguida congeniamos muy bien, tanto en la parte profesional pero sobre todo en lo personal y en los valores humanos para construir una empresa. Con la ayuda de Stephen, junto con Mike Wiacek y Shapor Naghibzadeh que habían sido compañeros del equipo de seguridad en Google, se diseñó el nuevo proyecto que convenció al board de Alphabet.

A principios de este año se anunció que nos hemos graduado de Google X como empresa Alphabet y ahora somos Chronicle

Chronicle es el nombre de la nueva empresa de ciberseguridad que Alphabet ha creado para prestar servicios a empresas. Es una compañía ya separada de Google donde VirusTotal es uno de los productos que comercializan y desde también desarrollarán nuevos productos:

Al graduarnos de Google X y convertirnos en Chronicle volvió a surgir el debate de la localización. Afortunadamente Stephen, CEO de Chronicle, ha apostado también por invertir en Málaga como una de las principales sedes de la nueva compañía y núcleo de desarrollo de VirusTotal. Visita regularmente la ciudad y está encantado tanto por el entorno por como el equipo de ingeniería está trabajando y creciendo aquí.

Por su parte, Chronicle también está creciendo de forma muy rápida en Silicon Valley, donde se centralizan el resto de áreas de la compañía (finanzas, ventas, marketing, legal, etc) y hay otro gran equipo de ingeniería desarrollando un nuevo producto.

Chronicle

Ahora como equipo de ingeniería de Chronicle, VirusTotal va a encarar un fuerte crecimiento. Para empezar en personas, han pasado en un año de 6 a 20 personas y van a pasar a ser 40 personas en los próximos meses. Hasta ahora, era Bernardo el que fichaba personalmente a los miembros del equipo, ahora tendrá que delegar en el equipo y pasar de una organización plana a una estructurada en equipos de trabajo.

Hacer crecer una empresa al estilo americano es un reto que el equipo de VirusTotal considera interesante y donde, sin duda, están aprendiendo mucho.

Todo el equipo señala que desde 2008 hasta 2015, apenas crecieron en el número de personas y el mapa del producto está en las cabezas de unos pocos, ahora hay que enfrentarse al enigma de cómo encajar personas que funcionen sin conocer ese histórico de todo lo que hemos hecho.

Somos Google pero somos de Málaga. El impacto de VirusTotal en la ciudad

Alejandro Bermudez

Para Bernardo Quintero y su equipo, Málaga es importante. No solamente por arraigo personal, también es una declaración de intenciones para mostrar al mundo la calidad y cualificación de los ingenieros españoles.

El fundador de VirusTotal tiene claro que una manera de poner en valor Málaga es hacer que Google visite la ciudad y eso es algo que todos los miembros del equipo promueven:

Cuando hacemos presentaciones internas para Google, las tres primeras diapositivas son sobre Málaga y les mostramos espetos, chiringuitos y nuestra forma de vida. Ahora nos conocen como el equipo de Google de Málaga y no como VirusTotal. Hemos conseguido que Sergey Brin haga chistes sobre Málaga o que Eric Schmidt, al verme, me diga que ha visitado España y ha estado en Ibiza.

Dscf5077

De hecho, las oficinas de Google en Málaga forman parte del mapa de oficinas de la compañía y otros equipos de Google intentan visitar a sus compañeros del sur de Europa y conocer su «calidad de vida». Es una manera de «vender Málaga y España mostrando que hay buenos ingenieros y que tenemos un estilo de vida interesante», comentaba Bernardo.

Francisco Santos señalaba que una cosa que debemos aprender de los americanos es «saber venderse»:

Los americanos saben venderse muy bien y nosotros nos vendemos muy mal. Esa es la clave de absolutamente todo, parece que lo hacen todo perfecto y resulta que hay un equipo en Málaga que hace cosas de muy alto nivel.

Otro detalle interesante es el «efecto llamada» dentro de Google. Hay empleados de Google, sobre todo españoles que trabajan fuera de España, que se plantean ir a Málaga e integrarse en el equipo de VirusTotal, subiendo así el nivel de la ciudad como hub tecnológico. En la oficina de Málaga hay Googlers que han estado trabajando en las oficinas de Londres, Dublín e, incluso, en Mountain View.

Emiliano señalaba que la movilidad interna de Google es una ventaja interesante:

Las personas que trabajan en Google ya han pasado por un filtrado importante y, con ellos, el proceso de selección se simplifica bastante porque son menos las entrevistas a realizar. En Google no recala cualquiera y con tres entrevistas sabemos si es un buen candidato para nuestro equipo y, claro está, cómo se vive aquí en Málaga no se está en ningún sitio.

Los ingenieros en España son muy buenos pero tienen poca visibilidad y se terminan marchando fuera. Faltaba en España una empresa de referencia que captase ese talento que, de otra manera, se marcharía fuera.

Víctor Álvarez tiene claro que crecer es un reto. No es simplemente añadir personas, hay que encajarlos en una filosofía de trabajo, especializar a las personas y, sobre todo, mantener la cultura y el flujo de comunicación para que todo el mundo sepa la dirección en la que se va a encaminar la empresa.

El futuro parece prometedor y VirusTotal se va a posicionar como un gran tractor de la ciudad. Han cerrado un acuerdo de colaboración con la Universidad de Málaga para desarrollar una especialidad de ciberseguridad en el Máster de Ingeniería Informática, generando así una cantera de ingenieros que es susceptible de ser incorporado a Chronicle y encarar el crecimiento que viene.

Poco a poco, la ciudad Málaga se está convirtiendo en el hub de la ciberseguridad del sur de Europa. No solamente con Chronicle, también con Eleven Paths de Telefónica y, por supuesto, Hispasec que sigue funcionando.

El futuro de la ciberseguridad pasa por el sur de Europa, concretamente por la ciudad de Málaga.