Personajes
Hacker ético

Santiago Rosenblatt: "Nunca me dio miedo emprender; no pasa nada si fallás"

Santiago Rosenblatt pasó de hackear empresas desde los 6 años a crear Strike, una compañía de ciberseguridad que busca proteger a otras de esos ataques; recientemente captó una inversión de 5,4 millones de dólares

03.06.2022 07:00

Lectura: 17'

2022-06-03T07:00:00
Compartir en

Por María Inés Fiordelmondo

No recuerda si tenía seis o siete años. Pero sí, se acuerda al detalle de que eran las tres de la mañana, que estaba en la casa de un amigo, que su amigo se durmió y que dejó la computadora prendida. Santiago Rosenblatt estaba casi convencido de que si tecleaba en el buscador la palabra hack, la máquina automáticamente sería hackeada. La jugada era arriesgada, pero nada en ese momento parecía más peligroso que quedarse con la duda y dejar morir su curiosidad. Buscó en Google, no pasó nada. 

Menos de dos décadas después Santiago cuenta con asombrosa elocuencia cómo hizo para captar una inversión de 5,4 millones de dólares para Strike, la empresa de ciberseguridad que empezó a idear hace poco más de dos años con el objetivo de que estar altamente protegido de ataques cibernéticos sea mucho más accesible para las empresas. Y, al mismo tiempo, detalla cómo rechazó una propuesta para trabajar liderando un área de seguridad en Facebook, a pesar de que formar parte del equipo de Mark Zuckerberg era su mayor sueño siendo estudiante. 

En medio de toda la historia aparecen muchas personas, anécdotas, consejos y ayuda. Se repiten varios nombres, como el de Ruben Sosenke, Ariel Burschtin —ambos fundadores de PedidosYa— y Sergio Fogel —cofundador de dLocal—, sin quienes Strike probablemente no hubiera sido la empresa que es hoy. Rosenblatt-, que con 25 años lidera una startup a la que le llueven interesados para invertir, clientes y talentos para trabajar, se quiere quitar méritos. “No creo en eso del self made. En mi caso seguro que no. No te hiciste solo, mucha gente confió en vos cuando eras nadie y te ayudó”. 

Pero aquella madrugada con 6 o 7 años y la palabra hack recién escrita en el buscador, Santiago estaba solo frente a la computadora. Dicen que las mentes brillantes son personas nocturnas. Esa misma noche Rosenblatt estudió las básicas y desde entonces no paró de hackear; a la NBA, a Snapchat, a sitios de compras online, a un sistema para ganarse entradas para el Mundial de Brasil 2014, al juego Candy Crush. Era la diversión máxima. Varios años después llegaría la desilusión: no podía pasarse la vida jugando a expensas de las debilidades de otros. 

Es lunes y el ingeniero en Sistemas y emprendedor Santiago Rosenblatt, de buzo canguro blanco, anda tan relajado como la atmósfera que se respira en la oficina. Sobre un escritorio reposa una careta de Anonymous, y en la mesa de la cocina lo hacen varios restos del almuerzo, yerba y muchos tipos de té. “Dejá de comerte la cabeza y comete el mundo”, dice en su biografía de Instagram. Y parece más que listo para hacerlo.

Con 7 años hackeó por primera vez, ¿cómo se le despertó ese interés?

Hay varios cabos que fui atando en los últimos años. Uno es que en realidad las cosas parten de antes. Me acuerdo de mi madre retándome muy enojada porque me había robado un martillo y destornillador del jardín al que fui desde el primer año de vida hasta los 4, que lo usaba para desarmar juguetes. Siempre trataba de desarmarlos y entender cómo funcionaban. Si tenía suerte los armaba de vuelta y funcionaban. Muchas veces no. Eso creo que lo llevé a la parte digital. Mi madre trabajaba en la parte de seguridad, iba a congresos y me traía pendrives con muchos programas que eran para algunas cosas de hacking. Y siento que ese puede ser el pin inicial. 

Más allá de que pude haber arrancado un poco antes o no, cuando me arranco a meter en serio, estaba convencido de que si buscaba la palabra hack te hackeaban. Ponías “hac” en el buscador y todo bien, pero si ponías la “k” ya te habían hackeado. Eso pensaba. Eran las tres de la mañana en la casa de un amigo, él se había dormido, yo estaba despierto y estaba la computadora prendida. Y dije: “Es acá”. Ahí arranqué. Ese recuerdo latente lo tengo. Fue una mezcla entre inquietud anterior, mi madre, más esto. Y a partir de ahí mi juego era hackear. Después, terminar creando Strike es anecdótico, porque nunca quise o siempre quise no dedicarme a esto, y las cosas fueron llevando a que terminara liderando seguridad en PedidosYa, sobre todo seguridad de aplicaciones y después emprendiendo con Strike, que en realidad yo no quería. A los 15 o 16 me di cuenta de que además de romper me gustaba crear. Ahí empecé a crear aplicaciones, o a visualizar ideas que tenía en una lista desde muy chico. Me fui un año de voluntariado a Israel después del liceo y antes se me había ocurrido una idea. Todo ese año estuve pensando en una app de moda y tecnología. Después tuve una app para salir de noche que fue mi tesis. Mi compañero de tesis, mientras yo estaba estudiando en Oxford de intercambio, entrando a la última clase de seguridad avanzada, me dice: “Vos conocés lo que quieren los hackers, conocés lo que quieren las empresas, te conocen de todos lados, tenés que hacer algo con seguridad”. Le digo: “Pepe, no me rompas, quiero hacer algo más divertido”. Y Strike se me ocurrió 20 días después, los últimos días de marzo. Al final terminé creando algo de ciberseguridad. 

De chico, ¿era consciente de que hackeando les estaba generando un problema a otros? 

Hasta los 15 para mí era un juego, nunca lo vi como algo malo. Me agregaba créditos, me hacía miembro gratis, accedía a funcionalidades que tenés que pagar, pero para mí era un juego; no estaba haciendo nada malo. Me di cuenta de que estaba haciendo algo malo cuando estaba en segundo de liceo, tenía 14 años y poquito. Encuentro una vulnerabilidad en un marketplace, que me permite comprar todo gratis pagando solo el envío, que eran 100 pesos en ese momento. Cuando me doy cuenta de eso, pruebo la vulnerabilidad, funciona, la reporto, notifico, y ahí me doy cuenta: hace como 8 años que le vengo robando a la gente. Lo otro era en menor medida, pero robando igual. Ahí arranco a enfocarme en ayudar a empresas. Arranco a hackear PedidosYa para ayudarlos en 2013, 2014. 

¿Qué anécdotas tiene de cuando hackeaba por diversión?

Una de las que más recuerdo es cuando hackeé la NBA. Jugaba todo el tiempo y lo disfrutaba, me encantaba Kobe Bryant, era fanático de los Lakers, y no quería pagar 180 dólares de suscripción. Sabía hackear muy rápido, los hackeaba de un montón de formas, me parcheaban, los hackeaba de vuelta, y me acuerdo de hackearlos contento. Para el mundial de 2014 en Brasil había una app que era un juego en el que quien terminaba con más puntos se ganaba pasajes para Brasil. La hackeé de un montón de formas para estar primero, y llegó un punto en que me mandaron una notificación personalizada donde me ponían: muy buenos estos millones de puntos, well done, actualmente el ganador es fulano. Eran felicitaciones por poder hackearlos, avisando quién era el ganador posta. Ya era tan evidente de tantas veces que los hackeaba que se daban cuenta. Después mis amigos cada juego que tenían, algunos me pedían que los hackeara y agregara créditos. El Candy Crush, como juego creo que llegué a jugar hasta el nivel 30 y poquito, nunca me divirtió. En 2013 estaba en quinto de liceo, todos jugaban en los recreos y pensaba: ¿Qué onda este juego que todo el mundo está enganchado? Voy a probar hackearlo. Estaba convencidísimo de que iba a ser redifícil, llegué a mi casa y fue de los juegos que más rápido hackeé, en cinco minutos creé niveles jugables. A la chica con la que estaba saliendo le hice un nivel jugable, con corazoncitos y su nombre, que lo podía jugar. Creo que en el nivel 17 estoy primero en el mundo en Candy Crush. Como esas hay un montón.

¿Es común en la industria reconocerse como un hacker que en mayor o menor medida robaba? 

Creo que en la mayoría de los casos hay un punto de inflexión donde la gente se da cuenta. En un momento tenés determinada edad, entendés los riesgos y el daño que podés causar, y ahí te vas más para el lado “bueno”. Se da bastante en quienes arrancan de chicos. 

¿En el sector se valora que alguien haya tenido esa experiencia?

Definitivamente se toma en cuenta. De hecho, la primera vez que me pagaron para trabajar fue a los 10 años. Y a los 18, cuando arranqué, sabían que para la parte de hackeo era muy bueno. 

Fuera de ese ámbito, en cambio, la palabra hacker tiene mala prensa. 

Obvio, por eso nosotros estamos cambiando el término a strikers. Que striker o striking sea el hacker ético, y el hacker sea el malo. 

¿Cómo llegó a trabajar para la seguridad de grandes empresas?

La primera vez que me hablaron de una empresa grande fue cuando tenía 10 años más o menos. Era tan chico que me pagaron con un cheque del shopping porque no podía cobrar el dinero. Fue el gerente de una empresa muy grande, para desbloquear y hacer algo con un celular, representante de una firma alemana. 

¿Cómo sabían de su capacidad para hackear cuando apenas tenía 10 años?

En este caso, conocía a alguien de la familia. Ya cuando tenía más de 15 años me arranqué a hacer bastante conocido. A PedidosYa llego porque coincido en una festividad judía con Ari Burschtin, CEO de PedidosYa, que estaba saliendo con mi prima, que ahora es su esposa. Ella le contó que tenía un primo hacker, él pensó que era joda. Me acuerdo que nos encontramos en esta festividad y él me arranca a hablar, como si estuviera hablando con un niño. Y se dio cuenta de que era en serio. Ahí me dijo: “¿Por qué no nos hackeás y te arrancamos a pagar por vulnerabilidades?”. Le dije que se lo hacía gratis, y la verdad me aburría hackearlos. Me acuerdo que tenía un escrito de matemáticas, iba estudiando el 50% y no tenía ganas de estudiar más… ¿qué puedo hacer? Me puse a hackear PedidosYa. Ahí arranqué, le abrí restaurantes que estaban cerrados, le cambié descuentos, le pedía comida y la factura me llegaba en negativo. A ese nivel, les mandaba todo eso y así estuve cuatro años hackeándolos para ayudar. Me iba a ir a estudiar afuera en un momento pero decidí quedarme. Estaba trabajando en Presidencia, en la parte de respuesta a incidentes, y no lo estaba disfrutando tanto. Entonces le dije a Ruben Sosenke (CTO de PedidosYa) que se me habían liberado unas horas y que quería hacer algo fijo. Fui al otro día, hablamos, y arranqué a trabajar con ellos. Ahí arranqué a tomar más y más responsabilidad, y terminé liderando Seguridad en Aplicaciones. Después yo estaba en Inglaterra y ellos querían que tomara más proyección todavía. Les dije que quería ayudar pero sabía que iba a querer hacer algo mío. Entonces elegí a mi manager para que esté todo bien; estaba abajo de mi manager, que lo había traído yo. El que lidera hoy es él. 

Con un futuro tan prometedor en el mundo corporativo, ¿por qué se le dio por emprender, con todos los sacrificios que implica hacerlo?

Sentí desde muy chico que quería hacer algo mío. Vengo muy influido del lado de mi familia, sobre todo de mi padre. Son tres hermanos y todos crearon algo. Siempre se incentivó mucho eso, todos muy apoyados en: si querés crear algo, crealo. Nunca me dio miedo emprender. Uno tiene empresa de luminarias, Darko Lighting; otro de producción, Metropolis Films. Mi primo es el mejor director de fotografía de Uruguay, da clases en Estados Unidos, filmó a Billie Eilish. Siempre supe que no pasa nada si fallás. Me voy a trabajar en otra empresa y está todo bien. Siempre quise encontrar un problema a resolver que esté bueno y fue de esa forma. No es que no me gustaría trabajar en una empresa de alguien más. Todo tiene pros y contras, y lo que más me duele de emprender es que dejo de lado un montón de posibilidades que eran increíbles. Cuando arranco Strike tenía la opción de ser application security manager en Facebook. O senior security manager en Amazon, que me llamaron tres veces en un año, tenía 22 años. A nivel monetario eran ofertas impensables. Más de medio millón de dólares por año, con 22. Entonces sí hay un montón de cosas que dejás de lado y empresas impresionantes que me llamaron cuando tenía 20. Elegí Strike y hoy estoy muy contento de lo que estamos haciendo, a nivel cultural generamos algo impresionante. De decir: nos vamos un fin de semana a Punta del Este, y que seamos 20 en la empresa y 18 quieran venir. Ese tipo de cosas. Justo mi sueño cuando entré a facultad era irme a Facebook. Y ahora me estaban llamando, ni siquiera para ser junior, sino manager, uno de los pocos en ese área en todo el mundo, y les dije que no. Es muy loco, las vueltas de la vida, no tenés ni idea dónde vas a estar en 5 años ni qué puede pasar. No estoy reacio a trabajar en otra empresa, pero a esta edad es el momento para intentar, no tengo nada para perder, solo para ganar. 

¿Cuál es el objetivo de Strike?

Cuando volví de Oxford me pregunté por qué gastamos decenas de miles de dólares en las empresas que estamos liderando y ayudando de afuera, si yo hackeaba con una notebook de 100 dólares desde mi cuarto en Montevideo, a los 8 años. No tenía ningún sentido. Pensé en cómo nivelar, bajar las barreras de entrada para que la ciberseguridad defensiva sea tan accesible como la ofensiva. Es una de las razones por las que me fui de lleno a Strike. Es cómo podemos lograr que más y más empresas puedan acceder a ciberseguridad de alta calidad. Hoy estamos más expuestos, cada vez hay más ataques y, en promedio, un penetration test, romper todo y encontrar vulnerabilidades, vale 35.000 dólares. Una empresa que recién está saliendo no tiene esa plata para gastar por año, y eso es lo mínimo. Con Strike puede pagar eso mismo y tener seguridad todo el año de tremenda calidad, 10 veces más accesible. 

¿Cuándo se dio cuenta de que esta vez lo que había creado iba a ser grande?

Tuve otras ideas, otras startups. Nadie regala dinero, ni el tremendo talento se va de otras empresas para sumarse. Y en Strike sin querer levantar inversión tenía un montón de gente que quería invertir. Mucho interés a nivel de producto por las empresas para usarlo. Y talento de gente que tenía ofertas para trabajar en unicornios como Mercado Libre o dLocal, que se querían sumar. Talento impresionante se quiere sumar, mucha gente quiere invertir, y hay empresas que dicen: quiero usar esto. Decís: acá hay algo, esto es en serio.  

INVERSIONES MILLONARIAS Y GANAS DE COMERSE EL MUNDO

Captó una inversión de más de 5 millones de dólares. ¿Cómo fue?

En marzo de 2021 estaba dando conferencias con gente de Twitter, Amazon, pensaba: todo muy lindo pero no llegué hasta acá solo, mucha gente me ayudó. No creo mucho en eso del self made, en mi caso seguro que no, no te hiciste solo, mucha gente confió en vos cuando eras nadie y te ayudó. Estaba pensando en que Ruben Sosenke de PedidosYa me dio la mano cuando recién arrancaba. Entra mi padre al cuarto, le digo lo que estaba pensando, y me dice: “¿Por qué no le mandás un mensaje?”. Le mando por Instagram un mensaje para agradecerle e invitarlo a almorzar o cenar. Él sabía que yo no estaba buscando inversión, me dijo que igual estaba para invertir. Fue la primera persona a la que dejé invertir porque me ayudó mucho. Una semana después me junté con Ari Burschtin y después con Sergio Fogel, de dLocal. Me decían: “Tenés 20 personas que quieren invertir y aunque tenés claro a dónde querés llegar y los pasos para lograrlo, estás diciendo que no querés capital de otros, que lo que van a hacer es que lo logres más rápido”. Después de esas semanas de gente diciéndome eso me senté a pensar un poco. Y dije: “Capaz tienen razón”.

¿Por qué estaba negado a que invirtieran?

Estaba muy feliz haciéndolo crecer a nivel orgánico. Generábamos lucros, pagaba sueldos, desarrollo, etcétera. No tenía necesidad de levantar capital, porque también levantar capital te pone otras presiones. Lo veía supersano. Esa era la razón. Pero tenía como 20 personas que querían invertir. Ahí pensé y dije: esta gente (Sergio Fogel y Ariel Burschtin) levantó dos de las empresas más grandes de la región, algo saben, capaz está bueno darles bola. Ahí decidí que iba a levantar una presemilla que levantamos en julio, 300.000 más 70.000 de la ANII. Y fue topeado, querían poner 500.000. Eso recién lo terminamos de gastar hace 20 días, cuando pagué los sueldos. Hoy lunes me llegaron tres fondos pidiendo juntarse para invertir. Está bueno que tengan interés para la siguiente ronda, lo mejor es aliarse con los mejores para el estado que estás y lo que estás haciendo. Tengo una planilla con 40, 50 fondos interesados en invertir y cuando vaya a levantar capital les aviso. Entonces es mucho más rápido el proceso, tenés un montón que saben lo que estás haciendo y dicen: quiero entrar. Cuando arrancamos a levantar, queríamos levantar 2 millones. Ampliamos a 2,5 y después fue imposible levantar menos de 5. Estábamos por 18 millones. En vez de tratar de levantar más, fue tratar de levantar menos. De todos los fondos fuimos a ver quién invertía menos, para no levantar tanto. 

¿Qué tanto planean crecer?

Nuestro norte más cercano es 100 empresas, y en 3 años y medio estar asegurando unas 3.000 o 3.500 empresas por mes. 

Ese es el norte a nivel de cómo vamos. Y a nivel de foco hacia afuera, de desarrollo de negocio, es en Latinoamérica, pero en realidad tenemos más inbound afuera, en Silicon Valley, Europa, y empresas enormes. En estos días nos agendó una con 17.000 empleados; y a esas empresas no las estamos yendo a buscar, buscamos solo de Latinoamérica. Después pensamos crecer en Europa, Estados Unidos, Asia, Singapur.

¿Cómo se siente con 25 años ser jefe de un equipo de diferentes generaciones, e incluso gente mucho más grande que usted?

En Strike la edad promedio es bastante baja. Uno tiene 44, ahora entró una de 35, otro 32, una de 30, 29. La mediana es 25 y el promedio 24,7. De 19, 22, 25 hay varios. Es un ambiente muy muy joven. César, que tiene 44, lidera Research, se nota que es distinto pero es una onda muy juvenil. No sé si se siente en ese sentido. Todos somos distintos. La idea es trabajar con gente que tiene ganas. Somos bastante pesados con los valores, el fit cultural, gente que tire para adelante y después los skills técnicos. Podés ser un crack a nivel técnico pero si no matcheás con esa chispa, falta algo. La gente que está tiene esas ganas de comerse el mundo.