Hoy conversamos con Santiago Rosenblatt, CEO y fundador de Strike, una plataforma que está revolucionando el pentesting y cambiando la manera en que las empresas detectan y solucionan vulnerabilidades. Desde los seis años, Santiago mostró una curiosidad natural por el hacking, descubriendo vulnerabilidades en videojuegos y plataformas online. Especialmente cuando tenía catorce, un descubrimiento lo hizo reflexionar profundamente: un error en un marketplace le permitió adquirir dispositivos electrónicos pagando solo el costo de envío. Este momento fue un punto de inflexión que lo llevó a un camino ético en la ciberseguridad, con el propósito de proteger y no explotar.
Su transición al ámbito de la seguridad cibernética profesional lo llevó a trabajar para grandes empresas de todo el mundo, particularmente en Europa, Latinoamérica, y finalmente a ser el primer especialista en ciberseguridad en PedidosYa, la plataforma de delivery más grande de Sudamérica. En este rol, Santiago fue clave para construir una cultura de ciberseguridad desde cero, protegiendo la información de 30 millones de usuarios en 15 países. Con esta experiencia y visión, hoy lidera Strike, una plataforma que está revolucionando el pentesting (test de penetración que valora los posibles fallos de seguridad informática que puede tener un sistema y qué alcance tienen dichos fallos) para que las empresas puedan detectar y solucionar vulnerabilidades de forma más eficiente y rápida.
¿Cómo surgió la idea de crear Strike y qué problemas específicos en el ámbito de la ciberseguridad buscaban resolver?
Al regresar a Uruguay en plena pandemia y tras recibir ofertas de Amazon y Facebook, detecté un problema clave en las empresas de Silicon Valley, Europa y América Latina: invertían en ciberseguridad ofensiva, pero sin lograr la protección esperada. La velocidad de los ciberataques superaba los tiempos de respuesta de las empresas, ya que los cibercriminales estaban explotando las vulnerabilidades mucho antes de que las empresas siquiera supieran que las tenían.
Esto me llevó a validar una mejor solución. Entre 2020 y 2021, me reuní semanalmente con CISOs y CTOs para entender sus desafíos. Confirmé que el pentesting tradicional era caro, lento y poco eficiente: un análisis podía costar 30 mil dólares y tardar hasta tres meses en reportar vulnerabilidades, dejándolas expuestas. Strike nació para cambiar esto, acelerando la detección de vulnerabilidades, haciéndola contínua, brindando resultados más rápidos y con una comunicación clara en tiempo real.
¿Por qué es crucial la ciberseguridad en la actualidad y cuál es el estado del sector en Latinoamérica? ¿Qué desafíos y oportunidades observas en la región?
La pandemia impulsó la digitalización de muchas empresas, exponiéndolas a riesgos de ciberseguridad que no siempre estaban preparadas para manejar. Hoy en día, cualquier empresa, grande o pequeña, puede ser objetivo de ciberataques– el 60% de las SMBs en USA tuvieron incidentes durante el último año– y los incidentes de seguridad han crecido hasta en un 600% desde la pandemia. Esto demuestra que la ciberseguridad ya no es exclusiva de grandes corporaciones; cualquier negocio que opere online debe asegurar sus sistemas para proteger su continuidad y dar confianza del usuario.
En sectores regulados como finanzas y salud, los requisitos de seguridad son aún más estrictos y necesitan auditorías constantes, como PCI en finanzas e HIPAA en salud, además de certificaciones como SOC 2 o ISO 27001 en los mercados de EE. UU. y Europa.
Por otro lado, las compañías que manejan datos sensibles o que innovan constantemente con nuevas funciones y productos también necesitan protegerse para evitar que su información sea vulnerada. Un incidente de ciberseguridad puede acarrear no solo sanciones legales sino también la pérdida de la confianza de los usuarios, que migrarán a plataformas más seguras. En Latinoamérica, aunque el sector de ciberseguridad está creciendo, aún enfrenta desafíos de falta de concientización y escasez de talento. Sin embargo, esto abre una gran oportunidad para que soluciones como Strike eleven los estándares de seguridad y apoyen a las empresas a reducir sus vulnerabilidades.
¿Cuál es el tamaño del mercado de ciberseguridad y quiénes son sus clientes ideales?
Estimamos un mercado de $25 mil millones de dólares, que podría cuadruplicarse hacia el final de la década, alcanzando los $94 mil millones. Aunque Strike es agnóstico en industria y tamaño de empresa, nos enfocamos en compañías altamente reguladas —tecnología, finanzas y salud— con entre 500 y 5 mil empleados. En Estados Unidos, por ejemplo, hay al menos 132,000 empresas que podrían beneficiarse de nuestra solución, y esto es únicamente en nuestro “sweet spot”. Sin embargo, también trabajamos con compañías fuera de este perfil, como Telefónica y Johnstone Supply, que han obtenido excelentes resultados con nuestra solución.
Entre nuestros clientes se encuentran empresas como Mercado Libre, Delivery Hero y OLX en tecnología; Banco Santander, Clip y AstroPay en finanzas; y Planned Parenthood y Thirty Madison en el sector salud. Aproximadamente el 70% de nuestros clientes provienen del ámbito financiero. Dentro de estas organizaciones, los principales usuarios de nuestra plataforma son los Head of Application Security, Offensive Security Leads, Principal/Senior Security Engineers y CISOs, quienes lideran los equipos de seguridad. Con Strike, aceleramos el pentesting, reduciendo de semanas a segundos el tiempo para detectar vulnerabilidades, con tres veces más hallazgos críticos, ofreciendo así una solución robusta y efectiva a una fracción del costo tradicional.
¿Cómo funciona la plataforma de Strike y en qué se diferencia del pentesting tradicional?
Nuestra plataforma de pentesting es completamente self-service, lo que permite a las empresas registrarse y, en promedio, estar listas para lanzar un pentest en unas 8 horas; en algunos casos, solamente toma 2 horas. La configuración es muy flexible: eligen el tipo de pentest (caja blanca, gris o negra; para web, móvil, infraestructura, etc.) y pueden incluir detalles adicionales, como credenciales o diagramas de flujo. Una vez listo, con un solo clic, el pentest inicia y, en menos de 5 horas, nuestros “Strikers” —hackers éticos alrededor del mundo— comienzan a reportar vulnerabilidades.
La plataforma permite gestionar varios pentests simultáneamente y monitorear vulnerabilidades, con opciones para compararse con promedios de la industria en tiempo de resolución. Además, puede centralizar vulnerabilidades provistas de otras fuentes, como por los propios equipos internos o herramientas externas, y ofrece reportes personalizados en PDF aptos para el cumplimiento normativo. Esto convierte el pentesting en un proceso continuo, preciso y rápido, eliminando las demoras y costos elevados del método tradicional.
Para empresas de entre 1 y 100 empleados, ofrecemos un producto automatizado de Scans, diseñado para proveer escaneo de vulnerabilidades en entornos web, API y cloud. Este producto es ideal para aquellas empresas que buscan un seguimiento continuo y cumplir con normativas de compliance, como SOC 2, ISO 21001 o HIPAA, con una cobertura automatizada pero efectiva. Los Automated Scans se ejecutan de manera constante y generan los reportes necesarios para auditorías de compliance en solo 24 horas, brindando una solución rápida y confiable para mantener la seguridad de nuestros clientes al día.
Tienen una garantía de devolución del 50% si no encuentran vulnerabilidades en un tiempo determinado, ¿cierto?
Así es, nuestra promesa es clara: si en los primeros tres meses no encontramos vulnerabilidades medias, altas o críticas, devolvemos el 50% del costo. Sin embargo, nunca hemos tenido que cumplir con esa devolución. Siempre hemos encontrado vulnerabilidades significativas, especialmente críticas, en el 98% de las empresas con las que trabajamos, desde el sector financiero hasta compañías de ciberseguridad. Esto subraya la efectividad de nuestro enfoque.
Además, ofrecemos pruebas de concepto para algunos clientes estratégicos con un alcance específico. Los resultados han sido sobresalientes: aproximadamente el 90% de las empresas que prueban nuestra plataforma terminan convirtiéndose en clientes, lo que habla del impacto y la confianza que generamos en cada colaboración.
Strike trabaja con algunos de los mejores hackers éticos del mundo. ¿Cómo reclutan y validan a estos Strikers y qué criterios consideran fundamentales para garantizar la calidad del servicio?
En Strike, colaboramos con algunos de los mejores hackers éticos del mundo, y nuestro proceso de selección es exhaustivo. Comenzamos verificando que los candidatos hayan sido reconocidos en el Hall of Fame de empresas Fortune 500 y cuenten con certificaciones avanzadas como OSCP y OSCE. También consultamos nuestra red de contactos en la industria y realizamos una prueba práctica de habilidades en ciberseguridad. Tras aprobar este proceso, completan una verificación de antecedentes y firman un NDA para unirse oficialmente al equipo.
Para garantizar la calidad de la solución, utilizamos un sistema de monitoreo basado en datos que evalúa métricas clave, como la rapidez y precisión en la identificación de vulnerabilidades. Esto nos permite ajustar y optimizar la asignación de cada Striker a proyectos específicos, asegurando que nuestro producto mantenga un alto estándar de efectividad y seguridad.
¿Cuál es tu rol principal como CEO y en qué áreas estratégicas te enfocas?
Como CEO, mis principales responsabilidades son asegurar que la visión de la empresa esté clara para todos, tanto en el mediano como en el largo plazo, y que todos en el equipo comprendan hacia dónde vamos. Además, gestiono la disponibilidad de efectivo, ya sea a través de ventas o levantamiento de capital, para garantizar que haya recursos en el banco para continuar avanzando. Otro pilar esencial es el equipo: sin un equipo comprometido y talentoso, no se puede desarrollar el producto ni llevar adelante la visión de la empresa.
A nivel personal, también me esfuerzo por mostrar la importancia de equilibrar el trabajo con tiempo para otras actividades significativas. Aunque el trabajo demanda mucho, creo firmemente en la necesidad de reservar tiempo para actividades personales, hobbies, o pasar tiempo con amigos y familia, algo que siempre hago, principalmente entre las 6am y las 9am. Este equilibrio es fundamental para rendir al máximo y mantener el enfoque.
Qué viene para Strike en los próximos 12 meses?
En los próximos 12 meses, en Strike continuaremos evolucionando y expandiéndonos. Actualmente, estamos en pleno fundraising y colaborando con el MIT para automatizar el proceso completo de pentesting. Este año nos enfocaremos en automatizar la detección y verificación de vulnerabilidades, permitiendo que los clientes confirmen automáticamente si las soluciones implementadas funcionan, en cuestión de segundos y sin intervención humana. Además, estamos integrando nuestro sistema en los flujos de CI/CD, de modo que cualquier cambio en un repositorio active automáticamente un pentest.
A nivel de expansión, seguimos creyendo en LATAM pero estamos apostando por Estados Unidos como mercado clave durante el 2025, consolidando nuestro equipo en Nueva York. Los próximos 12 meses serán decisivos para afianzar tanto nuestra presencia en el mercado estadounidense, seguir creciendo en LATAM y seguir innovando constantemente nuestro producto.
This post is also available in: English (Inglés)
