Cuando se trata del mundo de la ciberseguridad, la identidad a menudo se considera un "perímetro" alrededor de una organización. Muchas brechas comienzan a través de técnicas como robo de contraseñas, phishing y relleno de credenciales; por lo tanto, asegurar las identidades no solo de los usuarios, sino también de las aplicaciones y máquinas, es la clave para asegurar todo el sistema.
Más fácil decirlo que hacerlo, como demostró recientemente la brecha de seguridad en el Tesoro de los Estados Unidos. Ahora, Clutch Security, una de las nuevas empresas que construyen herramientas centradas en el espacio de la identidad no humana (máquina), anuncia una financiación de $20 millones, subrayando la demanda en el mercado para abordar el problema.
SignalFire está liderando esta ronda con la participación también de Lightspeed Venture Partners y Merlin Ventures, inversores existentes que invirtieron en su ronda de financiación inicial de $8.5 millones. Clutch dijo que utilizaría la financiación para I+D, desarrollo de productos y para expandir su desarrollo empresarial.
Clutch cuenta actualmente con integraciones con cerca de 60 servicios de infraestructura, aplicaciones y proveedores de identidad más populares entre las empresas. Asegura una variedad de datos que estas utilizan para interactuar entre sí, incluidas claves API, cuentas de servicio, "secretos", tokens y otras credenciales. La plataforma de Clutch ofrece servicios como visibilidad de la red, gestión de la postura y el riesgo, gestión del ciclo de vida, a través de un enfoque de confianza cero. Hay margen para cubrir mucho más: el número promedio de identidades de máquinas en una empresa grande típica ha aumentado en los últimos años, de 320,000 en 2022 a 1 millón en 2024, según una investigación de Venafi (un competidor de Clutch).
El enfoque de Clutch en las brechas perimetrales, por coincidencia, surgió en el momento en que se produjo otra brecha perimetral. La startup de Tel Aviv fue fundada en octubre de 2023, más o menos a la par de que Israel fuera atacado por Hamas y, a su vez, entrara en guerra contra él en Gaza.
El CEO Ofir Har-Chen, quien cofundó Clutch con Sagi Haas y Tal Kimhi (en la imagen de arriba; Har-Chen está muy a la izquierda), dijo que construir una empresa en ese momento fue una bendición y una maldición. Por un lado, la gente estaba muy distraída y angustiada por los eventos que se estaban desarrollando, y muchos simplemente no estaban disponibles para trabajar, ya que estaban asumiendo posiciones de apoyo a la situación en cuestión, muchos uniéndose a las fuerzas armadas. Por otro lado, para aquellos que estaban trabajando, definitivamente les enfocó la mente.
Dijo que la empresa tuvo dificultades para contratar a alguien al principio, contratando a sus primeros empleados finalmente en febrero. Pero luego, construyó su primer producto mínimo viable en solo tres meses. "Diría que probablemente tenemos uno de los mejores equipos de ingeniería en Israel, porque todos son veteranos en el espacio", dijo. Har-Chen es uno de esos veteranos: ha pasado 20 años trabajando en una variedad de roles técnicos y ejecutivos de ciberseguridad, tanto dentro del gobierno israelí como en empresas privadas. (Mientras tanto, Haas y Kimhi son exalumnos de Axonius, otra empresa cibernética).
El problema que Clutch decidió perseguir, por otro lado, es "tan antiguo como el tiempo", continuó Har-Chen. Las cuentas de servicio en Active Directory de Windows han sido ejemplos de dónde los hackers malintencionados pueden explotar las identidades de máquinas, y han estado en funcionamiento desde 1994, dijo. "Aquí no hay nada nuevo". Pero la llegada de la computación en la nube y la explosión del software como servicio como la principal forma en que se utilizan las aplicaciones, añadió, "ha exacerbado el problema".
A esto se suma la entrada de la inteligencia artificial, y específicamente de los agentes de IA, que se han convertido en el nuevo objetivo de los hackers malintencionados.
"Creo que estamos viendo el péndulo pasar de ser el ser humano el eslabón más débil, al no humano, o la máquina", dijo. "Los agentes de IA ahora se están adoptando rápidamente en la empresa, reemplazando tareas manuales realizadas por humanos". Dijo que cree que habrá una mayor afluencia ahora de ataques dirigidos a comprometer a estos agentes, "solo una proliferación de ataques".
Clutch está lejos de ser la primera empresa en identificar los problemas aquí. El mercado abarrotado incluye empresas como Semperis, que el año pasado recaudó a una valoración de $1 mil millones para centrarse solo en ese problema heredado de Active Directory; Astrix Security, que recaudó $45 millones el pasado diciembre; Oasis, una bulliciosa startup israelí que recaudó $40 millones hace un año; CyberArk, que adquirió la firma de seguridad de máquina a máquina Venafi por más de $1.5 mil millones el año pasado; Silverfort, que está tomando un enfoque holístico de la identidad; y Token Security, que también recaudó $20 millones hace unos días.
La rapidez con la que Clutch está construyendo es una de las razones por las que los inversores están especialmente interesados en esta startup sobre (o junto a) todas las demás. "Lo que Clutch ha logrado en tan poco tiempo es notable: no solo están construyendo una plataforma innovadora, están remodelando toda la industria", dijo Guru Chahal, socio de Lightspeed Venture Partners, en un comunicado. "Su trabajo ya está impulsando la ciberseguridad de manera significativa, y a medida que las empresas comienzan a adoptar la IA agente, creo que Clutch será transformador".
