Twenty: la startup de ciberarmas ofensivas que se convirtió en unicornio

¿Qué ha ocurrido?

Twenty, una startup estadounidense que desarrolla ciberarmas ofensivas, ha cerrado una ronda Serie B de 100 millones de dólares liderada por Accel, con participación de Point72 Ventures, Caffeinated Capital y Friends & Family Capital. La valoración resultante alcanza los 1.000 millones de dólares, convirtiéndola en el primer unicornio dedicado exclusivamente a ciberataques comerciales. La noticia fue reportada inicialmente por Axios y confirmada por The Next Web. Fundada en 2021 por veteranos de la comunidad de inteligencia y ciberseguridad, Twenty opera desde oficinas no reveladas en EE.UU. y cuenta con un equipo de aproximadamente 150 empleados. La empresa se describe a sí misma como 'la primera firma de guerra cibernética respaldada por capital de riesgo en Estados Unidos'. Su producto estrella, denominado 'Talon', es una plataforma modular que permite realizar operaciones ofensivas como penetración de redes, exfiltración de datos y ataques de denegación de servicio dirigidos. Según Axios, Twenty ya cuenta con contratos con varias agencias gubernamentales estadounidenses y aliados de la OTAN, aunque los detalles específicos no se han hecho públicos por razones de seguridad nacional.

¿Por qué es importante?

Históricamente, las startups de ciberseguridad se han centrado en la defensa: firewalls, antivirus, detección de intrusiones. Twenty representa un cambio de paradigma al vender 'la espada' en lugar del 'escudo'. Esto refleja una creciente demanda de capacidades ofensivas por parte de gobiernos y grandes corporaciones para realizar operaciones de hackeo proactivo, inteligencia competitiva y guerra cibernética. La valoración de unicornio indica que los inversores ven un mercado en expansión, a pesar de los riesgos legales y éticos. Para ponerlo en contexto, el mercado global de ciberseguridad ofensiva (incluyendo pruebas de penetración, equipos rojos y herramientas de ataque) se estima en unos 15.000 millones de dólares en 2025, con una tasa de crecimiento anual compuesta del 12% según datos de MarketsandMarkets. Sin embargo, la mayoría de ese gasto corresponde a contratistas de defensa tradicionales como Raytheon, Northrop Grumman y Lockheed Martin, que han dominado el suministro de ciberarmas a gobiernos durante décadas. Twenty busca democratizar el acceso, ofreciendo herramientas más ágiles y modulares que pueden ser desplegadas por equipos más pequeños, lo que podría expandir el mercado a clientes que antes no podían permitirse costosos sistemas integrados.

Impacto en el mercado

La entrada de capital de riesgo en ciberarmas ofensivas podría acelerar el desarrollo de herramientas cada vez más sofisticadas, pero también plantea interrogantes sobre la regulación y el control de estas tecnologías. Empresas como NSO Group han enfrentado controversias por el uso de sus productos (como Pegasus) para espiar a periodistas y activistas. Twenty deberá navegar un entorno regulatorio complejo, especialmente en EE.UU., donde las exportaciones de ciberarmas están controladas por el Departamento de Estado bajo el Reglamento de Tráfico Internacional de Armas (ITAR). A diferencia de NSO, que es israelí y opera bajo regulaciones diferentes, Twenty está sujeta a un escrutinio más estricto en EE.UU. Sin embargo, la empresa ha declarado que vende solo a clientes gubernamentales autorizados y que sus herramientas incluyen salvaguardas técnicas para evitar usos no autorizados, como geofencing y registros de auditoría. La inversión de Accel, un fondo conocido por respaldar a empresas como Facebook y Slack, sugiere que el capital de riesgo ve un mercado legítimo y en crecimiento, aunque persisten dudas sobre la ética de invertir en armamento cibernético.

Consecuencias a futuro

Si Twenty logra mantener un perfil ético y cumplir con las leyes de exportación, podría abrir la puerta a más inversiones en este sector. Sin embargo, cualquier escándalo de uso indebido podría provocar una reacción regulatoria que afecte a toda la industria. Un precedente es el caso de NSO Group, que fue incluida en la lista negra del Departamento de Comercio de EE.UU. en 2021, lo que limitó su capacidad para hacer negocios con empresas estadounidenses. Twenty podría enfrentar un destino similar si sus herramientas caen en manos equivocadas. Además, la creciente sofisticación de las ciberarmas comerciales podría desencadenar una carrera armamentista cibernética global, donde los estados y actores no estatales busquen contramedidas cada vez más avanzadas. Por otro lado, Twenty podría impulsar un debate necesario sobre la regulación de las ciberarmas, similar a los tratados de control de armas convencionales. Por ahora, la startup ha declarado que vende solo a clientes gubernamentales autorizados, pero la transparencia será clave para mantener la confianza pública y evitar sanciones.

Lo que los lectores deben saber

• Twenty es la primera startup de ciberguerra respaldada por VC en EE.UU. en alcanzar el estatus de unicornio, con una valoración de 1.000 millones de dólares tras una Serie B de 100 millones.
• La ronda Serie B de 100 millones fue liderada por Accel, un fondo conocido por inversiones en empresas tecnológicas como Facebook y Slack, junto con Point72 Ventures, Caffeinated Capital y Friends & Family Capital.
• El mercado de ciberarmas ofensivas está dominado por contratistas de defensa tradicionales como Raytheon y Northrop Grumman; Twenty busca democratizar el acceso con herramientas modulares y ágiles.
• Existen riesgos legales y éticos significativos; la compañía afirma vender solo a gobiernos y bajo estrictos controles, pero el precedente de NSO Group muestra los peligros de la desregulación.
• La empresa emplea a unas 150 personas, en su mayoría veteranos de inteligencia y ciberseguridad, y su plataforma 'Talon' ya está en uso por agencias estadounidenses y aliados de la OTAN, según Axios.

'Twenty vende la espada en un mundo que solo compraba escudos. Su valoración de unicornio demuestra que el mercado de ciberataques comerciales está listo para despegar, pero el camino está lleno de minas regulatorias y éticas.' — Analista de TheVortiq