¿La gota que colmó el vaso? Adquisición de la editorial británica Darktrace El pasado mes de abril, Thoma Bravo adquirió 5.300 millones de dólares, lo que ha llevado a Cesin (Club de expertos en seguridad informática y digital) a preocuparse por el control del fondo estadounidense sobre los actores clave en materia de ciberseguridad, y a interrogar a sus miembros sobre el tema el pasado mes de mayo. El resultado: el 75% de los encuestados se declaran efectivamente preocupados por la concentración de soluciones de ciberseguridad en manos de Thoma Bravo.

Porque la adquisición de Darktrace (detección de amenazas) se suma a las de Barracuda y Veracode (en 2018), Imperva (2019), Sophos (2020), Proofpoint (2021), SailPoint, Ping Identity y ForgeRock (las tres en 2022) y Magnet Forensics (en 2023). Se trata de unos 40.000 millones de dólares invertidos en los últimos seis años. Un peso significativo si comparamos esta inversión con los activos bajo gestión de los que dispone el fondo de Chicago, que ascienden a 130.000 millones de dólares en 2023.

"Un rompecabezas en el que no faltan muchas piezas"

Por supuesto, parte de la estrategia del fondo consiste en revender las empresas que compra para generar una plusvalía rápida. Es lo que hizo Thoma Bravo con Imperva, por ejemplo, que vendió a Thales hace un año, menos de cinco años después de su adquisición, generando una plusvalía de 1.500 millones de dólares. Pero Thomas Bravo no oculta que está desplegando otra estrategia destinada a consolidar un sector de actividad. "Estas adquisiciones múltiples dan la impresión de un puzle en el que no faltan muchas piezas, aparte de un EDR", subraya Alain Bouillé, delegado general de Cesin. De ahí la primera preocupación de la asociación, que se refiere a los precios y a la evolución de las tecnologías.

"Las adquisiciones de fondos siempre van en detrimento de los clientes", explica Alain Bouillé, delegado general de Cesin. "Ya sea por la factura que deben pagar, o por la reducción de la innovación". Según este último, los miembros de la asociación RSSI ya han constatado un estancamiento de la innovación en algunas de las tecnologías adquiridas. Y, para Alain Bouillé, estas estrategias son difíciles de eludir para los RSSI que apuestan por las tecnologías de ciberseguridad durante varios años. "Teniendo en cuenta la dificultad de un proyecto IAM, por ejemplo, nos comprometemos con una solución de este tipo durante unos diez años", ilustra.

Herramientas más intrusivas que las de Gafam

La otra preocupación de Cesin es la criticidad de los datos que recopilan las empresas de ciberseguridad, especialmente con tecnologías cada vez más basadas en la lógica de la nube. "Estas herramientas son muy intrusivas, más que las de Gafam en general o Microsoft 365 en particular", subraya Alain Bouillé. Aunque los diferentes editores de la cartera de Thoma Bravo operan de forma independiente, verlos agrupados bajo un mismo paraguas representa un riesgo. Sobre todo a la luz de las prácticas de los servicios de inteligencia estadounidenses, acostumbrados a investigar los datos de empresas extranjeras.