“
(Bloomberg) — El otoño pasado, George Kurtz, el director ejecutivo de CrowdStrike Holdings, Inc., dio a los inversores una actualización financiera trimestral que hizo que las acciones se dispararan. Entre los detalles que destacó Kurtz estaba un importante acuerdo para vender herramientas de ciberseguridad para su uso por el gobierno de los Estados Unidos. “Las victorias en protección de identidad en el trimestre incluyeron una ganancia de valor total de ocho cifras en el gobierno federal,” dijo Kurtz en la conferencia de ganancias luego del cierre de los mercados el 28 de noviembre de 2023. Kurtz se refería a un pedido de $32 millones de Carahsoft Technology Corp., que sirve como intermediario entre empresas de tecnología y agencias gubernamentales, que llegó el último día del tercer trimestre fiscal de CrowdStrike. Era para software de protección de amenazas a la identidad destinado al Servicio de Impuestos Internos de los EE. UU., según documentos de ambas empresas.
Sin embargo, el IRS nunca compró el software, según registros revisados por Bloomberg News y personas con conocimiento de la situación.
Aún así, Carahsoft ha estado realizando pagos a tiempo de los $32 millones a CrowdStrike, según la empresa de ciberseguridad. Cuando se le solicitó un comentario por parte de Bloomberg News, ambas compañías explicaron que tenían un “pedido no cancelable” entre ellas. Se negaron a decir por qué se cerró ese acuerdo sin una compra por parte del IRS. Las acciones de CrowdStrike cayeron hasta un 2.7% después de que Bloomberg News reportara sobre el acuerdo.
Algunos expertos legales y contables, que revisaron el acuerdo a pedido de Bloomberg, dijeron que plantea banderas rojas que merecen escrutinio por parte de los reguladores. El acuerdo también generó preocupaciones dentro de CrowdStrike, según personas familiarizadas con la situación y la empresa misma, y muchos detalles específicos de la transacción siguen sin estar claros.
Dependiendo de cómo CrowdStrike contabilizó el acuerdo en los estados financieros —la compañía no explicó esos detalles—, fue lo suficientemente grande como para haber marcado la diferencia entre la empresa superar o no las proyecciones de Wall Street para el período. El día después de que CrowdStrike informara los resultados para el trimestre récord, sus acciones subieron un 10%.
Jeremy Fielding, un portavoz que representa a CrowdStrike, rechazó las preocupaciones de los empleados como infundadas y el momento del pedido como insignificante. La empresa de ciberseguridad con sede en Austin, Texas, cierra acuerdos “a lo largo del trimestre, comenzando el primer día y a menudo hasta el último día,” dijo.
“El acuerdo de Carahsoft pasó por una revisión separada y extensa,” dijo, agregando que “fue aprobado sin problemas.” Fielding caracterizó los comentarios de los expertos como “especulaciones inexactas sobre una transacción que CrowdStrike confirmó cumplió completamente” con un estándar contable sobre ingresos procedentes de contratos. CrowdStrike “cerró y reconoció” el acuerdo una vez que Carahsoft realizó el pedido, y su registro de ingresos es consistente con los principios contables estándar, según Thomas Clare y Elizabeth Locke, abogados que representan a la empresa de ciberseguridad.
Una representante de Carahsoft, Mary Lange, dijo en un correo electrónico: “Carahsoft es una empresa privada y no revelamos información financiera o detalles de clientes. Dicho esto, realizamos un pedido válido y no cancelable con CrowdStrike y mantenemos esa transacción.” La empresa se negó a responder otras preguntas.
El IRS no respondió a preguntas detalladas. La agencia tributaria dijo en un comunicado que no tiene contratos con CrowdStrike directamente y, de acuerdo con las reglas federales de adquisiciones, adquiere sus software y servicios a través de terceros vendedores.
No hay contratos o pagos del IRS que coincidan con el acuerdo en la base de datos pública de gastos gubernamentales USASPENDING.gov. La base de datos excluye cierta información —por ejemplo, material que podría comprometer la seguridad nacional. Pero las compras de productos de CrowdStrike por parte del IRS a través de vendedores totalizan menos de $10 millones, según una persona familiarizada con el asunto. Esta historia se basa en registros de la transacción y entrevistas con cinco personas familiarizadas con el asunto, quienes solicitaron que no se publicara sus nombres porque no están autorizados para discutirlo.
“Es motivo de sospecha,” dijo Lawrence Cunningham, director del Centro de Gobierno Corporativo John L. Weinberg de la Universidad de Delaware.
“Aparentemente, es un riesgo no compensado, y las empresas racionales generalmente no aceptan riesgos no compensados,” dijo Cunningham, refiriéndose a los pagos de Carahsoft a CrowdStrike.
Carahsoft se negó a responder preguntas sobre si estaba incurriendo en pérdidas en el acuerdo o si encontró una manera de recuperar el dinero.
En los últimos meses, problemas separados en CrowdStrike y Carahsoft han atraído atención negativa y escrutinio gubernamental.
CrowdStrike, con ingresos anuales de más de $3 mil millones, vende software de seguridad a miles de empresas y agencias gubernamentales a nivel mundial. Pero en julio, una actualización defectuosa de la empresa dejó inoperables millones de computadoras con Windows en todo el mundo, interrumpiendo los viajes aéreos, la atención médica, los bancos y otras empresas. Los ejecutivos se han disculpado repetidamente, incluso ante miembros del Congreso; el precio de las acciones de la empresa cayó después del apagón y aún no ha se ha recuperado por completo.
Carahsoft es un jugador dominante entre los revendedores y distribuidores que ayudan a las empresas de tecnología a navegar las complejidades de vender a agencias gubernamentales. En septiembre, agentes del FBI y del Departamento de Defensa de EE. UU. registraron la sede de la empresa en Reston, Virginia. Lange, la portavoz de Carahsoft, dijo anteriormente que la empresa estaba cooperando con la investigación del FBI y que involucraba “una investigación sobre una empresa con la que Carahsoft había hecho negocios en el pasado.” El Departamento de Justicia también está llevando a cabo una investigación civil sobre Carahsoft y el gigante del software SAP SE por posibles prácticas anticompetitivas en contratos gubernamentales. La empresa alemana está cooperando con la investigación civil, según un portavoz. El director financiero de SAP, Dominik Asam, le dijo a Bloomberg News que SAP había “recibido una garantía por escrito de Carahsoft” de que la búsqueda del FBI “no tenía ninguna relación” con SAP y una filial de EE. UU.
No hay un vínculo conocido entre CrowdStrike y ni la investigación civil ni la búsqueda en la oficina de Carahsoft. Fielding, el representante de CrowdStrike, dijo que ninguna de las investigaciones está relacionada con la empresa de ciberseguridad. Un posible acuerdo para el IRS data de principios de 2023, cuando los representantes de ventas de CrowdStrike comenzaron a hablar con funcionarios de la agencia sobre la compra de una herramienta de verificación de identidad para ayudar a prevenir el fraude en un nuevo programa que permite a las personas presentar sus impuestos directamente con el gobierno, según tres personas familiarizadas con el asunto.
El trabajo continuó en un posible acuerdo en los meses siguientes, pero hacia mediados de octubre al menos algunos empleados de CrowdStrike se dieron cuenta de que el IRS no ordenaría el software antes de que la empresa cerrara el trimestre a fin de mes, dijeron las personas.
Sin embargo, en Halloween, Carahsoft ordenó un acceso por suscripción a la “Protección de Amenazas de Identidad Nacional del Gobierno” de CrowdStrike por un valor de $32.25 millones para hasta 40 millones de usuarios, según registros y dos de las personas. El pedido dividió la compra en cuatro pagos de $8 millones, con el último pago vencido a finales de este octubre. El pedido indica que Carahsoft debería ser facturado por el software de CrowdStrike y que debería enviarse a la sede de Washington del IRS.
Ese día, CrowdStrike envió un correo electrónico automatizado a docenas de empleados, diciendo, “La oportunidad ha sido Cerrada Ganada para el Servicio de Impuestos Internos (IRS).”
El cierre del acuerdo y la referencia de Kurtz en la llamada de ganancias alarmaron a algunos empleados que plantearon preocupaciones internas de que CrowdStrike estaba “pre-reservando” una transacción que consideraban incompleta porque no estaba claro si el IRS alguna vez realizaría la gran compra, según tres de las personas. Los reguladores de EE. UU. en algunos casos han demandado y multado a empresas por supuesta pre-reserva, también conocida como canalización de inventarios, alegando que engañaron a los inversores al reconocer ingresos de manera inadecuada para inflar sus cifras financieras.
Fielding dijo que era “demostrablemente falso” que hubiera alguna pre-reserva.
Ese trimestre, $32 millones fueron suficientes para marcar la diferencia entre que CrowdStrike superara o no las expectativas de los analistas en dos métricas financieras clave —ingresos recurrentes anuales y nuevos ingresos recurrentes anuales netos— o quedara por debajo de ellas. CrowdStrike destacó ambas métricas en el anuncio de ganancias para el trimestre, pero la empresa se negó a responder preguntas sobre si el acuerdo fue registrado bajo ellas.
Los ingresos recurrentes anuales son ampliamente utilizados por las empresas de software para rastrear los ingresos de las suscripciones. CrowdStrike ha enfatizado constantemente esto con los inversores, escribiendo en un documento regulatorio de 2019 que “es una métrica clave para medir nuestro negocio.”
Theresa Gabaldon, profesora de la Facultad de Derecho de la Universidad George Washington, dijo que para que CrowdStrike pueda contabilizar adecuadamente el acuerdo como ingreso, necesitaría no solo haber recibido el pago sino también haber entregado el producto. Ni CrowdStrike ni Carahsoft respondieron preguntas sobre qué sucedió con el software por suscripción.
“Yo lo califico como algo preocupante,” dijo Gabaldon, quien enseña regulación de valores, derecho y contabilidad.
Sea lo que sea que haya sucedido, Carahsoft fue una de las empresas que CrowdStrike celebró en un “simposio de socios” en junio. Allí, Kurtz y otros empleados de CrowdStrike se mezclaron con invitados en un lujoso resort en la costa sur de California. Un video muestra a los asistentes disfrutando de bebidas y música en vivo de cuerdas en un acantilado con vistas al Océano Pacífico y recibiendo lecciones de preparación de sushi de un chef famoso.
En el evento, CrowdStrike nombró a Carahsoft “Distribuidor del Año.”
–Con la asistencia de Charles Gorrivan.
(Actualiza con la caída de las acciones de CrowdStrike en el sexto párrafo.)
Lo más leído de Bloomberg Businessweek
©2024 Bloomberg L.P.
“