CrowdStrike y Carahsoft alcanzan acuerdo para vender software que el IRS no compró.

(Bloomberg) — El otoño pasado, George Kurtz, el director ejecutivo de CrowdStrike Holdings, Inc., dio a los inversores una actualización financiera trimestral que hizo que las acciones se dispararan. Entre los detalles destacados por Kurtz estaba un importante acuerdo para vender herramientas de ciberseguridad para su uso por parte del gobierno de EE. UU. “Las victorias en protección de amenazas de identidad en el trimestre incluyeron una ganancia de valor total de ocho cifras en el gobierno federal”, dijo Kurtz en la llamada de ganancias después de que los mercados cerraran el 28 de noviembre de 2023. Kurtz se refería a un pedido de $32 millones de Carahsoft Technology Corp., que sirve como intermediario entre empresas de tecnología y agencias gubernamentales, que llegó el último día del tercer trimestre fiscal de CrowdStrike. Era para software de protección de amenazas de identidad destinado al Servicio de Impuestos Internos de EE. UU., según documentos de ambas empresas.

Pero el IRS nunca compró el software, según registros revisados por Bloomberg News y personas con conocimiento de la situación.

Sin embargo, Carahsoft ha estado realizando pagos a tiempo de los $32 millones a CrowdStrike, según la empresa de ciberseguridad. Cuando se le preguntó para hacer comentarios a Bloomberg News, ambas empresas explicaron que tenían un “pedido no cancelable” entre ellas. Declinaron decir por qué se cerró ese acuerdo sin una compra por parte del IRS. Las acciones de CrowdStrike cayeron hasta un 2.7% después de que Bloomberg News informara sobre el acuerdo.

Algunos expertos legales y contables, que revisaron el acuerdo a pedido de Bloomberg, dijeron que plantea banderas rojas que merecen escrutinio por parte de los reguladores. El acuerdo también generó preocupaciones dentro de CrowdStrike, según personas familiarizadas con el asunto y la propia empresa, y muchos detalles de la transacción siguen sin estar claros.

Dependiendo de cómo CrowdStrike contabilizó el acuerdo en los estados financieros, lo suficientemente grande como para haber marcado la diferencia entre la empresa superar o no las proyecciones de Wall Street para el período. El día después de que CrowdStrike informó resultados para el trimestre récord, sus acciones subieron un 10%.

Jeremy Fielding, un portavoz que representa a CrowdStrike, desestimó las preocupaciones de los empleados como infundadas y el momento del pedido como insignificante. La empresa de ciberseguridad con sede en Austin, Texas, cierra acuerdos “a lo largo del trimestre, comenzando el primer día y a menudo hasta el último día”, dijo.

“El acuerdo con Carahsoft pasó por una revisión separada y extensa”, dijo, y agregó que “recibió un certificado de salud limpio”. Fielding calificó los comentarios de los expertos como “especulaciones inexactas sobre una transacción que CrowdStrike confirmó que cumplió completamente” con una norma contable sobre ingresos de contratos. CrowdStrike “cerró y reconoció” el acuerdo una vez que Carahsoft realizó el pedido, y su registro de los ingresos es consistente con los principios contables estándar, según Thomas Clare y Elizabeth Locke, abogados que representan a la empresa de ciberseguridad.

LEAR  Los chips de inteligencia artificial de Nvidia son un "gran cuello de botella", pero eso no significa acción regulatoria, dice la UE.

Una representante de Carahsoft, Mary Lange, dijo en un correo electrónico: “Carahsoft es una empresa privada y no divulgamos información financiera o detalles de clientes. Dicho esto, realizamos un pedido válido y no cancelable con CrowdStrike y mantenemos esa transacción”. La empresa declinó responder otras preguntas.

El IRS no respondió a preguntas detalladas. La agencia tributaria dijo en un comunicado que no tiene contratos con CrowdStrike directamente y, de acuerdo con las reglas federales de contratación, adquiere su software y servicios a través de proveedores externos.

No aparecen en la base de datos pública de gastos del gobierno USASPENDING.gov ningún contrato o pagos del IRS que coincidan con el acuerdo. La base de datos excluye cierta información, por ejemplo, material que podría comprometer la seguridad nacional. Pero las compras de productos de CrowdStrike por parte del IRS a través de proveedores ascienden a menos de $10 millones, según una persona familiarizada con el asunto. Esta historia se basa en registros de la transacción y entrevistas con cinco personas familiarizadas con el asunto, quienes solicitaron que no se publiquen sus nombres porque no están autorizadas a discutirlo.

“Es motivo de sospecha”, dijo Lawrence Cunningham, director del Centro de Gobierno Corporativo John L. Weinberg de la Universidad de Delaware.

“Aparentemente, es un riesgo no compensado, y las empresas racionales generalmente no aceptan riesgos no compensados”, dijo Cunningham, refiriéndose a los pagos de Carahsoft a CrowdStrike.

Carahsoft declinó responder preguntas sobre si estaba incurriendo en pérdidas en el acuerdo o si encontró una manera de recuperar el dinero.

En los últimos meses, problemas separados en CrowdStrike y Carahsoft han atraído atención negativa y escrutinio gubernamental.

CrowdStrike, con ingresos anuales de más de $3 mil millones, vende software de seguridad a miles de empresas y agencias gubernamentales en todo el mundo. Pero en julio, una actualización defectuosa de la empresa dejó fuera de servicio millones de computadoras con Windows en todo el mundo, interrumpiendo los viajes aéreos, la atención médica, los bancos y otras empresas. Los ejecutivos se han disculpado repetidamente, incluso ante miembros del Congreso; el precio de las acciones de la empresa se desplomó después del apagón y aún no se ha recuperado por completo.

LEAR  Roblox cae mientras Hindenburg apuesta en contra de la plataforma de juegos.

Carahsoft es un jugador dominante entre los revendedores y distribuidores que ayudan a las empresas de tecnología a navegar por las complejidades de vender a las agencias gubernamentales. En septiembre, agentes del FBI y del Departamento de Defensa de EE. UU. registraron la sede de la empresa en Reston, Virginia. Lange, la portavoz de Carahsoft, dijo anteriormente que la empresa estaba cooperando con la investigación del FBI y que involucraba “una investigación sobre una empresa con la que Carahsoft había hecho negocios en el pasado”. El Departamento de Justicia también está llevando a cabo una investigación civil sobre Carahsoft y el gigante del software SAP SE por posibles prácticas de fijación de precios en contratos gubernamentales. La empresa alemana está cooperando con la investigación civil, dijo un portavoz. El director financiero de SAP, Dominik Asam, dijo a Bloomberg News que SAP había “recibido una garantía por escrito de Carahsoft” de que el registro del FBI “no tenía relación alguna” con SAP y una subsidiaria estadounidense.

No se conoce ningún vínculo entre CrowdStrike y la investigación civil o el registro de la oficina de Carahsoft. Fielding, el representante de CrowdStrike, dijo que ninguna de las investigaciones está relacionada con la empresa de ciberseguridad. Un posible acuerdo para el IRS se remonta a principios de 2023, cuando los representantes de ventas de CrowdStrike comenzaron a hablar con funcionarios de la agencia sobre la compra de una herramienta de verificación de identidad para ayudar a prevenir el fraude en un nuevo programa que permite a las personas presentar sus impuestos directamente al gobierno, según tres personas familiarizadas con el asunto.

El trabajo continuó en un posible acuerdo en los meses siguientes, pero hacia mediados de octubre quedó claro para al menos algunos empleados de CrowdStrike que el IRS no ordenaría el software antes de que cerrara el trimestre de la empresa a finales de mes, dijeron las personas.

Sin embargo, en Halloween, Carahsoft ordenó $32.25 millones en acceso de suscripción al servicio de “Protección de Amenazas de Identidad Nacional del Gobierno” de CrowdStrike para hasta 40 millones de usuarios, según registros y dos de las personas. El pedido dividió la compra en cuatro pagos de $8 millones, con el pago final vencido a finales de octubre de este año. El pedido indica que Carahsoft debería ser facturado por el software de CrowdStrike y que debería ser enviado a la sede del IRS en Washington.

Ese día, CrowdStrike envió un correo electrónico automatizado a docenas de empleados, diciendo: “La oportunidad se cerró con éxito para el Servicio de Impuestos Internos (IRS)”.

LEAR  ¿Por qué es esencial la ciberseguridad para los niños?

El cierre del acuerdo y que Kurtz se refiriera a él en la llamada de ganancias alarmó a algunos empleados que plantearon preocupaciones internas de que CrowdStrike estaba “pre-reservando” una transacción que consideraban incompleta porque no estaba claro si el IRS alguna vez realizaría la gran compra, según tres de las personas. En algunos casos, los reguladores de EE. UU. han demandado y multado a empresas por presunta pre-reservación, también conocida como relleno de canal, alegando que engañaron a los inversores al reconocer ingresos de manera incorrecta para inflar sus cifras financieras.

Fielding dijo que era “claramente falso” que hubiera alguna pre-reservación.

Ese trimestre, $32 millones fueron suficientes para marcar la diferencia entre que CrowdStrike superara las expectativas de los analistas en dos métricas financieras clave: ingresos anuales recurrentes y nuevos ingresos anuales recurrentes netos, o no alcanzarlos. CrowdStrike destacó ambas métricas en el anuncio de ganancias del trimestre, pero la empresa declinó responder preguntas sobre si el acuerdo se registró bajo ellas.

Los ingresos anuales recurrentes son ampliamente utilizados por las empresas de software para rastrear los ingresos de las suscripciones. CrowdStrike ha enfatizado consistentemente esto con los inversores, escribiendo en un documento regulatorio de 2019 que “es una métrica clave para medir nuestro negocio”.

Theresa Gabaldon, profesora de la Facultad de Derecho de la Universidad George Washington, dijo que para que CrowdStrike registre adecuadamente el acuerdo como ingreso, necesitaría no solo haber recibido el pago, sino también haber entregado el producto. Ni CrowdStrike ni Carahsoft respondieron preguntas sobre qué sucedió con el software de suscripción.

“Lo califico como una señal de alerta”, dijo Gabaldon, quien enseña regulación de valores, derecho y contabilidad.

Sea lo que sea que sucedió, Carahsoft fue una de las empresas que CrowdStrike homenajeó en un “simposio de socios” en junio. Allí, Kurtz y otros empleados de CrowdStrike se mezclaron con los invitados en un lujoso resort en la costa sur de California. Un video muestra a los asistentes disfrutando de bebidas y música en vivo con cuerdas en un acantilado con vistas al Océano Pacífico y recibiendo lecciones de sushi de un chef famoso.

En el evento, CrowdStrike nombró a Carahsoft “Distribuidor del Año”.

–Con la asistencia de Charles Gorrivan.

(Se actualiza con la caída de las acciones de CrowdStrike en el sexto párrafo.)

Lo más leído de Bloomberg Businessweek

©2024 Bloomberg L.P.