Kaspersky insiste en su "desrrusificación"

Kaspersky traslada a Suiza el procesamiento de datos de ciberamenazas para América Latina y Oriente Medio y vuelve a certificar sus servicios por TÜV AUSTRIA.

sara-olivo-escudo-digital

Redactora Jefe de Escudo Digital

Guardar

Antivirus Kaspersky
Antivirus Kaspersky

¿Qué hacer si se tiene un cortafuegos de Kaspersky? Es lo que muchos de sus usuarios se preguntan. Presente en 200 países, protege a más de 400 millones de usuarios y 240.000 empresas. Según fuentes expertas en sistemas consultadas por Escudo Digital se trata de uno de los cortafuegos más seguros del mercado, pero diferencian entre el uso privado y el institucional, es decir, "no es lo mismo que lo use un particular a que quien lo esté utilizando sea  el Ministerio de Defensa". Las opiniones son variadas. Algunas fuentes del sector bancario, sottovoce, dan la razón a Alemania. Y, sin embargo, diversas instituciones españolas, como el Parlamento de Andalucía, ayuntamientos o el Centro Nacional de Trasplantes siguen usándolo, según informa Nius.

El gobierno germano, desde la Agencia de Seguridad Pública, BSI, ha advertido a los usuarios del software antivirus desarrollado por Kaspersky Lab que existe un grave riesgo de que se produzca un ataque de piratería informática. La pregunta que se hacen desde el ámbito de la ciberseguridad muchos expertos es hasta qué punto existe una amenaza real para la seguridad de occidente o simplemente intereses espurios para hacer leña de un árbol que se pretende hacer caer con el fin de captar sus clientes. 

Durante las últimas semanas, no solo Alemania, Italia, Reino Unido y, especialmente, Estados Unidos, han llevado a cabo una ofensiva "de artillería pesada" solicitado a empresas e instituciones que se abstengan de utilizar los servicios de la firma, y recuerdan que su sede central está en Moscú: "Puede llevar a cabo operaciones ofensivas por sí misma, verse obligada a atacar sistemas en contra de su voluntad, ser espiada sin su conocimiento, o ser utilizada indebidamente para ataques contra sus propios clientes", manifestó la  Oficina Federal para la Seguridad de la Informática de Alemania. 

Kaspersky, de inmediato, negó cualquier relación con el Kremlin, y lanzó un comunicado público alegando en primer lugar que se trata de una firma privada e independiente, que la alerta alemana se debe a “cuestiones políticas” sin responder a pruebas reales, que Kaspersky opera desde 2018 con un centro de datos instalado en Suiza y que por tanto está protegido bajo su legislación, y, además, que tienen como base de sus negocios una sociedad abierta en Reino Unido. Ayer, en un último intento de desrrusificación, anunció un comunicado que ha ampliado el alcance de su reubicación de datos relacionados con las ciberamenazas, que ahora también cubre a los usuarios de América Latina y Oriente Medio, y han sido trasladado a Suiza. Y señalan que "el compromiso de la compañía de seguir las mejores prácticas de seguridad de datos se confirma con la recertificación de TÜV AUSTRIA de los servicios de datos de Kaspersky con un alcance ampliado".

El comunicado parece una petición de disculpas por su origen. En un momento en el que todo lo ruso está demonizado, la empresa, pese a tener sus oficinas en Londres, no puede negar que es rusa. Según han confesado a Escudo Digital fuentes relacionadas con Kaspersky "la mayor parte de sus empleados están en Moscú" pero eso no quiere decir, afirman, "que esté vinculada al gobierno de este país. Es completamente independiente, y sus servidores están fuera de Rusia".

En el comunicado insisten en el compromiso continuo de avanzar hacia una mayor transparencia, un  reto asumido como parte de la Iniciativa Global de Transparencia (GTI por sus siglas en inglés). Al lanzar la GTI en 2017, Kaspersky estableció un punto de referencia para la confianza digital y se convirtió en el primer proveedor de ciberseguridad en abrir su código fuente para su revisión. Y lo hizo forzado por los norteamericanos tras recibir algunas andanadas de Donald Trump, que en aquel momento quería proteger su industria. Entonces, Jame Nuns, periodista de CBRo online ya manifestó: “Teniendo en cuenta que no se ha presentado ninguna evidencia salvo que Kaspersky Lab es una compañía rusa y que Eugene Kaspersky trabajó como ingeniero de software para la inteligencia militar soviética, la focalización en Kaspersky Lab da la sensación de que es una caza de brujas como en la Guerra Fría”.

Las circunstancias han cambiado, y ahora conviene "desrrusificarse" aún más. La guerra ha pasado a ser caliente. Por ello, desde Kaspersky han anunciado que "desde marzo de 2022, Kaspersky procesa y almacena en los centros de datos de Zúrich (Suiza) los archivos maliciosos y sospechosos recibidos de usuarios de América Latina y Oriente Medio. Previamente, se había completado la reubicación de dicho almacenamiento de datos para Europa, Norteamérica y varios países de Asia-Pacífico. Los centros de datos suizos ofrecen instalaciones de primera clase que cumplen las normas más importantes del sector, de modo que los usuarios de la empresa pueden confiar en la seguridad de sus datos".

Además, anuncian que han renovado su certificación ISO 27001* emitida por el organismo de certificación independiente TÜV AUSTRIA, una norma de seguridad aplicable reconocida internacionalmente. Además de la auditoría superada en 2020, esta vez el alcance de la certificación se ha ampliado aún más y ahora abarca no solo el sistema Kaspersky Security Network (KSN) para el almacenamiento y el acceso seguro a archivos maliciosos y sospechosos (denominado KLDFS), sino también los sistemas KSN para el procesamiento de estadísticas (denominado base de datos KSNBuffer).

El documento se puede encontrar en el Directorio de Certificados de TÜV AUSTRIA y también está disponible públicamente en el sitio web de Kaspersky.

"Hemos trasladado el procesamiento y el almacenamiento de datos relacionados con las ciberamenazas desde varios países y territorios adicionales a las instalaciones en Suiza, un país conocido por su estricta legislación en materia de protección de datos. Estas medidas forman parte de nuestra Iniciativa Global de Transparencia, que también incluye evaluaciones independientes de la integridad de los servicios de datos y de las prácticas de ingeniería de nuestra empresa, así como la puesta a disposición del código fuente de nuestros productos para su revisión abierta. En conjunto, estas medidas subrayan aún más nuestro compromiso por garantizar que la forma en que tratamos los datos de nuestros usuarios sea lo más abierta y transparente posible, y que sigamos proporcionando a nuestros clientes y socios las soluciones y servicios más fiables y de confianza", señala Alfonso Ramírez, director general de Kaspersky Iberia.

La nueva edición del informe de Transparencia de Kaspersky 

Kaspersky ha desarrollado un proceso permanente de divulgación de información sobre el enfoque de la empresa para hacer frente a las solicitudes de datos y publica su informe periódico "Law Enforcement and Government Requests", que revela datos en dos categorías: datos de usuarios y conocimientos técnicos**. El último informe examina estos datos durante el segundo semestre de 2021.

En concreto, durante el segundo semestre de 2021, Kaspersky recibió 109 solicitudes de gobiernos y organismos policiales (LEA) de 12 países. Al menos el 36% de ellas fueron rechazadas por falta de datos o por no cumplir los requisitos de verificación legal. En total, 92 de las solicitudes recibidas durante el segundo semestre del año pasado fueron de conocimientos técnicos.

A lo largo de 2021, Kaspersky recibió 214 solicitudes, (en comparación con 160 solicitudes en 2020), de gobiernos y LEA de 17 países. Un total de 181 de ellas fueron para obtener conocimientos técnicos (en comparación con 132 en 2020). La empresa, en un esfuerzo supremo por poner las cartas sobre la mesa, ha puesto a disposición de sus clientes y no clientes el procedimiento para procesar dichas solicitudes al que se puede tener acceso en este enlace

Anuncian también, que, al mismo tiempo, Kaspersky, aumentó el número de solicitudes de los usuarios para saber qué y dónde se almacenan los datos y su provisión o eliminación, alcanzando un total de 2.252.

El golpe asestado por Estados Unidos, una historia que se repite

Fundada en 1997 por Eugene Kaspersky, la multinacional de ciberseguridad Kaspersky recibía un nuevo golpe el pasado mes de marzo. La Comisión Federal de Comunicaciones de Estados Unidos(FCC)  es una agencia independiente del gobierno federal de Estados Unidos que regula las comunicaciones por radio, televisión, cable y satélite en todo el país. Su importancia es tal que su jurisdicción abarca las áreas de acceso a la banda ancha, la regulación de la competencia justa, el uso de radiofrecuencias, responsabilidad de los medios de comunicación, seguridad pública y seguridad nacional.

Sin anestesia, tras la invasión rusa de Ucrania, la FCC calificaba a la firma de ciberseguridad Kaspersky, así como a las compañías de telefonía móvil China Mobile y China Telecom como amenazas para la seguridad nacional de Estados Unidos”. Las tres empresas se unen a Huawei, ZTE, el proveedor chino de radiocomunicaciones Hytera y los proveedores chinos de sistemas de video-vigilancia Hangzhou Hikvision Digital Technology Company y Dahua Technology Company en la categoría empresas que constituyen una amenaza para Estados Unidos. En su comunicado las FCC afirmaba que la decisión no guardaba ninguna relación con la invasión de Ucrania por parte del Gobierno ruso. La situación volvía a ser la misma que en 1917. 

La FCC ha manifestado que la decisión se tomó de conformidad con una Directiva Operativa Vinculante (BOD) emitida por el Departamento de Seguridad Nacional el 11 de septiembre de 2017 que prohibía a las agencias federales usar productos de la marca Kaspersky en sus sistemas de información. El proveedor de servicios de seguridad de origen ruso manifestó en respuesta  al ataque "con precedentes " que estaba decepcionado con la decisión de la FCC y que "se está adoptando por motivos políticos" sin haberse molestado ni siquiera en realizar una evaluación técnica de sus productos. "Kaspersky sostiene que las prohibiciones del gobierno de los EE. UU. de 2017 a las entidades federales y los contratistas federales de usar los productos y servicios de Kaspersky eran inconstitucionales, se basaban en acusaciones sin fundamento y carecían de evidencia pública de irregularidades por parte de la empresa", agregaban.