Análisis en profundidad

¿Es peligroso el antivirus ruso Kaspersky? La opinión de los expertos

Muchos países se están pronunciando en contra del uso del antivirus Kaspersky, asociándolo con un país “enemigo” (Rusia) y sospechando que podría traer un software espía. ¿Es esto posible? Veamos cuáles son los riesgos reales.

30 Ago 2022

Redacción Innovación Digital 360

Kaspersky

A los pocos días de la invasión de Rusia a Ucrania comenzó a darse el debate sobre el antivirus Kaspersky y si este debía ser eliminado por estar asociado al país de Vladimir Putin.

Kaspersky, los puntos críticos

Kaspersky es utilizado por administraciones, incluyendo ministerios, municipios, fuerzas policiales y grandes empresas privadas. En virtud de los acontecimientos geopolíticos, Rusia se ha convertido a todos los efectos en una nación enemiga (a la que imponen sanciones tanto Estados Unidos como la Unión Europea). Por lo tanto, ¿se debe eliminar a Kaspersky por estar asociado a un país tan mal visto y rechazado por su accionar contra Ucrania?

¿Se puede temer incluso que el antivirus contenga un software de espionaje o una puerta trasera del gobierno ruso? Aunque no es correcto identificar al gobierno ruso con sus ciudadanos o las empresas rusas, la situación del caso Kaspersky es especialmente delicada. Intentemos analizarlo.

Kaspersky: el caso de Italia despierta el alerta en el mundo

El 27 de febrero, Stefano Quintarelli, informático y ex diputado italiano que siempre ha estado en la vanguardia de la innovación digital y de la administración pública , firmó un artículo en Il Post con el que instigó una discusión, que pronto se hizo pública, sobre la relación entre el software antivirus Kaspersky e Italia.

En este punto, hay una gran pregunta en el centro del debate: ¿es correcto preocuparse por un software antivirus fabricado en Rusia, que se utiliza desde hace varios años en gran parte de la administración pública italiana, en un momento de tensión geopolítica entre Rusia y Occidente?

Para responder a esta pregunta, o más bien para tener las herramientas para formarnos nuestra propia idea de la respuesta, necesitamos analizar algunos datos objetivos. 

En concreto, un programa informático, sea cual sea (aunque sea de código cerrado), es siempre conocible. No es necesario leer el código fuente para estudiar el comportamiento de un programa informático durante su ejecución. 

Otro elemento a tener en cuenta es que Kaspersky (una empresa rusa), es una empresa multinacional muy estructurada, y para sus clientes europeos, traslada sus centros de datos (en los que se encuentran los servidores que realizan el trabajo de análisis que requiere el software antivirus) a Suiza.

Kaspersky, ¿un antivirus ruso que sabotea Italia? El miedo

Como ya se ha mencionado, Kaspersky es una empresa con sede en Rusia, lo que constituye uno de los elementos más expuestos de las preocupaciones que se han comunicado hasta ahora sobre el tema. 

Además, existen referencias históricas a Eugene Kaspersky (director general y fundador de la empresa del mismo nombre), relaciones y vínculos, que seguramente se remontan a un pasado lejano, con el KGB ruso.

La crisis producida por la invasión rusa de Ucrania ha aumentado considerablemente la preocupación por el software antivirus producido por Kaspersky, en relación con el hecho de que el actual gobierno ruso (que día tras día pone cada vez más en peligro su reputación democrática con la intervención armada en Ucrania), a través de los servicios de seguridad del Estado, podría afectar a las operaciones de la empresa, dado el sector estratégico en el que opera, para realizar sabotaje o espionaje informático contra países (sus clientes) no aliados de Rusia.

Esta hipótesis, que hasta ahora no ha recibido ninguna confirmación en la práctica, la explica muy bien Corrado Giustozzi, experto en ciberseguridad del Corriere della Sera: “Es plausible que, en el contexto actual, la empresa pueda recibir presiones o amenazas del gobierno ruso. No estoy pensando tanto en un escenario de espionaje activo, sino más bien en un malware creado por los propios rusos que el antivirus podría voluntariamente no detectar y dejar pasar”.

Por lo tanto, este escenario vería la propagación de la amenaza cibernética, dirigida contra las instalaciones críticas italianas, actuando con todas las capacidades de un malware y, si es necesario, filtrando datos confidenciales al país enemigo.

Gabrielli

Para colmo de males, el asunto llega a las más altas esferas de Italia. De hecho, Franco Gabrielli, subsecretario de la Oficina del Primer Ministro y responsable de la seguridad nacional, declaró al Corriere della Sera que “debemos liberarnos de la dependencia de la tecnología rusa. Por ejemplo, la de los sistemas antivirus producidos por los rusos y utilizados por nuestras administraciones públicas, para evitar que de ser una herramienta de protección puedan convertirse en una herramienta de ataque”.

La Agencia Cibernética de Italia

La agencia cibernética  aconsejó a las empresas y APs con tecnología rusa (sin mencionar los antivirus) en ciertas áreas (incluyendo la ciberseguridad) para

  • hacer un análisis de riesgos
  • diversificar (en definitiva, cambiar de proveedor)

Y esto no es por miedo a un sabotaje, sino porque la situación geopolítica podría disminuir la capacidad de los proveedores rusos para proporcionar un buen nivel de calidad de servicio, a pesar de su buena voluntad, como explicó el director en una entrevista con nosotros.

En definitiva, no se trata de espionaje o sabotaje, sino de independencia tecnológica para estar menos sujetos a la falta de fiabilidad general de un proveedor “extranjero” y crecer como país en este campo.

El garante de la privacidad

El 18 de marzo, el Garante de la Privacidad abrió una investigación. Pidió a Kaspersky Lab que facilitara el número y el tipo de sus clientes italianos, así como información detallada sobre el tratamiento de datos personales realizado en el ámbito de sus diversos productos o servicios de seguridad, incluidos los servicios de telemetría o diagnóstico. La empresa también tendrá que aclarar si, en el curso del tratamiento, los datos se transfieren fuera de la Unión Europea (por ejemplo, a la Federación Rusa) o se hacen accesibles a terceros países.

Por último, Kaspersky Lab deberá indicar el número de solicitudes de adquisición o comunicación de datos personales, referidas a interesados italianos, dirigidas a la empresa por autoridades gubernamentales de terceros países, a partir del 1 de enero de 2021, distinguiéndolas por países e indicando para cuántas de ellas Kaspersky Lab ha dado una respuesta positiva.

Francia

Asimismo, en Francia, la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi) ha pedido que se “cuestione” el uso del software de Kaspersky, aunque todavía no existe una prohibición explícita.

Estados Unidos y los Países Bajos

Por el contrario, Estados Unidos y Holanda prohibieron a Kaspersky en los ordenadores gubernamentales hace ya cinco y cuatro años respectivamente.

Alemania  

Alemania también intervino explícitamente con una prohibición de Kaspersky y del software ruso el 15 de marzo.

Opinión de los expertos sobre los antivirus rusos

Para añadir elementos útiles para crear una imagen completa del asunto, analicemos las opiniones técnicas de los expertos sobre el uso del antivirus Kaspersky en esta fase histórica. 

Giustozzi vuelve a señalar cómo el problema no es un fin en sí mismo, sino que sigue un patrón más político y normativo, no sólo italiano sino incluso europeo, dada la complejidad en la que se basa la seguridad. “Algunos Estados tienen un poder de coacción sobre las empresas privadas, pero esto no solo se aplica a las no democráticas. También tiene razón al preocuparse por la nube, que está en manos de grandes nombres estadounidenses, así como por los sistemas operativos de los ordenadores y los teléfonos inteligentes”.

Como vemos, por tanto, un problema que no solo afecta a los programas antivirus, sino a gran parte de la tecnología que forma parte de nuestras vidas a diario, y que no es tanto una cuestión técnica como un asunto de resolución política entre estados.

De una opinión bastante similar es Stefano Zanero, profesor asociado del Politécnico de Milán, quien, evidentemente, evaluando los riesgos, declaró recientemente a Open que “la cuestión que ha surgido en los últimos días en relación con Kaspersky abre un discurso más amplio que es el de la soberanía tecnológica. Cuando hablamos de software o hardware que se utiliza en sistemas críticos, debemos asegurarnos de que estas tecnologías no tienen dependencias con naciones que están fuera de nuestras alianzas.

En algunos casos, no podemos prescindir de las tecnologías producidas externamente, pero en lo que respecta a los antivirus, disponemos de una amplia gama de productos. Este software debe estar siempre actualizado y tener un flujo de datos constante con la empresa que lo ha desarrollado’.

¿Qué se desprende del debate sobre el riesgo potencial de Kaspersky?

Lo que podemos concluir al presenciar este debate, que ha alcanzado, como hemos visto, una dimensión nacional, se identifica en la relación entre la administración pública italiana y la tecnología.

Parece que, precisamente, en Italia no existe una tradición de soberanía tecnológica en el ámbito estratégico, y el hecho de que la cuestión se plantee en un momento histórico tan delicado en el frente geopolítico es emblemático. De hecho, hay que decir que Fabio Pietrosanti, presidente del Centro Hermes para la Transparencia y los Derechos Humanos Digitales, planteó la cuestión (sin entonces un seguimiento concreto en el aspecto práctico) ya en 2018 con una investigación para Euronews en la que destacaba cómo la Policía, los Carabinieri, el Ministerio del Interior, la Justicia, la Defensa, los Servicios Secretos, utilizan y adquieren el software antivirus de Kaspersky.

Además, a estos hechos añadimos el análisis que nos parece legítimo exponer, que aún no se ha tenido en cuenta, según el cual la misma empresa Kaspersky opera por cuenta de la administración pública italiana, no solo vendiendo software, sino sobre todo proporcionando consultoría forense post-ataque. Una práctica cada vez más demandada, dada también la incidencia de los ataques de ransomware dirigidos a las estructuras estratégicas del país en al menos los dos últimos años, lo que nos lleva a preguntarnos si es más preocupante un software, conocible aunque cerrado, o un servicio de consultoría, confiado no a máquinas sino a humanos que, de hecho, son remunerados por escarbar en los detalles más profundos de nuestras infraestructuras tecnológicas.

A estas alturas es difícil no preguntarse por qué ha sido necesaria una guerra y una invasión guiada por principios completamente antidemocráticos para que se disparen las alarmas en Italia sobre el asunto de Kaspersky, apuntando, además, solo al software antivirus que, por el momento, nunca ha presentado índices de anomalías referibles a los riesgos potenciales expuestos. Es cierto que la prevención siempre es más útil que la curación de una enfermedad, pero durante todo el periodo de la pandemia nuestra administración pública, y en concreto el sector sanitario, sufrió importantes incidentes informáticos, los más importantes de los cuales fueron tratados precisamente por los servicios forenses realizados también por los técnicos de Kaspersky, así como por el FBI estadounidense.

La respuesta de Kaspersky

Por su parte, la empresa se desmarca de estas acusaciones e informa a los medios de comunicación de que “Kaspersky es una empresa privada internacional y no tiene vínculos con ningún gobierno o agencia gubernamental. Se enorgullece de cooperar con las autoridades de muchos países y con las fuerzas del orden internacionales en la lucha contra la ciberdelincuencia”.

Nosotros también hemos pedido la opinión de la empresa y la esperamos.

Además, nos gustaría recordar que Kaspersky también coopera con la policía holandesa, Europol e Intel Security desde hace casi diez años, sin comentar por el momento el tema emergente de la guerra de Ucrania. Más de una vez ha intentado demostrar su independencia de Moscú, con la Iniciativa de Transparencia Global y luego con el traslado del centro de datos a Zurich.

@RESERVADOS TODOS LOS DERECHOS
I
Redacción Innovación Digital 360

Nota 1 de 5