Daños colaterales en la ciberseguridad

Carta abierta de Eugene en respuesta a la advertencia de la Oficina Federal de Seguridad de la Información de Alemania (BSI) contra el uso de productos de Kaspersky.

En las últimas tres semanas, la guerra en Ucrania ha destrozado el mundo que conocíamos, perjudicando drásticamente a familias, relaciones, asociaciones y lazos en Ucrania, Rusia, Europa y el mundo entero. Esta avalancha de trágicos acontecimientos nos ha afectado a todos.

De hecho, también ha afectado a mi empresa, la empresa privada de ciberseguridad más importante del mundo que lleva con orgullo mi apellido. Esta semana, la Oficina Federal de Seguridad de la Información de Alemania (BSI) ha emitido una advertencia sobre los productos de Kaspersky, citando los riesgos potenciales para la seguridad TI de aquellos que usan los productos y soluciones de Kaspersky. Sin entrar en detalles, puedo decir que estas afirmaciones se basan en especulaciones que no están respaldadas por ninguna evidencia objetiva ni ofrecen información técnica. La respuesta es muy simple: a pesar de los innumerables intentos, en los veinticinco años de historia de la empresa, nunca se ha descubierto ni probado ninguna evidencia de uso o abuso con fines maliciosos por parte de Kaspersky.

Esta falta de pruebas me lleva a concluir que la decisión de la BSI se ha tomado únicamente por motivos políticos. Resulta irónico que la organización que aboga por la objetividad, la transparencia y la competencia técnica (los mismos valores que Kaspersky lleva defendiendo durante años junto con la BSI y otros reguladores europeos y organismos de la industria) decidiera o se viera obligada a abandonar sus principios de la noche a la mañana. A Kaspersky, socio y colaborador desde hace mucho tiempo de la BSI y de la industria alemana de ciberseguridad, se le han dado apenas unas horas para abordar estas acusaciones falsas e infundadas. Esto no parece una invitación al diálogo, sino una ofensa.

A pesar de las continuas peticiones por parte de Kaspersky para realizar una auditoría profunda de nuestro código fuente, actualizaciones, arquitectura y procesos en los Centros de Transparencia de Kaspersky en Europa, la BSI nunca ha accedido a ello. Esta decisión también omite el hecho de que Kaspersky ha sido pionera durante años en reflejar una mayor transparencia con un esfuerzo multimillonario para trasladar los datos de las amenazas de nuestros clientes europeos a Suiza como parte de nuestra Iniciativa de Transparencia Global . Por ello, considero la decisión de la BSI como un ataque injustificado e injusto contra mi empresa y, sobre todo, contra los empleados de Kaspersky en Alemania y Europa. Y, lo que es más importante aún, esto también es un ataque a la amplia base de consumidores alemanes que confía en Kaspersky, que hace dos semanas fue premiada como la mejor oferta de seguridad (por AV-Test). También es un ataque al trabajo de miles de profesionales alemanes de la seguridad informática, los agentes de las fuerzas de seguridad que hemos formado para combatir el ciberdelito de vanguardia, los estudiantes alemanes de informática a los que hemos ayudado a obtener conocimientos prácticos, nuestros socios en proyectos de investigación en las áreas más críticas de ciberseguridad y las decenas de miles de empresas alemanas y europeas de todos los tamaños que hemos estado protegiendo de todo tipo de ciberataques.

La decisión de la BSI ha supuesto unos daños en la reputación y la empresa en general bastante significativos. La única pregunta sería: ¿cuál es el objetivo? Que no se utilice Kaspersky en Alemania no hará que este país o el resto de Europa sean más seguros. De hecho, todo lo contrario. Esta decisión de la BSI incita a los usuarios alemanes a desinstalar de inmediato el único antivirus que, según AV-Test, un instituto de seguridad TI alemán independiente, garantiza una protección del 100 % contra el ransomware. Esto significa que los principales fabricantes alemanes de equipos industriales ya no recibirán información sobre vulnerabilidades críticas en su software y hardware por parte del ICS-CERT de Kaspersky, una organización aclamada por su trabajo de divulgación responsable por parte de estos mismos fabricantes. Por tanto, los gigantes automotrices alemanes permanecerán ajenos a los errores que puedan permitir que un atacante se apodere de todo el sistema informático de a bordo y cambie su lógica, lo que supone un punto débil en la superficie de ataque para los operadores SOC y los profesionales de respuesta a incidentes europeos, que ya no podrán recibir datos de amenazas de todo el mundo, y de Rusia en particular.

Mi mensaje a la BSI, que ahora parece estar evitando el contacto con nuestro equipo alemán, es simple: consideramos que esta decisión es injusta y completamente errónea. No obstante, seguimos abiertos a abordar cualquier inquietud que puedas tener de manera objetiva, técnica y honesta. Agradecemos a los reguladores europeos y a los expertos de la industria que han adoptado un enfoque más equilibrado al solicitar un análisis técnico adicional y un escrutinio de las soluciones de seguridad y la cadena de suministro TI; por mi parte, estoy totalmente comprometido a brindar toda la información y la cooperación que se requiera de Kaspersky durante todo este proceso. Y a nuestros clientes alemanes y europeos quería decirles que les estamos inmensamente agradecidos por elegir Kaspersky y que seguiremos haciendo lo que mejor sabemos hacer: protegerlos de todas las ciberamenazas sin importar de dónde provengan, mientras aportamos la máxima transparencia con respecto a nuestra tecnología y operaciones.

La guerra en Ucrania solo puede terminar a través de la diplomacia, y todos esperamos un cese de las hostilidades y un diálogo continuo. Esta guerra es una tragedia que ya ha causado sufrimiento a personas inocentes y que ha repercutido en nuestro mundo hiperconectado. La industria de la ciberseguridad global que se ha construido sobre la base de la confianza y la cooperación para proteger los enlaces digitales que nos conectan entre sí podría sufrir daños colaterales y, por lo tanto, dejarnos a todos menos protegidos.

Consejos