Daños colaterales en la ciberseguridad

Carta abierta de Eugene en respuesta a la advertencia contra el uso de los productos de Kaspersky por parte de la Oficina Federal Alemana de Seguridad de la Información (BSI).

En las últimas tres semanas, la guerra en Ucrania ha destrozado el mundo tal y como lo conocíamos. Familias, relaciones, asociaciones y lazos se han visto afectados de forma dramática en Ucrania, Rusia, Europa y en el mundo entero. La avalancha de estos trágicos hechos nos afecta a todos.

Mi empresa, que lleva con orgullo mi nombre, y que es la compañía privada de ciberseguridad más grande del mundo, no ha sido una excepción. Esta semana, la Oficina Federal Alemana de Seguridad de la Información (BSI) emitió una advertencia sobre los productos de Kaspersky, citando los riesgos potenciales para la seguridad TI de quienes utilizan los productos y soluciones de Kaspersky. Sin entrar en detalles, puedo decir que estas afirmaciones son especulaciones que no están respaldadas por ninguna evidencia objetiva, ni exponen detalles técnicos. La razón es simple. En los veinticinco años de historia de la empresa, nunca se ha descubierto ni probado ninguna evidencia de uso o abuso de Kaspersky con fines maliciosos, a pesar de que ha habido innumerables intentos en esa dirección.

Sin tal evidencia, solo puedo concluir que la decisión del BSI se toma únicamente por motivos políticos. Es tristemente irónico que la organización que aboga por la objetividad, la transparencia y la competencia técnica, los mismos valores que Kaspersky ha defendido durante años junto al BSI y a otros reguladores europeos y organismos de la industria, decida o se vea obligada a abandonar sus principios, literalmente, de la noche a la mañana. A Kaspersky, socio y colaborador desde hace mucho tiempo del BSI y de la industria alemana de ciberseguridad, se nos han dado apenas unas horas para abordar y responder a estas acusaciones falsas e infundadas. Esto no es una invitación al diálogo, es un insulto.

A pesar de nuestros continuos ofrecimientos e intentos para que se realizara una auditoría en profundidad de nuestro código fuente, actualizaciones, arquitectura y procesos en los Centros de Transparencia de Kaspersky en Europa, el BSI nunca lo ha hecho. Esta decisión también omite convenientemente el hecho de que Kaspersky ha sido pionera durante años en transparencia, con un esfuerzo multimillonario para trasladar los datos de amenazas de nuestros clientes europeos a Suiza como parte de nuestra Iniciativa de Transparencia Global. Es por eso que considero la decisión del BSI un ataque injustificado contra mi empresa y más específicamente contra los empleados de Kaspersky en Alemania y Europa. Más importante aún, esto también es un ataque al gran número de consumidores en Alemania que confía en Kaspersky, que hace dos semanas fue premiada como la mejor solución de seguridad según AV-Test. También es un ataque a los trabajos de miles de profesionales alemanes de la seguridad informática, a los agentes del orden que hemos capacitado para combatir el ciberdelito en la más absoluta vanguardia, a los estudiantes alemanes de informática a los que hemos ayudado a formarse para este trabajo, a nuestros socios en proyectos de investigación en las áreas más críticas de ciberseguridad, y a decenas de miles de empresas alemanas y europeas de todos los tamaños que hemos estado protegiendo de todo el espectro de ciberataques.

El daño a la reputación y al negocio, causado por la decisión del BSI, ya es bastante significativo. La única pregunta que tengo es: ¿con qué fin? No tener Kaspersky en Alemania no hará que Alemania o Europa sean más seguras. Todo lo contrario. La decisión del BSI significa que se recomienda a los usuarios alemanes que desinstalen de inmediato el único antivirus que, según AV-Test, un instituto alemán de seguridad de TI independiente, garantiza una protección del 100 % contra el ransomware. Esto supone que los principales fabricantes alemanes de equipos industriales ya no recibirán información sobre vulnerabilidades críticas en su software y hardware de Kaspersky ICS-CERT, una organización aclamada por esos mismos fabricantes por su trabajo de divulgación. También significa que los gigantes automotrices alemanes permanecerán ajenos a los errores que pueden permitir que un atacante se apodere de todo el sistema informático de a bordo y cambie su lógica. Esto significa un gran punto ciego en la superficie de ataque para los responsables de respuesta a incidentes y los operadores SOC europeos que ya no podrán recibir datos de amenazas de todo el mundo, y de Rusia en particular.

Mi mensaje al BSI, que ahora parece estar evitando los contactos con nuestro equipo alemán, es simple: consideramos que esta decisión es injusta y completamente incorrecta. No obstante, seguimos abiertos a abordar cualquier inquietud que pueda tener de manera objetiva, técnica y honesta. Agradecemos a los reguladores europeos y a los expertos de la industria que han adoptado un enfoque más equilibrado al solicitar un análisis técnico adicional y un escrutinio de las soluciones de seguridad y la cadena de suministro de TI, y estoy totalmente comprometido a brindar toda la información y la cooperación que se requiere de Kaspersky durante todo este proceso. Y a nuestros clientes alemanes y europeos quiero decirles que estamos inmensamente agradecidos por su elección de Kaspersky y que continuaremos haciendo lo que mejor sabemos hacer: protegerlos de todas las ciberamenazas sin importar de dónde provengan, siendo completamente transparentes con respecto a nuestra tecnología y operaciones.

La guerra en Ucrania solo puede terminar a través de la diplomacia, y todos esperamos un cese de hostilidades y la continuidad del diálogo. Esta guerra es una tragedia que ya ha causado sufrimiento a personas inocentes y repercusiones en nuestro mundo hiperconectado. La industria de la ciberseguridad global, que se ha construido sobre la base de la confianza y la cooperación para proteger los vínculos digitales que nos conectan entre nosotros, bien puede ser su daño colateral y, por lo tanto, dejarnos a todos en una posición aún menos segura.

Consejos