La transparencia en Kaspersky

Cómo está evolucionando nuestra Iniciativa de Transparencia Global.

En el 2017, lanzamos nuestra Iniciativa de Transparencia Global (GTI por sus siglas en inglés). Con este proyecto, trasladamos parte de nuestra infraestructura de datos a Suiza y abrimos Centros de Transparencia donde nuestros socios y clientes pudieran revisar el código fuente de nuestros productos.

También hemos hecho que nuestros servicios de datos y prácticas de ingeniería sean evaluados por organizaciones independientes acreditadas. Además, ahora divulgamos periódicamente información sobre las solicitudes de datos y experiencia técnica de las agencias gubernamentales que recibe Kaspersky en torno a la investigación de delitos cibernéticos. Hoy os contamos cuáles son las novedades de esta iniciativa.

Qué ha aportado la Iniciativa de Transparencia Global

En los cinco años que llevamos con este programa, hemos abierto cuatro Centros de Transparencia donde nuestros clientes y socios pueden revisar el código fuente de nuestros productos y las actualizaciones de software para asegurarse de que no haya funciones ocultas o capacidades no documentadas en nuestras soluciones. Además, también ponemos a su disposición nuestras prácticas de gestión de datos e ingeniería para su evaluación externa. Los Centros de Transparencia de Kaspersky operan en Europa, América Latina y Asia. Y, para aquellos que no pueden visitar nuestros centros en persona, ofrecemos visitas en remoto.

Como empresa de tecnología y ciberseguridad, tratamos los datos que utilizan nuestros productos para aumentar la eficacia de la ciberprotección que ofrecemos a los usuarios. Estos datos incluyen información sobre ciberamenazas, por ejemplo, archivos sospechosos y maliciosos que nuestros productos envían, siempre que nuestros usuarios lo aprueben, para un análisis automatizado de malware en la nube. Estos datos nos ayudan a identificar amenazas nuevas y desconocidas, mejorar continuamente nuestras soluciones y ofrecer a los usuarios mejores formas de protección.

Desde noviembre del 2018, estos datos relacionados con las ciberamenazas recibidas por nuestros usuarios en Europa se almacenan y procesan en nuestros centros de datos en Suiza. Poco tiempo después, también reubicamos en Suiza el procesamiento y almacenamiento de estos mismos datos de los usuarios de América del Norte, América Latina, Oriente Medio y varios países de la región de Asia-Pacífico.

También recibimos la certificación de cumplimiento ISO 27001 del organismo de certificación independiente TÜV AUSTRIA, lo que confirma que nuestra empresa cuenta con un sistema de gestión de seguridad de la información eficaz. Nuestros usuarios pueden estar seguros de que los datos procesados por Kaspersky están bajo el más alto nivel de protección.

Además, también lanzamos la formación Cyber Capacity Building Program dirigida a empresas, organizaciones gubernamentales y académicas con el objetivo de ayudarlas a desarrollar las habilidades necesarias para proteger sus sistemas TI. Más recientemente, lanzamos una versión digital de esta formación, a la que ahora pueden acceder organizaciones y usuarios particulares.

Los próximos pasos hacia la transparencia

Kaspersky ha trabajado mucho en el camino hacia una mayor transparencia y no tiene pensado detenerse. De hecho, hemos dado una serie de nuevos pasos con respecto a nuestra Iniciativa de Transparencia Global (GTI).

La expansión del centro de datos en Zúrich

Desde principios del 2022, hemos aumentado significativamente la capacidad de nuestros centros de datos en Zúrich, donde ahora procesamos archivos maliciosos y sospechosos de usuarios en América Latina y Oriente Medio. También hemos reubicado el procesamiento y almacenamiento de los datos relacionados con las ciberamenazas de países de América del Norte que no estaban incluidos anteriormente: México, Panamá, Jamaica y otras naciones insulares.

La elección de Suiza no ha sido casualidad, ya que este país cuenta con una de las regulaciones de protección de datos más estrictas. Además, nuestros dos centros de datos en Zúrich también operan con un equipamiento de primera clase que cumple con los más altos estándares de la industria.

La recertificación ISO 27001

Los sistemas de datos de Kaspersky obtuvieron una recertificación de la mano de TÜV AUSTRIA de acuerdo con los requisitos de la ISO 27001. Pero no se trata de una simple renovación de la certificación; ya que esta vez el alcance de la auditoría se amplió significativamente. De hecho, ahora abarca tanto los sistemas de datos para el procesamiento de datos relacionados con las ciberamenazas (el Distributed File System de Kaspersky, KLDFS) como las estadísticas (la base de datos KSNBuffer).

TÜV AUSTRIA es un organismo de certificación independiente. Estamos orgullosos de que la estrategia de Kaspersky de cara a la seguridad de los datos se haya visto reconocida una vez más.

El trabajo con organismos gubernamentales y las fuerzas del orden

Bien, los datos de los usuarios están seguros, pero te preguntarás qué pasa con las solicitudes de información que recibimos de las fuerzas del orden. Lo cierto es que Kaspersky comparte periódicamente su estrategia de trabajo con este tipo de solicitudes y, desde el año pasado, la compañía ha estado publicando informes sobre ello. De hecho, recientemente publicamos un informe sobre la segunda mitad del 2021. A continuación, te dejamos algunas cifras clave:

  • Nuestros expertos recibieron 109 solicitudes de las agencias gubernamentales y policiales de 12 países.
  • 92 solicitudes se referían a conocimientos técnicos y 17 contenían una solicitud de acceso a los datos de usuario.
  • Las 17 solicitudes de entrega de datos de usuario fueron rechazadas. Algunas de ellas no cumplían con los requisitos legales y otras solicitaban datos de los que la empresa no disponía.

Los usuarios también nos preguntan dónde y cómo se almacenan sus datos personales. Algunos solicitan su descarga o eliminación. En el 2021, atendimos 2252 solicitudes de este tipo.

Un nuevo nivel de programa educativo

Kaspersky siempre está listo para compartir su experiencia con la comunidad internacional. De hecho, hemos ampliado nuestro Cyber Capacity Building Program al lanzar un curso online similar. Ahora incluso más socios y clientes pueden participar en el programa. Esta formación ayudará a las organizaciones e individuos a evaluar la seguridad del software que utilizan y reducir el riesgo y las posibles consecuencias de los ciberataques.

Los próximos pasos

La confianza de los usuarios, clientes y socios es nuestra prioridad. Por ello, seguimos perfilando nuestras prácticas de seguridad y desarrollando la Iniciativa de Transparencia Global, que esperamos que algún día se convierta en un estándar internacional para la industria de la ciberseguridad.

En cuanto a la calidad de la protección que brindan nuestras soluciones de seguridad, también tenemos buenas noticias. Recientemente resumimos los resultados de docenas de pruebas y revisiones realizadas por los laboratorios independientes líderes que analizaron nuestros productos en el 2021. Puedes consultar los resultados aquí.

Consejos