La BSI ha desaconsejado el uso de los productos de seguridad antivirus de Kaspersky debido a que la empresa tiene su sede en Rusia. También dijo que Kaspersky podría llevar a cabo dichas operaciones ofensivas en el ciberespacio por su propia voluntad, utilizar sus propios productos como herramienta en los ataques a sus clientes o ella misma ser espiada.
A juicio de la BSI, existe un “riesgo considerable de que se produzca un ataque informático exitoso” como consecuencia del actual conflicto entre Rusia, la UE, la OTAN y Alemania. La entidad estima que las organizaciones vinculadas a infraestructuras críticas o con otros intereses especiales de seguridad corren un riesgo especial de sufrir ataques a partir del software antivirus de Kaspersky, por lo que ofrece asesorar a cualquier organización que crea que puede verse afectada.
“El software antivirus, incluidos los servicios en la nube con capacidad en tiempo real asociados, tiene amplias autorizaciones del sistema y, debido a éste (al menos para las actualizaciones), debe mantener una conexión permanente, cifrada y no verificable con los servidores del fabricante. Por lo tanto, la confianza en la fiabilidad y autoprotección de un fabricante, así como en su auténtica capacidad de actuación, es crucial para el uso seguro de estos sistemas. Si existen dudas sobre la fiabilidad del fabricante, el software de protección antivirus supone un riesgo especial para la infraestructura informática que se quiere proteger”, dijo la BSI en un comunicado.
En respuesta a la recomendación de la BSI, Kaspersky ha emitido la siguiente declaración pública:
“Creemos que esta decisión no se basa en una evaluación técnica de los productos de Kaspersky – por la que hemos abogado continuamente ante la BSI y en toda Europa – sino que se ha tomado por motivos políticos. Seguiremos asegurando a nuestros socios y clientes la calidad e integridad de nuestros productos, y trabajaremos con la BSI para que aclare su decisión y busque los medios para resolver sus preocupaciones y las de otros reguladores.
En Kaspersky, creemos que la transparencia y la aplicación continua de medidas concretas para demostrar nuestro compromiso permanente con la integridad y la fiabilidad a nuestros clientes es primordial. Kaspersky es una empresa privada de ciberseguridad global y, como empresa privada, no tiene ningún vínculo con el gobierno ruso ni con ningún otro.
Creemos que el diálogo pacífico es el único instrumento posible para resolver los conflictos. La guerra no es buena para nadie.
Nuestra infraestructura de procesamiento de datos se trasladó a Suiza en 2018: desde entonces, los archivos maliciosos y sospechosos compartidos voluntariamente por los usuarios de los productos de Kaspersky en Alemania se procesan en dos centros de datos en Zúrich que ofrecen instalaciones de primera categoría, en cumplimiento de los estándares de la industria, para garantizar los más altos niveles de seguridad. Más allá de nuestras instalaciones de procesamiento de datos relacionados con las ciberamenazas en Suiza, las estadísticas proporcionadas por los usuarios a Kaspersky pueden ser procesadas en los servicios de Kaspersky Security Network ubicados en varios países del mundo, incluyendo Canadá y Alemania. La seguridad e integridad de nuestros servicios de datos y prácticas de ingeniería han sido confirmadas por evaluaciones de terceros independientes: a través de la Auditoría SOC 2 realizada por un auditor de las “Cuatro Grandes” [Deloitte, Ernst & Young (EY), PricewaterhouseCoopers (PwC) y Klynveld Peat Marwick Goerdeler (KPMG)], y a través de la certificación ISO27001 y la reciente recertificación de TÜV Austria.
Kaspersky ha marcado el punto de referencia del sector en cuanto a confianza y transparencia digital. Nuestros clientes pueden realizar una revisión técnica y exhaustiva gratuita de nuestras soluciones, lo que les permite
- Revisar nuestra documentación de desarrollo de software seguro, incluyendo el análisis de amenazas, la revisión segura y los procesos de prueba de seguridad de las aplicaciones;
- Revisar el código fuente de nuestras soluciones líderes, incluyendo Kaspersky Internet Security (KIS), nuestro producto insignia para el consumidor; Kaspersky Endpoint Security (KES), nuestro producto insignia para la empresa; y Kaspersky Security Center (KSC), una consola de control para nuestros productos empresariales;
- Revisar todas las versiones de nuestras compilaciones y actualizaciones de la base de datos AV, así como los tipos de información que los productos de Kaspersky envían a nuestra Red de Seguridad Kaspersky (KSN) basada en la nube;
- Reconstruir el código fuente para asegurarse de que se corresponde con los módulos disponibles públicamente;
- Revisar los resultados de una auditoría externa de las prácticas de ingeniería de la empresa realizada por una de las “Cuatro Grandes” empresas de contabilidad;
- Revisar la lista de materiales de software (SBOM) para Kaspersky Internet Security (KIS), Kaspersky Endpoint Security (KES) y Kaspersky Security Center (KSC).”
Ilustración de archivo, Diario TI