Esta auditoría de código fuente forma parte de una iniciativa a gran escala anunciada por Kaspersky, denominada Iniciativa Global de Transparencia, que también incluye el escrutinio de su infraestructura y ciclo de desarrollo de productos.
Para la ejecución de su plan, la empresa contratará los servicios de una empresa externa de auditorías de seguridad y análisis forense. Kaspersky ofrecerá los resultados de la investigación a gobiernos y organizaciones que requieran garantías en el sentido que sus productos “no espían a sus usuarios, para entregar posteriormente los datos a FSB [organismo estatal de inteligencia rusa, sucesor de la KGB]”. Con ello, la empresa alude las acusaciones en las que el organismo estadounidense Departamento de Seguridad Nacional basó su reciente decisión de eliminar a Kaspersky Lab de la lista de proveedores de la administración pública de ese país.
La empresa anuncia que el proceso de revisión de su código comenzará durante el primer trimestre de 2018. Por ahora no está confirmado en que empresa delegará la auditoría de su código fuente. “Estamos evaluando a contratistas que pudieran realizar una evaluación externa de nuestro código”, comentó Eugene Kaspersky, CEO de Kaspersky Lab, quien anunció además los planes de la empresa de abrir tres “centros de transparencia” en Europa, Asia y Estados Unidos, donde empresas y gobiernos tendrán acceso al código fuente en un ambiente protegido. El primer centro será abierto el próximo año, y el tercero en 2020.
Nuevas recompensas
La tercera medida anunciada por Kaspersky Lab es el pago de recompensas por un máximo de US$ 100.000 a quienes detecten vulnerabilidades en sus productos.
“Firmas silenciosas”
Según un reciente informe, Kaspersky habría utilizado una técnica denominada “firmas silenciosas” para buscar datos en las computadoras de sus usuarios. Esta técnica es utilizada por la mayoría de los antivirus modernos, y permite a su fabricante buscar “secuencias de datos” en los archivos de los usuarios. La teoría planteada es que FSB, con o sin el conocimiento o complicidad de Kaspersky, habría utilizado el procedimiento de firmas silenciosas para buscar material relacionado con los organismos de seguridad estadounidenses.
“La balcanización de Internet beneficia únicamente a los ciberdelincuentes. La ciberseguridad no tiene fronteras, por lo que los intentos de aplicar delimitaciones nacionales en el ciberespacio es un despropósito, que es preciso abandonar. Necesitamos restablecer la confianza en la relaciones entre empresas, gobiernos y ciudadanos”, declaró Kaspersky Lab en un comunicado.