¿Debería comprar productos de seguridad de Kaspersky?

2017 no fue un gran año para la empresa de seguridad global Kaspersky. Los rumores volaban. Kaspersky informa al gobierno ruso. Kaspersky roba datos privados. Kaspersky espía a sus clientes. Kaspersky hace trampas en solitario. En ese momento, analizamos de cerca toda la información disponible, consultamos con varios expertos y concluimos que no había evidencia real para respaldar esos rumores.

Poco ha cambiado desde entonces. Los rumores aún existen; la evidencia todavía no lo hace. Las agencias gubernamentales de EE. UU. Todavía tienen prohibido usar el software de Kaspersky. Pero, aparte de poner sus productos en la lista de no compra, el gobierno de EE. UU. No ha castigado a Kaspersky, mientras que ha derribado como una tonelada a otras empresas extranjeras. Vale la pena considerar la diferencia. Comparemos algunos casos.

El desafortunado incidente de la NSA

Allí es evidencia de un incidente de seguridad que involucró a Kaspersky, algo que salió a la luz poco después de la prohibición del gobierno. La versión de histeria mediática de la historia es que Kaspersky robó software de piratería de la NSA. Lo que pasó fue mucho más mundano.

Como la mayoría de los programas antivirus, Kaspersky Anti-Virus está atento a los programas que presentan comportamientos sospechosos pero que no coinciden con ninguna firma de malware conocida. Tal programa podría ser una nueva variedad de malware, a menudo llamado ataque de día cero. Con el permiso del usuario (generalmente otorgado en la instalación), carga programas sospechosos nunca antes vistos a su equipo de investigación para su análisis. Ese comportamiento automatizado es lo que causó el incidente.

Un consultor de la NSA rompió el protocolo y copió algunas herramientas de piratería de la NSA en su computadora portátil protegida por Kaspersky. El software de seguridad detectó las herramientas como peligrosas desconocidas y las envió a Kaspersky HQ para su análisis. Cuando los investigadores de la empresa se dieron cuenta de lo que habían recibido, lo eliminaron de inmediato. Fin de la historia. Ni la NSA ni ninguna otra agencia de los EE. UU. Tomaron medidas, porque no es contra la ley obtener datos clasificados por accidente.

La vergüenza de Avast

Robert Heinlein popularizó el acrónimo TANSTAAFL en su novela, La luna es una amante dura. Significa “No existe tal cosa como un almuerzo gratis”. Una versión más moderna podría ser: “Si no está pagando, usted son el producto “. Eso quedó claro a principios de este año en un fiasco que involucró al muy popular Avast Free Antivirus.

Una subsidiaria de Avast, Jumpshot, estaba recopilando clics y otros datos de los usuarios del antivirus gratuito, supuestamente eliminando todo lo que pudiera identificar al usuario individual. La investigación demostró que Jumpshot podía (y lo hizo) comprometer la información personal de los usuarios de Avast. No era un rumor; esto era un hecho.

La reacción fue rápida. Avast cerró Jumpshot por completo y detuvo la recopilación de datos problemáticos. Lo que sucedió sigue siendo una vergüenza para Avast, pero la compañía está trabajando arduamente para recuperar la confianza de sus usuarios. Aquí nuevamente, hubo evidencia de un problema. Esta vez fue culpa de la propia empresa, pero el equipo ejecutivo rápidamente implementó una solución y el gobierno no se involucró en absoluto.

Crimen, castigo y TikTok

Kaspersky recogió las herramientas de la NSA debido a un error de un consultor. Avast intentó despersonalizar los datos compartidos con terceros, pero no pudo hacerlo por completo. Ambas empresas trabajaron rápidamente para arreglar las cosas. ¿Qué sucede cuando una empresa roba activamente información personal?

En mayo de 2020, los vigilantes de la privacidad acusaron a la popular aplicación de video de formato corto TikTok de poner en riesgo a los niños. Afirmaron que TikTok continuó haciendo un mal uso de los datos de los niños de formas que anteriormente le valían a la compañía una multa de $ 5.7 millones de dólares. Pero las multas de la FTC y las violaciones a la COPPA fueron solo el comienzo.

Más recientemente, las agencias gubernamentales de EE. UU. Determinaron que TikTok captura deliberadamente información sobre ciudadanos estadounidenses y la proporciona al gobierno chino. La reacción de nuestro gobierno fue rápida y draconiana. Una orden ejecutiva tiene como objetivo “paralizar … TikTok al prohibir que las tiendas de aplicaciones, las empresas de tarjetas de crédito y los proveedores de software de EE. UU. Trabajen con él”. La orden también se aplica a WeChat, una aplicación de mensajería, redes sociales y pago extremadamente popular. Es importante en China, pero también es importante para los ciudadanos estadounidenses que tienen familia en China.

A menos que algo grande cambie, como Microsoft comprando TikTok, el pedido significa efectivamente el fin de TikTok y WeChat en los EE. UU. No solo eso, dado que el pedido se aplica a las tiendas de aplicaciones, los usuarios de iPhone en China no podrán obtener las aplicaciones.

Bofetada de muñeca versus defenestración

La situación con TikTok y WeChat ilustra qué tipo de acción toma el gobierno de EE. UU. Cuando ha evidencia que una empresa extranjera está poniendo en peligro nuestra seguridad. La prohibición propuesta afecta a todos en los EE. UU. Así como a las empresas estadounidenses de todo el mundo. Es un duro golpe para la empresa extranjera en cuestión.

En septiembre de 2019, el Consejo Federal de Regulación de Adquisiciones formalizó su política que prohíbe a las agencias federales comprar productos de Kaspersky, pero ese es el alcance de la participación del gobierno. Usted o yo podemos comprar productos de Kaspersky en Amazon, Walmart o cualquier tienda que los venda. Algunos puntos de venta, como Best Buy, optan por no vender estos productos, pero ese es su derecho. En comparación con la prohibición de WeChat, el castigo de Kaspersky es una palmada por motivos políticos. ¿Por qué? Porque no hay evidencia.

Confíe en los expertos

Por supuesto, existe otra posible explicación para las reacciones tremendamente diferentes del gobierno. Quizás la administración actual ama a Rusia y odia a China, quizás eso es todo. Pero incluso si no confía en que el gobierno actuará en su mejor interés, no hay duda de que otras empresas de seguridad buscan sus propios intereses.

Mantener viable un producto de seguridad requiere un equipo de investigación para adelantarse a los codificadores de malware. Además de buscar nuevas tendencias en software malicioso, estos equipos ponen a prueba software y hardware legítimos. Si el software antivirus de Kaspersky incluyera puertas traseras o comportamientos ilícitos, la competencia no dudaría en arrojar luz sobre él.

Los laboratorios de pruebas independientes también someten a los productos de seguridad a un análisis riguroso. Algunos laboratorios, como Project Zero de Google, se dedican por completo a encontrar fallas de seguridad en productos de todo tipo. El escrutinio de los expertos en seguridad de todo el mundo no ha arrojado evidencia de un comportamiento inapropiado por parte de Kaspersky. Si no confía en el gobierno, confíe en los expertos.

Kaspersky responde

Si bien se originó en Rusia, Kaspersky es una empresa global, con ventas y ubicaciones en todo el mundo. La prohibición de las compras por parte del gobierno de los EE. UU. No daña mucho los resultados de Kaspersky. Aún así, a nadie le gusta ser acusado de comportamiento ilícito. Kaspersky tiene mucho que decir sobre por qué no hay ningún problema.

La Iniciativa de transparencia global de Kaspersky tiene como objetivo reafirmar el compromiso de la empresa de ganarse y mantener la confianza de sus clientes y socios. La iniciativa, lanzada en 2017, involucra a la comunidad de seguridad de TI en la validación y verificación de la confiabilidad de sus productos, procesos internos y operaciones comerciales.

En 2018, la empresa comenzó a trasladar datos de clientes de EE. UU. Y Canadá a su centro de procesamiento en Suiza. También encargó auditorías de la seguridad de su sistema y la seguridad de sus centros de datos. Las agencias europeas han certificado sus protocolos.

Estas acciones demuestran la voluntad continua de Kaspersky de ir más allá para proteger a sus clientes y mejorarán el liderazgo global ya probado de la compañía en productos y soluciones de ciberseguridad.

Kaspersky no es estúpido

El CEO epónimo de Kaspersky no es tonto, ni tampoco los investigadores de Kaspersky que he conocido.

Kaspersky es uno de los proveedores líderes en Europa. A nivel mundial, es la quinta compañía de antivirus más grande por ingresos, y más del 80 por ciento de sus ingresos provienen de fuera de Rusia. Colaborar con el gobierno ruso pondría en riesgo ese éxito mundial. Sería un acto de suicidio corporativo. Y este no es un grupo estúpido.

No hay duda de que Eugene Kaspersky ha conocido a Vladimir Putin, ni de que Elon Musk ha conocido a Donald Trump. Cuando su empresa es lo suficientemente grande, se mueve en círculos gubernamentales. No veo ninguna evidencia real de actividades ilícitas por parte de Kaspersky, y no veo una reacción del gobierno acorde con la existencia de tal evidencia. A menos que las cosas cambien, continuaremos recomendando productos como Kaspersky Anti-Virus según sus méritos.