El gobierno de los Estados Unidos anunció este jueves que a partir de septiembre prohibirá el programa antivirus de Kaspersky Lab en los Estados Unidos, alegando motivos de seguridad nacional. La administración de Joe Biden considera que este sistema de ciberseguridad, de fabricación rusa, tiene vínculos con el Kremlin que pueden comprometer su seguridad y suponen un riesgo significativo. La Secretaria de Comercio, Gina Raimondo, señaló en una conferencia de prensa que esta medida responde a la amenaza potencial que representaba el acceso privilegiado del software a los sistemas informáticos de infraestructuras críticas y gobiernos locales. "Rusia ha demostrado una vez y otra que tiene la capacidad y la intención de explotar empresas rusas, como Kaspersky Lab, para recopilar y utilizar como arma información delicada de los Estados Unidos, y seguiremos utilizando todas las herramientas a nuestra disposición para salvar la seguridad nacional de los Estados Unidos y del pueblo norteamericano", ha declarado la secretaria de Comercio.

Una decisión del Departamento de Comercio

La Oficina de Industria y Seguridad del Departamento de Comercio de los Estados Unidos ha tomado esta medida sin precedentes contra Kaspersky Lab, que es la filial norteamericana, AO Kaspersky Lab y Kaspersky Group (Rusia), y Kaspersky Labs Limited (Reino Unido) "por su cooperación con las autoridades militares y de Inteligencia Rusa en apoyo a los objetivos de superinteligencia del gobierno ruso", según dice un comunicado. Según la secretaría Gina Raimondo, "esta capacidad de Rusia para manipular el software podría resultar en el robo de información confidencial o la instalación de malware. Es por eso que estamos obligados a tomar esta acción hoy". El contexto actual tiene mucho que ver, dado que el gobierno norteamericano ya advirtió en febrero del 2022, un día después de la invasión rusa en Ucrania, que Moscú podía manipular el software diseñado por Kaspersky, y esta advertencia se tradujo en una intensificación de la investigación de seguridad nacional, hasta la prohibición concretada este jueves.

Bajo sospecha desde el 2017

Antes de la decisión fulminante de la administración Biden de este jueves, medios de comunicación norteamericanos ya habían informado en el pasado sobre la supuesta implicación de Kaspersky en la apropiación de herramientas de pirateo informático de un trabajador de la Agencia de Seguridad Nacional de los EE.UU. (NSA) que acabaron en manos del gobierno de Vladímir Putin. En el 2017, el Departamento de Seguridad Nacional había prohibido el producto antivirus de Kaspersky en redes federales, alegando vínculos con la inteligencia rusa. Según informó ABC News, Kaspersky estuvo involucrado en la mencionada captura de herramientas de hacking de este empleado de la NSA que después acabaron en manos del gobierno ruso. La compañía respondió que habían encontrado el código de manera incidental y que no había sido visto por terceros.

Una investigación exhaustiva

La decisión final, según la oficina de seguridad, es "el resultado de una investigación larga y exhaustiva, que concluyó que la continuación de las operaciones de la empresa en los Estados Unidos presentaba un riesgo para la seguridad nacional --a causa de las capacidades cibernéticas del gobierno ruso y de su capacidad para influir o dirigir las operaciones de Kaspersky-- que no se podía abordar con medidas de contención que no fueran una prohibición total". Es por este motivo que las autoridades han instado a los usuarios y negocios que utilizan este software que hagan una "transición rápida" a los nuevos proveedores de estos sistemas de ciberseguridad, para limitar la exposición de datos críticos a "actores malignos" por la "falta potencial de cobertura de ciberseguridad". Si bien los que sigan usándolos, no se enfrentarán a castigos legales, asumirán los riesgos correspondientes y se les instará de manera muy tajante en que dejen de utilizarlo.

La prohibición de ventas de Kaspersky empezará el 29 de septiembre, 100 días después de la publicación oficial, para dar tiempo en las empresas a encontrar alternativas. Además, se bloquearán los nuevos negocios con Kaspersky 30 días después del anuncio de las restricciones. Los vendedores y revendedores que violen las restricciones enfrentarán multas por parte del Departamento de Comercio, y si alguien infringe deliberadamente esta prohibición, el Departamento de Justicia podría iniciar un caso criminal.

Kaspersky niega vínculos con el gobierno ruso

Kaspersky Lab ha declarado que es una empresa administrada de manera privada sin vínculos con el gobierno ruso. Pero la Comisión de Comercio también incluirá a la lista de entidades dos unidades rusas y una del Reino Unido de Kaspersky, a causa de su presunta cooperación con la inteligencia militar rusa para dar apoyo a los objetivos cibernéticos de Moscú. La compañía duda de que la decisión se haya tomado después de una investigación "independiente por un tercero", y cree que la Oficina de Comercio ha decidido prohibirlo "basándose en el clima geopolítico actual y en preocupaciones teóricas, en lugar de en la evaluación exhaustiva de la integridad de los productos y servicios". La compañía ha insistido que "Kaspersky no participa en actividades que amenacen la seguridad nacional de los Estados Unidos y, de hecho, ha hecho contribuciones significativas con sus informes y protección contra una variedad de actores de amenazas que tenían como objetivo los intereses de los Estados Unidos y sus aliados. La compañía tiene la intención de buscar todas las opciones legalmente disponibles para preservar las operaciones y relaciones actuales", ha señalado.

Presencia en el mundo y en Catalunya

Kaspersky, con sede principal en el Reino Unido y operaciones en Massachusetts, reportó ingresos de 752 millones de dólares en el 2022, provenientes de más de 220.000 clientes corporativos en unos 200 países. Entre sus clientes hay fabricantes como Piaggio y Volkswagen, y organizaciones como el Comité Olímpico de Qatar. Según informa 3Cat, algunas informaciones apuntaban que el año 2017 Catalunya era la comunidad autónoma con más contratos públicos con Kaspersky. Según la Agencia de Ciberseguridad de Catalunya, en el 2022, la presencia de Kaspersky en Catalunya estaba "por debajo del 4% del mercado de soluciones de antivirus del Estado", lejos de otros servicios antivirus.