[21/06/2024] Ayer, la Oficina de Industria y Seguridad (BIS, por sus siglas en inglés) del Departamento de Comercio anunció una Determinación Final que prohíbe a Kaspersky Lab, Inc., la subsidiaria estadounidense de una empresa de software antivirus y ciberseguridad con sede en Rusia, proporcionar directa o indirectamente software antivirus y productos o servicios de ciberseguridad en los Estados Unidos o a personas estadounidenses. La prohibición también se aplica a las filiales, subsidiarias y empresas matrices de Kaspersky Lab, Inc. (junto con Kaspersky Lab, Inc.).
Esta acción es la primera de su tipo y es la primera Determinación Final emitida por la Oficina de Tecnología y Servicios de Información y Comunicaciones (OICTS) del BPI, cuya misión es investigar si ciertas transacciones de tecnología o servicios de información y comunicaciones en los Estados Unidos representan un riesgo indebido o inaceptable para la seguridad nacional. Kaspersky ya no podrá, entre otras actividades, vender su software dentro de los Estados Unidos o proporcionar actualizaciones de software que ya esté en uso.
Además de esta acción, el BIS agregó tres entidades, AO Kaspersky Lab y OOO Kaspersky Group (Rusia), y Kaspersky Labs Limited (Reino Unido), a la Lista de Entidades por su cooperación con las autoridades militares y de inteligencia rusas en apoyo de los objetivos de inteligencia cibernética del Gobierno ruso.
"La Determinación Final y la Cotización de Entidades de hoy son el resultado de una investigación larga y exhaustiva, que encontró que las operaciones continuas de la compañía en los Estados Unidos presentaban un riesgo para la seguridad nacional, debido a las capacidades cibernéticas ofensivas del gobierno ruso y la capacidad de influir o dirigir las operaciones de Kaspersky, que no podía abordarse a través de medidas de mitigación que no fueran una prohibición total”, sostuvo la secretaria de Comercio, Gina Raimondo, en el comunicado.
La determinación recomienda encarecidamente a las personas y empresas que utilizan el software de Kaspersky que realicen una transición rápida a nuevos proveedores para limitar la exposición de datos personales u otros datos confidenciales a actores malignos debido a una posible falta de cobertura de ciberseguridad. "Las personas y empresas que continúen utilizando los productos y servicios existentes de Kaspersky no se enfrentarán a sanciones legales en virtud de la Determinación final. Sin embargo, cualquier persona o empresa que continúe utilizando los productos y servicios de Kaspersky asume todos los riesgos de ciberseguridad y los riesgos asociados al hacerlo”, señala el comunicado.
Con el fin de minimizar las interrupciones para los consumidores y las empresas de EE. UU. y darles tiempo para encontrar alternativas adecuadas, la determinación del Departamento permitirá a Kaspersky continuar con ciertas operaciones en los Estados Unidos, incluido el suministro de actualizaciones de firmas antivirus y actualizaciones de la base de código, hasta las 12:00 a. m., hora de verano del este (EDT) del 29 de septiembre del 2024.
"La Administración Biden-Harris está comprometida con un enfoque de todo el gobierno para proteger nuestra seguridad nacional y superar a nuestros adversarios. Rusia ha demostrado una y otra vez que tiene la capacidad y la intención de explotar a las empresas rusas, como Kaspersky Lab, para recopilar y convertir en arma información confidencial de Estados Unidos, y continuaremos utilizando todas las herramientas a nuestra disposición para salvaguardar la seguridad nacional de Estados Unidos y al pueblo estadounidense. Esta acción, nuestro primer uso de las autoridades ICTS del Departamento de Comercio, demuestra el papel del Departamento de Comercio en apoyo de nuestra defensa nacional y muestra a nuestros adversarios que no dudaremos en actuar cuando el uso de su tecnología represente un riesgo para los Estados Unidos y sus ciudadanos".
"Ya sea que esté comprando en línea o enviando un correo electrónico, los estadounidenses necesitan saber que pueden confiar en la seguridad de sus dispositivos", dijo el secretario de Seguridad Nacional, Alejandro N. Mayorkas. "Las acciones tomadas hoy son vitales para nuestra seguridad nacional y protegerán mejor la información personal y la privacidad de muchos estadounidenses. Continuaremos trabajando con el Departamento de Comercio, funcionarios estatales y locales, y operadores de infraestructura crítica para proteger los sistemas y activos más vitales de nuestra nación".
El BIS ha determinado que Kaspersky representa un riesgo indebido o inaceptable para la seguridad nacional por las siguientes razones:
- Jurisdicción, control o dirección del Gobierno ruso: Kaspersky está sujeto a la jurisdicción del Gobierno ruso y debe cumplir con las solicitudes de información que puedan conducir a la explotación del acceso a información confidencial presente en dispositivos electrónicos utilizando el software antivirus de Kaspersky.
- Acceso a información confidencial de clientes de EE. UU. a través de privilegios administrativos: Kaspersky tiene un amplio acceso y privilegios administrativos sobre la información de los clientes a través de la provisión de software antivirus y de ciberseguridad. Los empleados de Kaspersky podrían transferir datos de clientes estadounidenses a Rusia, donde el gobierno ruso podría acceder a ellos según la ley rusa.
- Capacidad u oportunidad de instalar software malintencionado y retener actualizaciones críticas: Kaspersky tiene la capacidad de usar sus productos para instalar software malicioso en las computadoras de los clientes de EE. UU. o para denegar actualizaciones de forma selectiva, lo que deja a las personas y la infraestructura crítica de EE. UU. vulnerables al malware y la explotación.
- Integración de productos de Kaspersky por parte de terceros: El software de Kaspersky se integra en productos y servicios de terceros a través de la reventa de su software, la integración de su software de ciberseguridad o antivirus en otros productos y servicios, o la concesión de licencias de software antivirus o de ciberseguridad de Kaspersky con fines de reventa o integración en otros productos o servicios. Las transacciones de terceros como éstas crean circunstancias en las que se desconoce el código fuente del software. Esto aumenta la probabilidad de que el software de Kaspersky se introduzca involuntariamente en dispositivos o redes que contengan datos altamente confidenciales de personas estadounidenses.
La respuesta de Kaspersky
Kaspersky publicó también que está al tanto de la decisión del Departamento de Comercio de los Estados Unidos de prohibir el uso del software de Kaspersky en los Estados Unidos, y señaló que la decisión no afecta la capacidad de la compañía para vender y promover ofertas de inteligencia de amenazas cibernéticas y/o capacitaciones en los EE. UU. A pesar de proponer un sistema en el que la seguridad de los productos de Kaspersky podría haber sido verificada de forma independiente por un tercero de confianza, Kaspersky sostiene en el comunicado que cree que el Departamento de Comercio tomó su decisión basándose en el clima geopolítico actual y las preocupaciones teóricas, en lugar de en una evaluación exhaustiva de la integridad de los productos y servicios de Kaspersky.
La compañía señaló que Kaspersky no participa en actividades que amenacen a los ciudadanos de EE. UU. seguridad y, de hecho, ha hecho contribuciones significativas con sus informes y protección contra una variedad de actores de amenazas que tenían como objetivo los intereses de EE. UU. y Aliados. La compañía tiene la intención de buscar todas las opciones legalmente disponibles para preservar sus operaciones y relaciones actuales.
Según lo señalado en el comunicado, el principal impacto de estas medidas será el beneficio que brinden a la ciberdelincuencia. "Cooperación internacional entre expertos en ciberseguridad es crucial en la lucha contra el malware y, sin embargo, esto restringirá esos esfuerzos. Además, nos quita la libertad que consumidores y organizaciones, grandes y pequeñas, deben utilizar la protección que quieren, en este caso obligarlos a alejarse de la mejor tecnología antimalware en la industria, según pruebas independientes. Esto causará un dramático disrupción para nuestros clientes, que se verán obligados a reemplazar urgentemente la tecnología que prefieren y en los que han confiado para su protección durante años”, señaló la empresa.
Franca Cavassa, CTOPerú