Kaspersky antivirus “confirmado como malicioso” por la UE.

Según la Unión Europea, el software de Kaspersky Lab (y su antivirus) es malicioso. Así, literalmente. Ya no puede ser utilizado en sus instituciones oficiales. Se le aparta y ya no es una herramienta bienvenida. El último capítulo de una leyenda y extraño efecto dominó de acusaciones que, como bola de nieve, ha tomado tracción en los últimos años. Como en el imaginario cinematográfico durante la guerra fría de los 80, los rusos son los “sospechosos habituales”. Pero (como también se desprendía de “Juegos de guerra” en los 80), seguir presionando en esta contienda de tensiones reprimidas, culmina en un juego en el que no solo no hay ganadores, sino que todos pierden. Porque en un mundo de malware globalizado, descartar una tecnología como la de Kaspersky (que como tal, es neutra) no parece buena idea.

¿Qué ha pasado?

El Parlamento Europeo ha votado a favor de una moción relativa a la normativa en ciberdefensa en la que, literalmente, se puede leer:

76. Calls on the EU to perform a comprehensive review of software, IT and communications equipment and infrastructure used in the institutions in order to exclude potentially dangerous programmes and devices, and to ban the ones that have been confirmed as malicious, such as Kaspersky Lab;

Una frase que empieza bien, pero acaba raro. Obviamente es necesario que la comunicación e infraestructura en las instituciones excluya programas potencialmente peligrosos, y que se eliminen los confirmados como tal. Hasta ahí, correcto. Pero el ejemplo explícito de Kasperksy Lab (que incluye lógicamente su antivirus) levanta alguna que otra ceja. Suena a una constatación innecesaria en ese contexto. “Malicioso” es una palabra muy fea. Podríamos pensar que:

  • Es malicioso porque contiene actividad maliciosa en su código. Pero, podría apostar fuerte por ello, no parece el caso. Hubieran sido descubiertos, y no se juegan su prestigio por algo tan peregrino como código dañino en un producto así.
  • Se considera malicioso porque a un antivirus se lo das todo. Confías a nivel técnico y estratégico. Confías porque tiene todo el poder sobre la infraestructura, y confías a nivel estratégico porque le estás dando la potestad de decidir qué es bueno y qué es malo en tu equipo. Puede ser un guardián eficaz, pero ¿y si está entrenado por alguien del que no te fías y que puede llegar a influir demasiado en él?

Creemos que se trata del segundo supuesto, pero entonces no es que sea malicioso, sino que es inadecuado para unos intereses concretos. Y, al contrario que el malware, esto es bastante más subjetivo. En resumen, lo que se quiere decir con esa frase, no es que el problema esté en el software, sino evidentemente, de dónde viene. Lo que quieren decir es que no les gustaría que la información que tiene que utilizar un antivirus para realizar su trabajo, vaya a los servicios de inteligencia rusos y puedan usarla en su contra. O también teme que se sigan patrióticas instrucciones del gobierno Ruso para crear malwareque Kaspersky no detecte a propósito, y espiar al resto que lo utiliza como herramienta protectora. Y es que Kaspersky podría, como antivirus instalado en una institución, además incluso tener acceso privilegiado a otro potencial malware creado por terceros. Imaginemos que alguien ataca a esa institución con un sofisticado APT. Kaspersky podría jugar con ventaja y cazarlo, estudiarlo, analizarlo y utilizar esa información como arma de espionaje incluso sin avisar al propio afectado.

Y esto es lo que se ha votado en el Parlamento Europeo. No tanto sobre el software malicioso (en una horrible elección de adjetivos) sino que las herramientas de vigilancia contra el software malicioso, deben provenir de fuentes fiables. Y ¿qué es “fiable”? Puedes ser fiable tecnológicamente, pero no geoestratégica o políticamente. Y en el fondo, esta afirmación mancha la reputación de una tecnología, que, como tecnología, siempre es neutra. Lo que es inocuo para algunos, será mal visto por otros. Y así, perdemos todos.

No solo se renuncia al software

Como es lógico, la reacción de Kaspersky no se ha hecho esperar. Dejan de colaborar con la Europol y con NomoreRansom.org (organización en la que ElevenPaths también colabora). Con la renuncia a su software, a su tecnología, también se renuncia a sus conocimientos y experiencia. Y es que Kaspersky no es solo un antivirus con uno de los motores más potentes sino que es un laboratorio donde se detecta, investiga, y analizan las amenazas más relevantes de los últimos años. Desde Stuxnet, pasando por DuquCaretoTheFlame… En los últimos años, se ha convertido en una de las pocas casas de antivirus capaz de poner el foco en el software como sistema de espionaje, la ciberguerra, donde no todos los analistas pueden arrojar luz. Como afirman, venían colaborando con Europol y han ayudado a desenmascarar a cibercriminales de carne y hueso, además de campañas muy sonadas. ¿Otros podrán hacerlo? Sin duda. Pero Kaspersky lo hacía ya muy bien, y (como demostró con su experimento de 2010), es un claro referente tecnológico para otras casas antivirus. Se rompe así un equilibrio que no sabemos dónde acabará y, sobre todo, si aporta un beneficio mayor que la situación actual. 

De dónde viene esto: 2010, un pequeño experimento

En la votación del Parlamento Europeo, hablando de “software malicioso” han manipulado el lenguaje. Han usado, siendo claros, la confusión como argumento. Pero esto viene de lejos… Kaspersky siempre estuvo en la polémica. Por empezar por algún sitio (y sin ánimo de ser exhaustivo), Kaspersky siempre ha sido claramente un referente en el mundo de la detección estática en casas antivirus. Y lo demostró con un experimento realizado en 2010. Creó unos cuantos ficheros benignos e hizo que su motor se detectara en VirusTotal como malware. Era una mentirijilla, un “falso positivo” controlado para ver cómo reaccionaban el resto de casas. Diez días después, 14 motores más detectaban este “no malware“, en un efecto dominó que dejaba claro quién se fijaba en quién a la hora de marcar con una firma un supuesto malwareHicieron público el experimento y denunciaron la situación, no sin cierta polémica. Este juego, aunque sirviese como muestra, no “demostraba” por sí solo. Además empañaban la imagen de cara a los usuarios y desacreditaba en cierta manera la función de una herramienta de seguridad no infalible pero sí imprescindible para muchos.

De dónde viene esto: 2014, un primer golpe técnico

Kaspersky fue atacado y el atacante vivió en su red durante un buen periodo de 2014. En 2015, cuando descubrieron que llevaban meses con sus sistemas intervenidos y en un elogiable trabajo de transparencia, publicaron detalles muy concretos del ataque sin mencionar en ese momento que fueron los israelíes, como más tarde se confirmaría.

De dónde viene esto: 2015, un segundo golpe al prestigio
Dos antiguos trabajadores de Kaspersky acudieron a Reuters para denunciar (de forma anónima) que cuando trabajaban en el laboratorio Kaspersky mantenía un plan a gran escala mucho más sutil y maquiavélico que el anterior experimento puntual de 2010, para que los competidores cayeran en el falso positivo detectando ficheros importantes y/o comunes como malware. Microsoft, AVG y Avast confirmaron que, efectivamente, observaron estas tácticas de inducir a detectar falsos positivos pero quizás no solo de Kaspersky. Obviamente, ellos lo negaron.

De dónde viene esto: 2017, todo mal viene de Rusia

Comenzó el año con la acusación de espionaje y ciberataques por parte de Rusia a las elecciones de EEUU. A Kaspersky aquí no se le atribuía ninguna responsabilidad, pero el incidente ayudó a dibujar a los rusos en general (y cualquier herramienta suya) como un actor importante que ya aprovechaba las redes como armas donde influir políticamente.

A finales de 2017 el New York Times publicaba un reportaje con un título que ya juzgaba a los actores: “How Israel Caught Russian Hackers Scouring the World for U.S. Secrets”. Afirma que espías israelíes detectaron a agentes del gobierno Ruso (espías), buscando en una especie de “buscador de malware” perteneciente a Kaspersky nombres de programas de inteligencia americano (tipo EternalBlue, para entendernos) y documentos clasificados. Espías israelíes vigilando a espías rusos que vigilaban a espías estadounidenses. Los israelíes avisaron a los estadounidenses y en septiembre de 2017 se decretó a Kaspersky como sistema de protección prohibido entre las agencias de inteligencia americanas. Kaspersky obviamente negó que ofreciera estos “servicios” a la inteligencia rusa y a partir de aquí, mucha especulación, porque nunca se evidenció nada. En realidad, nunca se ha mostrado una sola evidencia final de todo esto.

Kaspersky se vio obligada a reaccionar. Lanzó su iniciativa de transparencia. En ella, fundamentalmente pondría a disposición de terceros el código de sus herramientas para que fuesen auditadas. Las injerencias rusas en todas las votaciones (tanto las de final de 2017 en Estados Unidos como incluso las españolas) también se hicieron populares. Rusia y el cibermal parecen ya una misma cosa en el imaginario colectivo.

De dónde viene esto: 2018, la desconfianza salta el charco

Ganada ya la desconfianza de Estados Unidos tras las elecciones y el choque diplomático entre servicios de inteligencia, avivado el intento de desprestigio entre las propias casas antivirus (a pesar de ser técnicamente reconocida) a través de una confesión anónima de dos supuestos extrabajadores, la desconfianza salta el charco. A finales de 2017, el Reino Unido también prohíbe el uso de Kaspersky en entornos secretos. Es totalmente legítimo verificar la seguridad de las herramientas a las que confías tu seguridad, pero el efecto dominó continúa sin pruebas. A mediados de 2018 el gobierno holandés se une al pacto y ahora, como hemos mencionado, toda la Unión Europea.

Durante 2018, como parte de su iniciativa de transparencia y tras los comentarios de los holandeses, Kaspersky mueve su central a Zurich para intentar desvincularse de Rusia… conocedores de que las tensiones políticas relativas a su conexión con el bloque soviético son el centro de todos los rechazos.

Conclusión

Como en las parejas de enamorados, cuando la confianza se rompe, poco importa todo lo demás. Las habilidades técnicas no pueden borrar una herida (fundada en hechos o no) que tiene otro origen mucho más oscuro. Todos quieren pensar que Kaspersky está al servicio de su país, y no solo de sus dueños técnicos o estratégicos. En tiempos de revival de guerra fría, se trata de llevar el conocido argumentario, cercano a la propaganda (verdades a medias, o mentiras totales), al plano de la ciberseguridad.

Pero no estamos en los 80, sino en un mundo mucho más conectado y globalizado. ¿Tiene sentido una “ciberguerra fría”? En un mundo globalizado, tanto un malware como una peligrosa vulnerabilidad puede acabar en segundos en manos de los analistas, y de ahí a proteger a otros clientes porque precisamente, así nos protegen mejor a todos, gracias a la inteligencia colectiva de los “end point security”. Y Kaspersky siempre ha sido un importante actor en todo este ecosistema global, tanto en el plano de la inteligencia como técnico. Como ocurre en la economía global, se supone que podría ser un estímulo para un mundo mejor bajo un capitalismo ideal… Pero no, la globalización es despiadada. En la vida real, esos ficheros, documentos, o exploits detectados, las “ciberarmas” vuelan en segundos hacia sistemas centralizados, y de ahí en manos de “cualquiera”… incluso en manos de quien no confías. Así que, en un mundo global, volvemos a los aranceles, a los recelos. Son los pros y los contras del mundo de las ciberarmas y el malware globalizado. Igual que la globalización económica que en un principio se funda bajo lo que se suponen argumentos bienintencionados, en el fondo esconde algunos aspectos que no son tan beneficiosos.

Por otro lado, si Kaspersky retira su apoyo y deja de investigar, ¿quién los reemplazará? ¿Y si los sustitutos están también sometidos a presiones políticas que le obligan de alguna manera a ofrecer favores a cambio? ¿Están todas las casas antivirus preparadas desde el plano técnico para soportar esa responsabilidad? ¿El golpe económico que esto supone para la compañía, minará sus capacidades de protección para el resto del mundo? ¿Quién gana y quién pierde? Volvemos a bascular, de un plano técnico hacia otro político, en donde las respuestas comienzan a ser más polémicas y discutibles. Porque a nivel político no existe un única y correcta verdad. Este es un viejo dilema y no se está descubriendo nada nuevo en realidad: hablamos del mundo de la seguridad “física” de toda la vida, trasladado a la red, a las armas inteligentes y sus controversias. Aunque todo sea dicho: por fin, la ciberseguridad en las agendas políticas y gubernamentales. 

Sergio de los Santos
Innovación y laboratorio