Desmintiendo todas las acusaciones falsas sobre Kaspersky Lab

2 Feb 2018

Es posible que recientemente hayas escuchado rumores sobre Kaspersky Lab. El año 2017 no tuvo precedentes para nosotros: nunca hemos visto tantos artículos en los medios acusando a Kaspersky Lab de conducta indebida (y sin ninguna prueba fehaciente).

No sabemos quién está detrás de esto ni de dónde viene ese deseo por dañar a la empresa, pero está claro que tiene un propósito: arruinar la reputación de Kaspersky Lab como una de las empresas de ciberseguridad más reconocidas y fiables del mundo.

La mayoría de los artículos publicados aporta una información parcial, sin posturas alternativas y, aparentemente, sin deseo de contrastar los hechos. Ese tipo de cobertura no tiene nada que ver con el periodismo independiente, de hecho, se asemeja más a la propaganda. Alrededor del 80 % de los argumentos se basan en afirmaciones de fuentes anónimas o acusaciones falsas y solo un 20 % de la información es verdad. Este 20 % es clave para dar credibilidad a estas historias.

Para mostrarte lo que hacen y cómo lo hacen, te presentamos una serie de las acusaciones falsas más extendidas y las opiniones parciales sobre Kaspersky Lab que algunos periodistas utilizan con frecuencia y se prestan unos a otros. Así es como lo hacen.

Ficción: a través de los productos de Kaspersky Lab puedes buscar los ordenadores de los usuarios y robarles archivos

Realidad: los archivos de los ordenadores de los usuarios se suben en raras ocasiones y solo cuando son nuevos y se comportan de forma sospechosa. Las reglas de detección de amenazas, incluidas las que permiten dichas cargas, son las mismas para todo el mundo y cualquier parte interesada puede examinarlas revisando las actualizaciones de la base de datos.

La tecnología de Kaspersky Security Network (KSN) es una base de conocimientos en la nube que acumula datos sobre nuevas amenazas y archivos potencialmente maliciosos. Puede subir archivos sospechosos de los ordenadores de nuestros clientes a nuestros servidores para su análisis. Pero eso no significa que se pueda usar como una herramienta de acceso remoto o como un motor de búsqueda. Un analista no puede buscar en secreto entre los archivos aleatorios de los dispositivos de los usuarios. Cada regla de detección emitida está disponible para todo el mundo por una simple razón: proteger a nuestros clientes del malware.

También es importante tener en cuenta que, a diferencia de muchos otros productos en el mercado, los usuarios de Kaspersky Lab tienen control sobre el intercambio de datos. Su participación en KSN es voluntaria y pueden deshabilitar los informes de telemetría en cualquier momento.

Quizás la mejor ilustración de cómo funciona realmente la tecnología KSN es el incidente del código fuente del malware Equation (supuestamente relacionado con la NSA) que se cargó en nuestro servidor. Hace un par de meses explicamos cómo sucedió todo; para conocer la historia completa, mira esta publicación, pero este es el resumen:

  • Nuestro producto instalado en un ordenador detectó el malware Equation que ya conocíamos.
  • Utilizando tecnología de protección proactiva, nuestro producto también detectó otro archivo malicioso previamente desconocido que estaba en un archivo 7-Zip.
  • Nuestro producto envió este archivo 7-Zip a nuestros investigadores de antivirus para su análisis.
  • Resultó que, aparte de los ejecutables de malware, el archivo también contenía el código fuente del nuevo malware Equation (el cual eliminamos, solo necesitamos archivos ejecutables para la protección).

Lo más importante es que no registramos ese ordenador y mucho menos nos centramos en documentos específicos. Lo único que puede desencadenar la detección y la posterior carga de archivos es un archivo malicioso o potencialmente malicioso. Un estudio independiente demostrará pronto que así es cómo funciona exactamente la tecnología KSN.

Y, por último, todas las reglas de detección de amenazas en nuestros productos están a disposición del público y son visibles para todos. Entonces, cualquier regla como la descrita anteriormente puede ser revisada por terceros interesados.

Ficción: la oficina de Kaspersky Lab en Estados Unidos está a punto de cerrarse y solo queda un pequeño equipo

Realidad: Acabamos de terminar las reformas en nuestra sede de América del Norte, que se encuentra justo al norte de Boston, en Woburn, Massachusetts. Actualmente contamos con un equipo de 250 personas instaladas en modernas oficinas por toda América del Norte, incluida Canadá.

Además, el equipo de América del Norte se reunió recientemente con motivo de su evento anual, donde juntos, los miembros del equipo hablaron de los planes estratégicos para la región durante el 2018.

Ficción: Kaspersky Lab nunca investiga el ciberespionaje en ruso

Realidad: es muy fácil demostrar que Kaspersky Lab ha investigado docenas de amenazas con raíces en ruso. En nuestro Targeted Cyberattacks Logbook recopilamos todas las amenazas persistentes avanzadas (APT, la mayoría de las APT están conectadas con el ciberespionaje) que nuestro Equipo de análisis e investigación global ha estudiado. Selecciona el ruso en el apartado desplegable Language behind the APT para verlo.

Para ahorrarte la búsqueda, los expertos de nuestra empresa han publicado al menos 17 informes sobre ataques APT con idioma ruso en el código, incluidos RedOctober, Cloud Atlas, Epic Turla y muchos más.

En el Logbook, también puedes comprobar qué actores avanzados de habla árabe, china, inglesa, francesa, coreana y española han estudiado también nuestros investigadores. No nos importa qué idioma hablan los malos o para quién trabajan. Hacemos todo lo que podemos para proteger a nuestros clientes contra cualquier ciberdelincuente, independientemente de su origen o intención. A algunos pueden no gustarle Kaspersky Lab por este principio, pero nunca nos han detenido y nunca lo harán.

Ficción: todas las empresas en Rusia están bajo el control del KGB o el FSB. Kaspersky Lab es de Rusia, por lo tanto, también está bajo el control del KGB o el FSB

Realidad: a menudo interrumpimos operaciones y grupos de hackers, incluidos los realmente significativos, que supuestamente están conectados o son propiedad de los servicios de inteligencia rusos. De los APT de habla rusa que hemos investigado en los últimos años, dos merecen una atención especial: se cree que CozyDuke (también conocido como CozyBear o APT29) y Sofacy (también conocido como Fancy Bear o APT28) están vinculados a agencias de inteligencia rusas. Ten en cuenta que publicamos nuestra investigación sobre estos grupos en 2015.

De hecho, fuimos los primeros en informar sobre CozyDuke/CozyBear.

Un año después, en 2016, se encontraron herramientas maliciosas creadas por estos mismos actores en los ordenadores del Comité Nacional Demócrata (DNC) de Estados Unidos durante la investigación de ataques cibernéticos del DNC. Según los investigadores, los ataques comenzaron en 2015.

Si Kaspersky Lab estuviera controlado por la inteligencia rusa, ¿por qué nos permitirían publicar investigaciones sobre APT vinculadas presuntamente a la inteligencia rusa al mismo tiempo que estos grupos estaban hackeando supuestamente las elecciones estadounidenses?

Seamos claros: Kaspersky Lab no está bajo el control del FSB.

Ficción: los directivos de Kaspersky Lab son antiguos integrantes del KGB y no existe el concepto “antiguo integrante” cuando se trata del KGB

Realidad: en particular, aparecen de vez en cuando tres nombres en los medios cuando hablan de supuestos vínculos entre los directivos de Kaspersky Lab y el KGB. Estos nombres son: el CEO Eugene Kaspersky, el Director Jurídico Igor Chekunov y el Jefe de Operaciones Andrey Tikhonov.

En primer lugar, las relaciones con el KGB pueden ser muy dispares. Por ejemplo, Eugene Kaspersky se graduó de la escuela secundaria criptográfica del KGB, que ahora se llama Instituto de Criptografía, Comunicaciones e Informática, sin embargo, nunca sirvió en el KGB (o el FSB). También es importante tener en cuenta que Eugene creció en la era soviética, cuando casi todas las oportunidades educativas estaban patrocinadas por el gobierno de algún modo.

Igor Chekunov hizo su servicio militar obligatorio en el Servicio Fronterizo del Estado, que en aquellos tiempos era una división del KGB y Andrey Tikhonov trabajaba en una institución de investigación que estaba relacionada con el Ministerio de Defensa, pero no con el KGB.

En segundo lugar, Kaspersky, Chekunov y Tikhonov llevan años en la empresa, ya que era una pequeña empresa emergente en el área de la “seguridad antivirus”. Eso pasó unos 10 o 15 años antes de que la ciberseguridad cobrara tanta importancia y no fue de interés para el Kremlin, ni para Lubianka, ni para nadie más del ámbito. Sería extraño (y totalmente erróneo) asumir que estos ejecutivos se introdujeron en la directiva de la empresa para darle poder a los espías rusos en las acciones de Kaspersky Lab.

Ficción: Kaspersky Lab ayuda a las fuerzas del orden rusas durante las investigaciones, lo que significa que trabaja para el gobierno ruso

Realidad: Ayudamos a las fuerzas del orden a investigar delitos cibernéticos, pero no solo a las agencias rusas. También estamos abiertos a la colaboración con otros países. De hecho, brindamos asistencia a muchas fuerzas de seguridad en todo el mundo, así como a organizaciones internacionales como la Europol y la Interpol. Nuestros expertos tienen mucha experiencia en cómputo forense. Y Kaspersky Lab se beneficia de esta cooperación porque permite a nuestros investigadores reunir más información sobre las amenazas más recientes, lo que a su vez ayuda a mantenernos a todos protegidos.

Ficción: no habría tantas acusaciones si Kaspersky Lab no estuviera vinculado a los espías rusos

Realidad: no se han presentado pruebas creíbles de que Kaspersky Lab haya ayudado de forma inapropiada a las agencias de inteligencia rusas (u otras). ¿Por qué? En pocas palabras, no existe evidencia porque ni Kaspersky Lab ni su CEO tienen vínculos inapropiados con ningún gobierno.

Nunca hemos espiado ni espiaremos a nuestros usuarios. Tales acusaciones se basan siempre en información proporcionada por fuentes anónimas, que pueden tener un propósito oculto. Además, los artículos más recientes se basan en otros más antiguos que sugieren que estas acusaciones falsas son hechos probados, aunque no lo son y nunca lo serán.

Así es como funciona la propaganda: se cuenta la misma historia una y otra vez hasta que adquiere credibilidad. Cuando el río suena, agua lleva, ¿no? ¿Quién necesita pruebas, evidencias reales o incluso lógica?