5 Oct 2017

Nos tomamos muy en serio la protección de nuestros usuarios y eso nos enorgullece

Tecnología

Los medios han vuelto a publicar una noticia sensacionalista en la que aseguran, entre otras cosas, que Kaspersky Lab ha ayudado a una agencia de inteligencia a conseguir información de otras agencias de seguridad mediante el ordenador personal de un trabajador. También nos acusan de ser “agresivos” con nuestros métodos para descubrir malware.

La primera afirmación parece sacada de una película de serie C y, adivinadlo… lo saben, de nuevo, por una fuente anónima. En el comunicado oficial hablamos de ello.

No obstante, no podría estar más de acuerdo con la segunda afirmación sobre nuestra búsqueda de malware. Somos totalmente agresivos detectando y eliminando las infecciones de malware sin importar de dónde provenga y llevamos 20 años haciéndolo con orgullo y es la razón por la que muchas veces nuestras soluciones son las mejores en las pruebas independientes que se realizan a las soluciones de seguridad. No pensamos disculparnos por ser agresivos en la batalla contra el malware y los cibercriminales, y tú no deberías conformarte con menos. Y punto.

Mientras protegemos a nuestros clientes, y al igual que otras empresas de ciberseguridad, comprobamos la salud de los ordenadores. Lo hacemos como unos rayos X; la solución de seguridad puede verlo casi todo para así identificar los problemas, pero no puede decir de quién es lo que ve. A continuación, explicaré lo que hacemos y lo que no para proteger a nuestros usuarios de los ciberataques.

Lo que hacemos
Cada día desarrollamos nuevos mecanismos de detección heurísticos y avanzados que clasifican los archivos sospechosos de malware y los envían para analizarlos mediante aprendizaje automático. Estos métodos están diseñados para centrarse solo en cierto tipo de datos: los que cuentan con características peligrosas para la salud del ordenador. Y el riesgo por los datos es lo único de lo que se preocupan estos métodos.

Nos centramos en ciberamenazas de perfil alto que tienen el potencial de alcanzar a muchos usuarios. Dichas amenazas son muy sofisticadas y pueden estar formadas por varios componentes que, a primera vista, no tienen por qué parecer maliciosos. Por favor, échale un vistazo a nuestra reciente historia sobre ShadowPad.

No ignoramos ningún tipo de amenaza e invertimos muchos recursos en sistemas que protegen a nuestros usuarios del malware para que sus ordenadores sean más seguros y puedan disfrutar sin tener que preocuparse por nada.

Si nuestras tecnologías detectan algo sospechoso que resulta ser un malware, en cuestión de minutos TODOS nuestros usuarios, sin importan quiénes sean ni dónde estén, estarán protegidos contra dicha amenaza. En los casos más serios, como plagas mundiales de malware del tipo de WannaCry y plataformas sofisticadas de ciberespionaje, como Equation, nuestros investigadores analizarán la amenaza en profundidad y publicarán los resultados, por lo que todo el mundo puede acceder a la información. Nuestra misión es asegurar la protección de nuestros usuarios y estamos comprometidos con la protección contra cualquier tipo de amenaza sin importar su origen y finalidad. Este es el principio fundacional de nuestra empresa y es por lo que pagan nuestros usuarios.

Esta es la única manera mediante la que nos ocupamos de las ciberamenzas y las nuevas acusaciones me parecen el producto de la imaginación de alguien que cogió el proceso que seguimos para abordar una amenaza para añadirle detalles ficticios. Listo, ya tenemos el guion de una película de serie C.

Lo que no hacemos
A más poder, más responsabilidad. Nunca minamos la confianza que nuestros usuarios nos dan. Si lo hiciéramos una sola vez, se sabría en toda la industria y nuestra empresa tendría que cerrar.

Para que comprendáis que algo así sería imposible en Kaspersky Lab y cualquier otra empresa de ciberseguridad importante, debéis comprender cómo funciona esta industria. Está compuesta, básicamente, por dos tipos de personas: en primer lugar, tenemos a los que hacen cosas malas para envenenar software y crear herramientas de espionaje, así como exploits, y para ayudar a los gobiernos con sus tácticas expiatorias.

En segundo lugar, tenemos a los que luchan por los usuarios, los que están de su parte y los protegen de los ataques; los que crean software para defender los ordenadores y que suponen un problema para las agencias de espionaje.

Es una separación fundamental de lo que es considerado como ético de una forma u otra, frente a la reputación, para decidir así lo que es correcto e incorrecto.

KL lleva luchando por sus usuarios durante 20 años. Fuimos pioneros con muchas tecnologías, como el aprendizaje automático o la seguridad en la nube, para así crear uno de los mejores productos de seguridad del mundo. Además, SOLO contratamos a personas con altos estándares éticos.

Cualquiera de nuestros expertos estaría de acuerdo con que no es ético abusar de la confianza de nuestros usuarios para facilitar el espionaje de los gobiernos. Y, aunque una o dos personas que crean lo contrario se infiltraran en la empresa, tenemos docenas de estrategias internas, tanto tecnológicas como de organización, para mitigar el riesgo y, además, alguno de nuestros más de 3.000 empleados se daría cuenta de algo sospechoso. Es imposible esconderse de todos.

Ahora lo complicado
Aunque disponemos de un equipo interno de seguridad y de programas bug bounty, no podemos garantizar al 100 % que no haya problemas de seguridad en nuestros productos, pero ¡ningún otro desarrollador podría estar seguro! El software lo crean lo crean las personas, y las personas cometemos errores. Así es la vida.

Ahora bien, si suponemos que lo que dicen es cierto: un hacker ruso explotó el bug del producto de Kaspersky que un usuario tenía en su PC y las agencias gubernamentales encargadass de la seguridad nacional lo sabían.  ¿Por qué no nos lo comunicaron? Parcheamos los errores más graves en cuestión de horas, así que ¿por qué no nos avisaron para que el mundo fuera más seguro? No se me ocurre ninguna justificación ética al respecto.

Al final, no consigo librarme de un pensamiento inquietante: no importa lo buenas que sean las tecnologías y las medidas de seguridad, la seguridad de millones de personas podría comprometerse con una simple memoria USB y un empleado desinformado.