kaspersky hack


A mediados del mes pasado saltaba la noticia: El Departamento de Seguridad Nacional de EE.UU. prohibía a las agencias gubernamentales usar el software de la multinacional rusa de ciberseguridad Kaspersky Lab debido a la posibilidad de que el Kremlin use a esa empresa para espiar a Estados Unidos (ES).

Han pasado ya unas cuantas semanas, y poco a poco vamos sabiendo más de cómo «en teoría» han comprometido la privacidad y seguridad de algunos de los sistemas de información del gobierno estadounidense. Básicamente, parece que alguien (presumiblemente ruso) habría conseguido aprovecharse de un bug en la herramienta de seguridad (EN), presente en muchos de los sistemas informáticos gubernamentales, para acceder a información confidencial.

Y aquí creo que está el quid de la cuestión. Lo explicaban de forma magistral los chicos de Kaspersky Lab en un artículo reciente (ES):

[…] Ahora lo complicado.

Aunque disponemos de un equipo interno de seguridad y de programas bug bounty, no podemos garantizar al 100 % que no haya problemas de seguridad en nuestros productos, pero ¡ningún otro desarrollador podría estar seguro! El software lo crean las personas, y las personas cometemos errores. Así es la vida.

Ahora bien, si suponemos que lo que dicen es cierto: un hacker ruso explotó el bug del producto de Kaspersky que un usuario tenía en su PC y las agencias gubernamentales encargadas de la seguridad nacional lo sabían.  ¿Por qué no nos lo comunicaron? Parcheamos los errores más graves en cuestión de horas, así que ¿por qué no nos avisaron para que el mundo fuera más seguro? No se me ocurre ninguna justificación ética al respecto.

Hay varios puntos interesantes en esta declaración en los que me gustaría profundizar.


La seguridad de una herramienta de seguridad

La primera y más obvia es que toda herramienta de seguridad no deja de ser una pieza de software, y por ende, está sujeta a los mismos problemas de seguridad que tiene cualquier otro software.

¿Que en una herramienta de seguridad esperamos que haya mayor control de seguridad? Por supuesto. Pero como bien dicen, el software lo crean las personas, y las personas cometen errores.

Y no solo eso, ese software debe convivir con un muy nutrido número de otras herramientas, en sistemas operativos múltiples y bajo escenarios que prácticamente son ilimitados (diferentes versiones, diferente hardware, diferentes usos…). Lo que de facto, y aunque Kaspersky, como presumiblemente todos los grandes del mundo de la seguridad, someten a sus herramientas a muchísimas pruebas antes de sacarlas al mercado (les va, literalmente, la vida en ello), hace que siempre haya un riesgo a considerar. Es imposible tener cerradas todas las casuísticas por las que un atacante podría acceder a sus sistemas. Lo que no quita que su labor sea minimizarlo lo máximo posible.

Un tema que, como ya comentamos en profundidad en su día, afecta a cualquier herramienta de seguridad, y que para según qué uso le vayamos a dar al dispositivo, hace que debamos plantearnos si tiene o no sentido.

Ya sabe que un servidor, en los dispositivos de uso personal que tengo, abogo por utilizar únicamente el software de seguridad propio del sistema operativo (caso aparte sería en el mundo profesional, ojo). Hace muchísimo más por la seguridad el que tengamos el sistema y el software convenientemente actualizado, y utilicemos estas herramientas con sentido común, que esperar que un software de terceros, aunque esté específicamente diseñado para ello, nos evite que seamos víctima de algún ataque.

Por otro lado, estas herramientas están enfocadas a minimizar los vectores de ataque habituales automatizando el parcheo de vulnerabilidades a las que quizás somos vulnerables debido a una política de actualización o uso inadecuada. Y a la vez, añaden más complejidad al sistema, por lo que como quizás ocurrió en este caso, pueden ser en sí mismas vectores de ataque (un software que para colmo tiene permisos de alto nivel).

Junto con todo esto, tenemos la segunda pata.


El negocio de las firmas de antivirus

Kaspersky, como el resto de grandes compañías de seguridad, vive gracias a la confianza que los clientes pueden depositar en sus productos. ¿Qué rédito iban a sacar dilapidando esa confianza por estar a bien con un gobierno en particular? 

Entendiendo que todas estas corporaciones se mueven por factores puramente económicos (queda muy bien decir que tu misión es hacer del mundo un lugar más seguro, pero al final lo que mueve a cualquier empresa son los billetes), ¿no tiene mayor impacto el volumen de negocio mundial que el que tengan en Rusia? ¿De verdad les saldría a cuenta enemistarse con el resto de occidente por quizás conseguir una posición preferente en un mercado específico?

Lo que más me preocupa de todo esto es que en efecto, si la agencia nacional de seguridad americana tenía constancia de ello, ¿por qué no simplemente alertaron a la compañía de estos 0-days?

Presuponiendo que el trabajo de los chicos de Kaspersky es ético, ¿es ético que no se avise al fabricante de software de errores que podrían estar comprometiendo la seguridad del resto de clientes? ¿De verdad queremos crear un ecosistema de conspiración donde por encima de los acuerdos económicos y del factor social tengamos otros geo-políticos?

No hay nada más interesante para una compañía de seguridad que poder sacar pecho al demostrarse que su sistema es de los más seguros que hay en el mercado. Y eso está por encima de cualquier interés que podría haber entre algunos «oficiales» de la compañía y X gobierno.

Al final quien dirige el camino de una gran corporación no son las cabezas visibles, sino todos los currantes que están por debajo. Esa masa de analistas y expertos en seguridad cuyo principal y único cometido es hacer más grande y mejor el software que están desarrollando. Que pueden tener una u otra ideología política, que pueden pensar de una u otra forma, pero que en conjunto (y estamos hablando de empresas con decenas o centenares de miles de trabajadores) el resultado es el que cabría esperar.

Por tanto le pediría que antes de caer en el titular fácil, se plantee si aquello que vemos como una conspiración puede ser otra cosa mucho más terrenal. El tiempo, como todo en esta vida, acabará por sacar a la luz la verdad, pero la Navaja de Ockham suele ofrecer, a priori, el mejor acercamiento posible ante cualquier conflicto.


Y lo mismo en este caso estamos ante uno de ellos: Llámelo fallo humano o error informático. Nada que no estemos hartos de ver cada día. Pero eso sí, proveniente de una compañía situada en un lugar que interesa marcar con una X en el mapa.