El Centro Nacional de Seguridad Cibernética del Reino Unido, NCSC por sus siglas en inglés, ha advertido a los departamentos gubernamentales centrales de la administración británica sobre el uso de software ruso. En una carta dirigida a responsables de la administración, el propio director ejecutivo del organismo, Ciaran Martin, afirma que "Rusia está actuando en contra del interés nacional en el ciberespacio" y que es "un actor de ciberamenaza altamente capaz".

A pesar de asegurar que "las personas y organizaciones del Reino Unido no están siendo blanco activo del Estado ruso y es mucho más probable que sean blanco de los ciberdelincuentes", este alto funcionario afirma que Rusia "tiene la intención de dirigirse al Gobierno central del Reino Unido y a la infraestructura nacional". Dice que emplean "la cibernética como herramienta política, incluyendo espionaje, perturbaciones y operaciones de influencia".

Es entonces donde pone el acento en los antivirus que puedan estar usando los organismos gubernamentales británicos, especialmente en Kaspersky.

Kaspersky nuevamente bajo sospecha

El mismo día en el que se conoció la misiva de Martin, el NCSC publicó una guía sobre la gestión de los riesgos de los productos basados en la nube donde ofrece orientación sobre todo el software que se instala localmente e interactúa con el exterior. Su objetivo es, afirman en la introducción, que las organizaciones a las que se dirigen entiendan cómo funcionan estas aplicaciones y qué implicaciones de seguridad pueden entrañar, haciendo especial hincapié en antivirus.

Pese a ejemplificar los riesgos con esta clase de software, en este documento no se cita de una forma expresa a Kaspersky. Las sospechas veladas sobre el producto de procedencia rusa vienen del puño y letra del director ejecutivo.

El país específico que destacamos en este paquete de orientaciones es Rusia. [...] Al señalar esta orientación a su atención hoy, nuestro objetivo es permitir que los departamentos tomen decisiones informadas y basadas en el riesgo sobre su elección de proveedor de antivirus. A tal fin, aconsejamos que cuando se considere que el acceso a la información por parte del Estado ruso supondría un riesgo para la seguridad nacional, no se elija una empresa de antivirus con sede en Rusia.

La referencia indirecta a Kaspersky, en el ojo del huracán por haber sido señalada en varias ocasiones por el Gobierno de los Estados Unidos, se terminan de concretar con una afirmación: "Estamos en conversaciones con Kaspersky Lab, el mayor actor ruso del Reino Unido, sobre la posibilidad de desarrollar un marco en el que nosotros y otros podamos verificar de forma independiente".

Un guante que ha recogido Eugene Kaspersky, presidente y CEO de la compañía: "Estamos en contacto con respecto a nuestra iniciativa de transparencia y estoy seguro de que encontraremos la manera de trabajar juntos". Hace poco más de un mes, anunciaron que permitirán la revisión independiente de su código fuente por parte de autoridades reconocidas, pedirán a la comunidad de ciberseguridad testimonios sobre la validez de su software y ofrecerán recompensas más cuantiosas por encontrar vulnerabilidades en sus productos.

Reino Unido quiere verificar los productos de Kaspersky de forma independiente

A pesar de que las recomendaciones del Centro Nacional de Seguridad Cibernética del Reino Unido se dirigen exclusivamente a una parte concreta de la administración gubernamental del país y no al conjunto de los organismos o la ciudadanía, las advertencias han trascendido. Según recoge IT PRO, el banco Barclays ha dejado de regalar a sus clientes versiones del antivirus de Kaspersky como una decisión "de precaución", aconsejando a los que ya lo tienen pero no lo han instalado que busquen un proveedor alternativo.

