Primero fue Estados Unidos, luego Reino Unido, Francia y Holanda. En todos estos países la confianza en las soluciones a las que confiaban su ciberseguridad fue decayendo hasta el extremo norteamericano, que vetó el uso de Kaspersky en las agencias gubernamentales. La guerra fría de bits había empezado.
Sin embargo, cuando parecía que las aguas empezaban a calmarse y Rusia se convertía en el foco de todas las miradas, pero en el sentido futbolístico eso sí; resulta que las aguas siguen muy movidas.
En esta ocasión el pleno del parlamento europeo ha votado una moción que entre otras cosas, urge a la Unión Europea «prohibir programas confirmados como malintencionados como los de Kaspersky Lab» en las instituciones.
Una amenaza sin precedentes, como la claridad de esta afirmación
La moción en cuestión es la A8-0189/2018, aprobada por 476 votos a favor, 151 en contra y 36 abstenciones, que versa sobre ciberdefensa de la Unión Europea reitera que «la Unión y sus Estados miembros se enfrentan a una amenaza sin precedentes en forma de ciberataques impulsados por Estados y con motivaciones políticas, así como de ciberdelincuencia y ciberterrorismo». Así pues, se acusa a estados, sin detallar cuales, de verdaderas maniobras lesivas para la seguridad europea, lo que es una afirmación grave y contundente.
Además continúa refiriéndose también a actores públicos y privados relacionados con la seguridad y textualmente pide: «Que la Unión que lleve a cabo una revisión exhaustiva de los programas, los equipos y las infraestructuras informáticas y de comunicaciones que se utilizan en las instituciones, a fin de excluir programas y dispositivos potencialmente peligrosos y prohibir aquellos que hayan sido confirmados como malintencionados, como los de Kaspersky Lab«. Extremo este, discutido, pues nunca antes la UE ha confirmado la malignidad de las soluciones del fabricante. Aunque era vox populi y los rumores siempre han estado, no existía una confirmación oficial.
Las implicaciones van mucho más allá de cambiar de proveedor
A pesar de ser una moción no vinculante es una declaración de intenciones muy severa y que seguramente tenga un enorme impacto en las actividades y protocolos tanto de la Unión como de la propia Kaspersky. De hecho la empresa rusa ya ha anunciado que congela relaciones con organizaciones europeas tras la aprobación de esta moción en la Eurocámara. Las implicaciones de este enfriamiento son enormes, por ejemplo interrumpe temporalmente la cooperación con Europol y #NoMoreRansom.
La polémica esta servida, si bien, cabe comprender que la ciberseguridad europea necesita estar en manos de agentes confiables y libres de sospecha que velen por los intereses comunitarios. Se confirme o no la maliciosidad de Kaspersky, la realidad es que ha perdido la confianza de cada vez más gobiernos. Ya vimos en el post guerra fría de bits que saber quién te protege y dentro de qué sistema político funciona o ante qué leyes es responsable se convierte en prioritario. Tenemos que asumir que los estados u organismos supranacionales van a exigir a sus empresas lealtad institucional. Y como responsables del marco político en que funcionan van a tener mecanismos de intervención en las mismas. ¿Quién prefieres que te espíe?¿Con qué garantías? He ahí la cuestión.
