Por qué es tan peligroso que Kaspersky Lab ceda su código fuente al gobierno de los EE.UU.

El Senado de los Estados Unidos emitió una propuesta la semana pasada según la cual utilizar software de empresas rusas en agencias gubernamentales debería estar prohibido omitido en un caso: el que esas empresas cedan su código fuente.

Los ciberataques que se están produciendo en los últimos meses han desatado una especie de histeria colectiva que ha puesto ahora en aviso a empresas como Kaspersky Labs. Su CEO, Eugene Kaspersky, indicó su manifiesto buena disposición para ceder ese código fuente y poder así seguir haciendo negocios en los Estados Unidos, pero todo esto suena a poco que ya vimos en países como China. Los peligros son obvios.

Las “tensiones tecnológicas” crecen

Jeanne Shaheen, miembro demócrata del Congreso por el estado de New Hampshire, explicaba en ABC News que hay ya consenso en este organismo a la hora de considerar que “no se puede echarse en brazos en Kaspersky Lab para proteger infraestructuras críticas“.

Kaspersky

Los potenciales lazos entre esta empresa y el gobierno ruso ha disparado las alarmas tras ciberataques como los que pudieron condicionar los resultados electorales que dieron como presidente a Donald Trump el año pasado. La influencia de estos ataques es cada vez veterano y el impacto de malware como WannaCry o el reciente NotPetya (que según Ucrania, igualmente procedía de grupos de ciberatacantes en Rusia) comienzan a condicionar el futuro de todo tipo de empresas tecnológicas a la hora de hacer negocios en otros países.

Como indican en Gizmodo, el ministro de comunicaciones ruso, Nikolay Nikiforov, ha advertido de que esas “sanciones políticas unilaterales” tendrían su contrapartida por parte de Rusia, cuyas agencias hacen uso de un gran número de soluciones hardware y software procedentes de empresas tecnológicas de Estados Unidos.

Ceder el código fuente, mala idea

Ceder el código fuente de estas herramientas plantea amenazas evidentes: ya no es la empresa la que controla por completo el ampliación de esas aplicaciones y servicios, y agencias gubernamentales y de inteligencia podrían utilizar ese código para explotar vulnerabilidades que ni siquiera podrían suceder sido descubiertas por las empresas que desarrollan esos productos.

Shadow

No estamos hablando de ciencia ficción: las filtraciones de Shadow Brokers han demostrado cómo la NSA tenía en su poder un completo relación de vulnerabilidades y exploits con los que les era posible infiltrarse en todo tipo de sistemas informáticos.

Algunos de ellos, de hecho, han completo utilizándose como pilares de los recientes WannaCry y NotPetya que hemos mencionado, y esas amenazas dejan claro el tipo de amenazas que pueden surgir si ciertas entidades logran explotar esos problemas de seguridad.

Estados Unidos sigue el ejemplo de China y Rusia

En Rusia igualmente se han emitido propuestas similares para que empresas extranjeras con productos software cedan el código fuente de sus aplicaciones si no quieren evitar perder negocio en este país. Symantec declaró recientemente que esta actos “pone en riesgo la integridad de nuestros productos”, pero otras como IBM, Cisco, HP o McAfee sí que han poliedro ataque a este tipo de código a las agencias rusas.

Source

De hecho en el Congreso de los Estados Unidos debería echar un vistazo a la hemeroteca reciente: varias empresas tecnológicas como Intel, Microsoft o IBM se opusieron recientemente a compartir el código fuente de sus desarrollos software con el gobierno chino.

El coloso oriental emitió hace unos meses una nueva regulación de ciberseguridad que obliga a quienes quieran hacer negocio con ellos desvelar el código fuente de sus productos, y eso ha puesto entre la espada y la horma a muchas empresas.

Lógicamente todas ellas saben que tienen un negocio potencial increíble en China, pero quieren defender su propiedad intelectual. Irónicamente, es Estados Unidos la que ahora pide que empresas como Kaspersky Labs hagan lo mismo.

¿Open Source como opción?

Muchos podrían sugerir la comparación con desarrollos Open Source en los que el código fuente siempre está a disposición de todos, pero lo cierto es que el enfoque de estas empresas con su código propietario y el que quieren imponer países como Estados Unidos, China o Rusia no tiene tantas semejanzas como podría parecer.

Opensource

De hecho, la diferencia fundamental es que ese código fuente estaría solo accesible a personal especializado de esas agencias gubernamentales, y no sería “código abierto” como lo conocemos. Serían esas agencias las que lo analizarían para validar que no amenaza la integridad de los sistemas de información en los que se aplica, pero el resto de usuarios y empresas que utilizan esas aplicaciones seguirían sin ataque a ese código.

Opacidad casi total que haría que uno de los principios del software exento —cualquiera puede analizar el código y encontrar vulnerabilidades, y cualquiera puede corregirlas (o aprovecharlas)— no se cumpliese en estas exigencias en las que ese código se comparte de una forma muy singular y muy poco transparente.

Eso hace pensar en la posibilidad, claro, de portar a soluciones Open Source para solucionar el problema. En Rusia, de hecho, parece que se lo están planteando: la dependencia de empresas como Oracle o IBM hizo que a finales del año pasado se buscaran alternativas basadas en Open Source y adaptadas por programadores locales.

El propio Vladimir Putin recomendaba optar por soluciones “domésticas”, y puede que el uso de herramientas de código campechano sea para estos países una interesante vía de escape ahora que las suspicacias y las tensiones en este ámbito están llegando a un punto especialmente delicado.

En Xataka | Más de 5 mil millones de documentos y 229 empresas afectadas: así han sido los mayores robos de datos de la historia


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales