El Gobierno de los Estados Unidos -a través del Departamento de Comercio- prohibió recientemente el software antivirus Kaspersky, lo cual provocó sorpresa, preocupación en materia de cumplimiento y la exigencia de la comunidad vinculada a la ciberseguridad de una acción rápida por parte de los responsables de infraestructuras de IT de ese país.
Los planes de la administración Biden se anunciaron el 20 de junio de 2024 y afectan a Kaspersky Lab Inc., sus filiales, subsidiarias y empresas matrices.
Como consecuencia de la prohibición de Kaspersky en Estados Unidos debido al “riesgo indebido o inaceptable para la seguridad nacional”, la compañía no podrá vender su software en ese país ni proporcionar actualizaciones al que esté operativo.
¿Por qué prohibieron Kaspersky en EE.UU.?
A raíz de la amplia ofensiva contra las amenazas a la ciberseguridad, la administración de Biden proscribió oficialmente la venta y actualización de todos los productos de software antivirus de la empresa rusa Kaspersky.
Esta medida fue anunciada por la Secretaria de Comercio, Gina Raimondo, el 20 de junio de 2024, quien expresó su preocupación por la seguridad nacional, en el sentido de que Kaspersky podría recopilar y acceder a información sensible de Estados Unidos.
En consecuencia, desde el 29 de septiembre de 2024 será ilegal comercializar productos de Kaspersky en el país norteamericano o proporcionar actualizaciones a cualquier instalación existente, lo cual implica -en definitiva- dar por terminada las operaciones de la empresa.
Adicionalmente, el Departamento de Comercio de EE.UU. incorporó a la Lista de Entidades (individuos, empresas y organizaciones extranjeras consideradas un problema de seguridad nacional, con restricciones de exportación y requisitos de licencia) a otras tres afiliadas a Kaspersky -dos en Rusia y una en el Reino Unido-.
Esto significa que dichas unidades participaron de actividades que comprometen o amenazan la seguridad nacional, a través de supuestas colaboraciones con la inteligencia militar rusa, según lo refleja la administración del país norteamericano.
Incluso Eugene Kaspersky, fundador de Kaspersky Lab, fue objeto de investigación por el software que implica un riesgo para la seguridad nacional debido a la potencial filtración de información privada y a la relación con el gobierno ruso.
Las acciones del Departamento de Comercio se basan en la percepción de que las operaciones de Kaspersky podrían estar influidas o directamente controladas por el gobierno ruso, lo que supondría una amenaza inaceptable para la seguridad de las infraestructuras estadounidenses.
En una firme refutación, Kaspersky negó cualquier delito o vínculo con el gobierno ruso y se comprometió a luchar contra estas restricciones a través de todas las vías legales disponibles.
Dicha prohibición de Kaspersky en Estados Unidos no es la primera; el Departamento de Seguridad Nacional de este país ya había proscripto el uso de sus productos antivirus en redes federales en 2017 por temas de seguridad similares.
El impacto de esta nueva medida se extiende más allá de las fronteras de EE.UU. al instar a todos los ciudadanos y empresas nacionales a suspender el uso de los productos de Kaspersky y a realizar la transición a proveedores alternativos para protegerse contra posibles brechas de seguridad a la vez de garantizar el cumplimiento de las directivas.
Una inmersión profunda en el marco de Gobernanza, Riesgo y Cumplimiento (GRC)
Implicancias del uso del software de Kaspersky para las empresas estadounidenses
La reciente prohibición de Kaspersky en Estados Unidos constituye un ejemplo de las estrictas exigencias y marcos legales que se imponen a las empresas locales para salvaguardar los intereses de la seguridad nacional.
Esta medida también involucra la investigación de las actividades de la empresa, como las funciones del Director de Operaciones y del Director de Desarrollo Comercial.
Impulsada por la Oficina de Industria y Seguridad (BIS - Bureau of Industry and Security) del Departamento de Comercio, las Regulaciones de la Administración de Exportaciones (EAR - Export Administration Regulation) también tienen otras implicancias.
Mientras tanto, los clientes actuales de Kaspersky podrán recibir actualizaciones del software y el antivirus hasta el 29 de septiembre, tras lo cual deberán cambiar a nuevas soluciones de seguridad para proteger sus datos y su privacidad.
Más allá de esta medida, los usuarios ya habían dejado de interesarse por sus productos: en junio de 2024, Kaspersky.com recibía más de 750.000 visitas de estadounidenses, lo cual supone un descenso del 50% desde su pico en enero de 2023, según lo refleja la empresa de estudio de tráfico Semrush. La marca (que contempla “Kaspersky”, “Kapersky” y otros nombres similares) se busca más de 70.000 veces al mes.
Leyes y reglamentos que afectan al cumplimiento
Las EAR, que incluyen específicamente la Lista de Entidades, impone condiciones para las empresas estadounidenses, obligándolas a obtener licencias específicas antes de exportar, reexportar o transferir artículos incluidos en dicha nómina.
Esto garantiza que las tecnologías sensibles no beneficien inadvertidamente a entidades que podrían suponer una amenaza para la seguridad nacional. En el caso de Kaspersky, se trata de una empresa que recibe influencias del gobierno ruso, lo cual conlleva riesgos significativos para la seguridad de Estados Unidos.
Por su parte, la Ley de Autorización de la Defensa Nacional (NDAA - National Defense Authorization Act), en su sección 889, prohíbe a las agencias federales tratar con cualquier entidad que utilice equipos de telecomunicaciones y vigilancia producidos por entidades incluidas en la lista.
A su vez, el Reglamento Federal de Adquisiciones (FAR - Federal Acquisition Regulation) orienta sobre los procesos de compra para evitar contrataciones con estas entidades, reforzando así las estipulaciones de la NDAA.
Y las autoridades de inteligencia desempeñaron un papel crucial en la prohibición de Kaspersky en Estados Unidos debido a estas preocupaciones de seguridad nacional.
Por último, la Ley de Intercambio de Información sobre Ciberseguridad (CISA - Cibersecurity Information Sharing Act) desempeña un papel fundamental al promover el pasaje de datos sobre amenazas a la ciberseguridad, lo que podría incluir interacciones en las que participan entidades incluidas en la lista. El Departamento de Comercio y las empresas matrices impulsan las acciones reguladoras para garantizar el cumplimiento y mitigar los riesgos.
10 normas de cumplimiento para lograr la seguridad y privacidad de las IT
Amplio impacto en la industria
El efecto dominó de esta normativa es muy grande, afectando a varios sectores como los que se enumeran a continuación:
- Tecnología y Telecomunicaciones: deben garantizar que ninguna herramienta o equipo incumpla las directrices estipuladas.
- Defensa y Sector Aeroespacial: la atención se centra en el acatamiento estricto para evitar cualquier violación del control de las exportaciones que comprometa la seguridad nacional.
- Semiconductores y Electrónica: este sector se enfrenta a las complejidades de los controles a la exportación para mantener las operaciones sin fisuras a través de las cadenas de suministro globales.
- Energía y Servicios Públicos: con el énfasis en la seguridad de las infraestructuras críticas, estas industrias están reguladas para evitar cualquier adquisición de tecnologías que puedan plantear riesgos.
- Salud y Productos Farmacéuticos: el uso de tecnologías y datos sensibles exige el cumplimiento de los controles de exportación para evitar cualquier infracción.
- Servicios Financieros: el cumplimiento de este sector es crucial para garantizar transacciones financieras seguras y medidas sólidas de ciberseguridad.
Estados Unidos presentó un riesgo para la seguridad nacional debido al potencial de explotación de empresas rusas como Kaspersky, que podría dar lugar al robo de datos, espionaje y mal funcionamiento del sistema.
Aspectos básicos de la gestión de vulnerabilidades
Acciones para garantizar el cumplimiento normativo
Para enfrentarse a este complejo panorama normativo, las empresas están tomando las siguientes medidas proactivas:
- Selección de proveedores: una elección rigurosa de prestadores para evitar el contrato con entidades incluidas en la lista.
- Concesión de licencias: para las transacciones en las que participan entidades de la nómina.
- Controles internos: para supervisar continuamente el cumplimiento de la normativa.
- Formación y concientización: para mantener informados a los empleados sobre la importancia crítica de estas normativas y su papel en el acatamiento.
Alternativas al software de Kaspersky
La prohibición de Kaspersky en Estados Unidos impulsa a las empresas a optar por otros proveedores de soluciones de ciberseguridad. Aquí una nómina comparativa en la que se detallan algunos de los principales prestadores, productos y países de origen. Y si necesitas más información, consulta esta guía sobre alternativas al software de Kaspersky.
Esta lista incluye un amplio espectro de opciones de distintos orígenes geográficos, lo que garantiza que las empresas puedan elegir soluciones que se ajusten a sus necesidades específicas de seguridad y a los requisitos de cumplimiento de la normativa.
Cada una de estas compañías ofrece un conjunto de productos diseñados para estar protegidos frente a una amplia gama de ciberamenazas, desde malware y phishing hasta amenazas avanzadas y ransomware.
Al seleccionar un proveedor alternativo a Kaspersky, es esencial considerar tanto las características del producto, como los detalles del cumplimiento de las normas internacionales y su reputación en el sector de la ciberseguridad.
Cómo controlar el uso del software de Kaspersky en tu organización
Ante la normativa vinculada a la prohibición de Kaspersky en Estados Unidos, las organizaciones deberán identificar y gestionar el uso de dicho software.
Una manera eficaz de garantizar el cumplimiento es utilizar herramientas de Gestión de Activos como InvGate Insight, con capacidades para monitorear y controlar la utilización de la solución proscripta.
Veamos en detalle qué puede hacer por ti la plataforma en este escenario en particular.
1. Identificación del software de Kaspersky
El inventario completo de activos de IT de InvGate Insight proporciona una visión completa de todo el software instalado en tu organización. En particular, nuestro módulo Software Compliance es capaz de identificar fácilmente las licencias de Kaspersky que se encuentran en tu red.
Se trata de un paso crucial para garantizar que no queden restos del software sin detectar, lo que potencialmente podría dar lugar a problemas de cumplimiento.
2. Eliminación de las soluciones de Kaspersky Labs
Una vez que descubriste las licencias de Kaspersky Inc. en tu infraestructura de IT, el módulo Software Deployment de InvGate Insight permite desinstalarlas en bloque.
Solo debes ejecutar un script para eliminar la solución de Kaspersky Lab de tu perímetro de seguridad.
3. Instalación del software alternativo
Del mismo modo que desinstalaste el antivirus Kaspersky, puedes desplegar su sustituto ejecutando un script en todo tu inventario de dispositivos.
De esta forma, volverás a cumplir la normativa en un abrir y cerrar de ojos, y sin esfuerzo manual.
4. Configuración de alertas y reportes
Para seguir cumpliendo con la normativa, configura alertas de monitoreo para identificar si el antivirus vuelve a tu red. Esta función te permite personalizar un panel de control para detallar el descubrimiento, el uso y la eliminación de cualquier tipo de software prohibido.
De este modo, actuarás sobre el problema en cuanto aparezca, evitando riesgos por incumplimiento y garantizando la adhesión a las normativas más recientes.
Conclusión
La prohibición de Kaspersky en Estados Unidos, que comienza a aplicarse el 29 de septiembre de 2024, implica que esta firma ya no puede vender ni actualizar sus productos dentro de dicho país.
Así que si todavía utilizas esta solución como antivirus, te recomendamos buscar alternativas desde ahora para solucionar el problema lo antes posible.
InvGate Insight te ayudará a ejecutar el cambio: solicita nuestra prueba gratuita de 30 días para conocer la forma de hacerlo.
Preguntas frecuentes
¿Kaspersky funciona en EE.UU.?
Por ahora, sí. Pero el gobierno de EE.UU. anunció que a partir del 29 de septiembre de 2024 será ilegal vender sus productos o proporcionar actualizaciones de cualquier instalación existente en el país.
¿Es seguro utilizar Kaspersky en Estados Unidos?
El Gobierno de Estados Unidos afirma que la empresa Kaspersky, de propiedad rusa, supone “un riesgo indebido o inaceptable para la seguridad nacional”, debido a supuestas colaboraciones con la inteligencia militar rusa.
Por este motivo, el Departamento de Comercio prohibió la venta y actualización de todos los antivirus en el país, a partir del 29 de septiembre de 2024.
¿Kaspersky sigue siendo una empresa rusa?
Sí, Kaspersky es una empresa de propiedad rusa. Tiene su sede en Moscú y es operada por un holding en el Reino Unido.
¿Por qué el gobierno estadounidense lo prohibió?
Estados Unidos prohibió Kaspersky porque considera que la empresa provoca riesgos para la seguridad nacional debido a las acusaciones por filtración de información privada y por sus vínculos con el gobierno y los servicios militares rusos.
¿Debo eliminar Kaspersky?
Si tu organización o empresa tiene su sede en EE.UU. debería eliminar todos los productos de Kaspersky antes del 29 de septiembre de 2024, ya que será ilegal operar con ellos en el país después de esa fecha.
¿Qué países lo prohibieron?
EE.UU. prohibió los productos y actualizaciones de Kaspersky en todo el país a partir del 29 de septiembre de 2024.
