El servicio secreto suizo tenía contactos con empresas rusas. Esto también tenía ventajas.

Lo que Kaspersky publicó hace diez años tenía un potencial explosivo. La empresa rusa de seguridad informática publicó detalles sobre un malware tecnológicamente extremadamente sofisticado, dejándolo inutilizable. Una agencia de inteligencia occidental había utilizado el malware para sus actividades de espionaje. Los objetivos incluían las conversaciones nucleares con Irán y la propia empresa rusa Kaspersky. Y Suiza estaba en medio de todo.

En la primavera de 2015, se celebrarán en Lausana y Ginebra conversaciones de alto nivel sobre un acuerdo nuclear con Irán. Participarán Estados Unidos, Rusia, China y Alemania. Lo que los diplomáticos discuten en las salas de conferencias de los lujosos hoteles suizos es de gran interés para un país que no está en la mesa: Israel.

Por lo tanto, el país lanzó una campaña de espionaje. Los atacantes penetraron los sistemas informáticos de los hoteles utilizando el malware Duqu 2.0, un sofisticado software que pocos países podían desarrollar.

El Servicio Federal de Inteligencia (NDB) creó un equipo cibernético en la primavera de 2015. Comenzó a investigar la operación de espionaje. Según una fuente, el NDB colabora con Kaspersky Lab, que previamente había detectado Duqu 2.0 en sus sistemas. El NDB logró asegurar numerosos ordenadores infectados en tres ubicaciones. La Fiscalía Federal inició un proceso, que posteriormente fue archivado . Sin embargo, se dice que Suiza intervino ante Israel por vía diplomática.

Este incidente supuestamente marcó el inicio de una colaboración entre el FIS y la firma de seguridad informática Kaspersky, que duró varios años. En particular, el jefe del equipo de ciberseguridad del FIS y un contacto de confianza en Kaspersky mantenían varios contactos. Se cree que este contacto era el antiguo jefe del departamento de investigación y análisis de Kaspersky, un respetado especialista en seguridad informática que trabajó en Kaspersky hasta 2023 y, cabe destacar, es de Rumanía, no de Rusia.

Hoy, diez años después, esta cooperación con Kaspersky es objeto de críticas. La SRF ha tenido acceso a un informe de investigación confidencial del Servicio Federal de Inteligencia (NDB) que aborda las actividades del equipo cibernético. La investigación de la SRF da la impresión de que el equipo cibernético, y en especial su líder, mantenían vínculos con Rusia e incluso podrían haber cooperado con los servicios de inteligencia rusos.

Pero esta perspectiva no es convincente. Varios expertos en seguridad informática, en declaraciones a NZZ, cuestionaron la interpretación de SRF. No consideran que la colaboración con Kaspersky sea fundamentalmente problemática. Los hechos que SRF ha hecho públicos también dejan muchas preguntas sin respuesta. Las fuentes de las acusaciones, que SRF ha adoptado, no son imparciales.

En general, parece plausible una afirmación completamente diferente: la colaboración con Kaspersky podría haber sido muy beneficiosa para Suiza. Así lo demuestra un análisis de los puntos controvertidos.

Las empresas de seguridad informática son socios atractivos para las agencias de inteligencia. Las empresas privadas suelen identificar operaciones cibernéticas de estados o delincuentes antes que la mayoría de las agencias de inteligencia. Además, poseen información que puede combinarse con otros datos para crear un panorama más amplio. Por lo tanto, el intercambio de información resulta atractivo para ambas partes.

Kaspersky, fundada en Moscú en 1997, se convirtió rápidamente en una de las empresas de seguridad informática y proveedoras de software antivirus más importantes. Gozaba de una sólida reputación técnica. Durante mucho tiempo, sus publicaciones también se centraron en las operaciones cibernéticas de los servicios de inteligencia rusos. Kaspersky publicó extensamente sobre el grupo Turla, perteneciente al Servicio Federal de Seguridad (FSB), así como sobre APT 28, una unidad cibernética de la agencia de inteligencia militar GRU.

Por lo tanto, es comprensible que la FDB comenzara a colaborar en el sector del ciberespacio no solo con empresas occidentales, sino también con Kaspersky, a partir de 2015. Aunque Rusia se había anexionado la península ucraniana de Crimea el año anterior, Occidente solo impuso algunas sanciones como resultado. El conflicto abierto entre Moscú y Occidente aún no había estallado.

Al mismo tiempo, ya era evidente en 2015 que Kaspersky podría tener ciertos contactos con el estado ruso, sin ser necesariamente una empresa fachada de los servicios de inteligencia rusos. Empleados individuales podrían, oficial o extraoficialmente, transmitir información y servir como fuentes para los servicios rusos.

Estas conexiones no solo existen en Rusia u otros estados autoritarios. Es probable que empresas estadounidenses de ciberseguridad como Crowdstrike y Microsoft también mantengan contactos, al menos aislados, con agencias de inteligencia estadounidenses. Por ejemplo, resulta sorprendente que las empresas de seguridad estadounidenses prácticamente nunca publiquen detalles técnicos sobre operaciones cibernéticas estadounidenses o de otros países occidentales. Es bastante improbable que esto se deba a que no observan dichas actividades.

Al trabajar con empresas privadas de seguridad informática, es fundamental considerar los riesgos. Obtener información sobre operaciones cibernéticas y grupos de ataque de estos proveedores no presenta problemas, y compartir información tampoco suele suponer un riesgo para la seguridad.

La mayor amenaza proviene del software que estas empresas de seguridad ofrecen para defenderse de los ataques. El cliente debe instalar este software en sus sistemas y otorgarle amplios permisos. Esto permite que un atacante lo utilice como puerta trasera a los sistemas en cuestión. Sin embargo, en el caso de NDB, este software de seguridad no intervino porque el gobierno federal no lo instaló.

Según SRF, el NDB también mantuvo contacto con otras dos empresas vinculadas a Rusia. SRF considera esta cooperación una prueba más de la implicación del NDB en un asunto relacionado con Rusia. Sin embargo, las conexiones con los dos proveedores de servicios de servidores, según lo descrito por SRF, parecen no haber presentado problemas.

El NDB recibió repetidamente datos de los servidores de una empresa, cofundada por dos rusos. Según un informe interno del NDB, esta segunda empresa era la principal fuente de información del equipo cibernético. Esto podría deberse a que, según SRF, hackers rusos utilizaban frecuentemente los servidores de la empresa. El dinero también fluyó del NDB a esta segunda empresa a través de Kaspersky.

Sin embargo, estos hechos no indican ninguna proximidad del equipo cibernético con Rusia. Todo lo contrario. El NDB parece haber obtenido información sobre actores rusos a través de las empresas, lo cual podría haber sido importante para su trabajo. El hecho de que hubiera dinero involucrado respalda esta interpretación. Es una práctica común que las agencias de inteligencia paguen a sus fuentes por su información. El NDB incluso tiene permitido explícitamente hacerlo por ley .

Quizás el aspecto más intrigante de la investigación de la SRF sea la advertencia enviada al NDB por un servicio aliado. En septiembre de 2018, un servicio occidental asociado, cuyo nombre no se ha revelado, informó al NDB de que la agencia de inteligencia militar rusa GRU poseía "información clasificada" que un empleado del NDB presuntamente transmitió a través de la empresa Kaspersky.

La información confidencial presuntamente se refiere a agentes rusos que estuvieron en La Haya en marzo de 2018. Las circunstancias exactas de la transferencia de datos son tan confusas como la naturaleza de la información. Esto dificulta una evaluación. Sin embargo, también existen explicaciones plausibles para este incidente, sin necesidad de atestiguar una conducta dudosa por parte del Servicio Federal de Inteligencia.

En septiembre de 2016, el GRU llevó a cabo un ciberataque contra funcionarios de la Agencia Mundial Antidopaje (AMA) en un hotel de Lausana. El FIS, con sus expertos en ciberseguridad, logró identificar posteriormente a los dos agentes que habían viajado a Suiza para la operación de espionaje. Esta información ayudó a los Países Bajos a descubrir en abril de 2018 a cuatro agentes del GRU que habían planeado un ataque contra la Organización para la Prohibición de las Armas Químicas (OPAQ) en La Haya. Dos de ellos eran los agentes de Lausana.

La información que fluyó desde Suiza al GRU parece estar relacionada con este caso. Por lo tanto, parece muy improbable que un empleado del FIS, o incluso el jefe del equipo cibernético, espiara en nombre de Rusia y transmitiera la información al GRU. Al fin y al cabo, el propio equipo cibernético había desempeñado previamente un papel clave en la exposición de los agentes del GRU. Además, los datos claramente no constituían una advertencia para el GRU. De lo contrario, el GRU no habría enviado a sus agentes a La Haya en la primavera de 2018.

Existe otra explicación para que la información del FIS se transmitiera al GRU a través de Kaspersky. Gracias a su colaboración con Kaspersky, el FIS podría haber compartido con la empresa de seguridad informática indicadores técnicos del ataque de Lausana, como direcciones IP, direcciones de correo electrónico o fragmentos del malware. Kaspersky también investigó sobre el grupo APT 28 del GRU.

Compartir dicha información conlleva cierto riesgo. En el caso de Kaspersky, el FIS debe asumir que la información podría ser transmitida a las autoridades rusas. Al mismo tiempo, como empresa rusa, Kaspersky podría tener información interesante que podría ayudar al FIS a identificar a los agentes involucrados en el ataque a la AMA.

Otra pregunta es si la información ya se consideraba sensible al momento de compartirse. Esto no fue necesariamente así con los indicadores técnicos. Es posible que solo más tarde, debido al contexto del GRU, la información adquiriera la explosividad que llevó al servicio asociado del FIS a emitir una advertencia.

Algunos servicios aliados occidentales consideraron al equipo cibernético de la FDB un problema. Este hallazgo se deduce de la investigación de la SRF. Entre 2018 y otoño de 2020, dos servicios de inteligencia aliados intervinieron en varias ocasiones, quejándose del supuesto "intercambio ilegal de datos" y del comportamiento comprometedor del líder del equipo cibernético. No está claro qué pretendían decir exactamente con esto.

Al parecer, ambas agencias llegaron incluso a amenazar al Servicio Federal de Inteligencia con poner fin a su cooperación si el jefe del equipo cibernético continuaba en su puesto. En la primavera de 2021, el empleado en cuestión fue despedido y trasladado a otro puesto dentro del gobierno federal .

El motivo esgrimido en aquel momento para la salida fue que el FIS había recibido y procesado información cibernética durante años sin la base legal necesaria. Ahora parece probable que la intervención de los servicios asociados extranjeros contribuyera, al menos, al despido del empleado.

La pregunta crucial es qué motivó las amenazas extranjeras. El hecho de que la colaboración del NDB con Kaspersky fuera una molestia para los servicios asociados no prueba que se cometieran irregularidades. Razones políticas o la insatisfacción con el intercambio de datos, generalmente más abierto, con empresas privadas también podrían haber sido determinantes.

Se desconoce qué dos países intervinieron en Berna. Sin embargo, es plausible que Estados Unidos u otro país de la alianza de inteligencia Five Eyes estuvieran involucrados. Las relaciones entre Estados Unidos y Kaspersky se deterioraron significativamente a partir de 2017. En ese momento, Estados Unidos decidió prohibir el software antivirus en las agencias gubernamentales debido a una supuesta filtración de datos del ordenador privado de un empleado .

En la primavera de 2018, Kaspersky publicó detalles técnicos sobre una ciberoperación llamada "Slingshot". La operación fue llevada a cabo por el ejército estadounidense , que la había utilizado durante años para recopilar información sobre terroristas en miles de dispositivos en Oriente Medio y África. Con esta publicación, Kaspersky expuso la operación, posiblemente como una respuesta deliberada a la prohibición. Estados Unidos no quedó nada satisfecho.

En este contexto, no parece descabellado que Estados Unidos u otros estados occidentales como Israel quieran impedir que el NDB coopere con Kaspersky. Quizás por una preocupación genuina ante una posible filtración de datos a Rusia, pero quizás también por consideraciones fundamentalmente políticas.

Lo que está claro en todo caso es que las acusaciones realizadas por los servicios de inteligencia extranjeros no constituyen una prueba independiente de que los empleados de la FDB actuaron realmente con negligencia o incluso en contra de los intereses de Suiza.

Con base en los datos disponibles, es imposible realizar una evaluación concluyente de la labor del NDB. Es bien sabido que el equipo cibernético del NDB careció durante años de una base legal adecuada para sus acciones. Sin embargo, esto se debió principalmente a un fallo de liderazgo .

Los fragmentos del informe confidencial del NDB, que SRF está haciendo públicos, ofrecen información interesante. Sin embargo, no permiten una evaluación clara de los hechos. Inventar un "asunto ruso" a partir de la información disponible, como SRF está haciendo con tanta vehemencia, parece arriesgado.

Es por tanto mucho más probable que los acontecimientos, de los que sólo se conocen algunos detalles, puedan explicarse mediante procedimientos normales de inteligencia en el ámbito cibernético.