Recientemente, una coalición de académicos y organizaciones que luchan por los derechos digitales publicaron una “carta abierta” a la industria Anti-Malware/Anti-Virus, y envió copias a cada una de las compañías incluyendo a ESET. La carta pide una clarificación sobre las políticas de cada empresa como también mayores precisiones sobre la cooperación con agencias gubernamentales y/o fuerzas de seguridad que utilicen troyanos financiados por el Estado.

ESET ha respondido a la carta y a continuación les copio una traducción de la misma:

11 de Noviembre de 2013

A quién corresponda:
(cc. Bits of Freedom)

Muchas gracias por su carta publicada aquí (https://www.bof.nl/livehttps://web-assets.esetstatic.com/wls/Letter-to-antivirus-companies-.pdf) y por su interés en nuestras políticas de detección.

Sus preguntas se basan en una especie de falacia lógica, en la que; hay demasiadas compañías Anti-Malware, demasiado dispersas –geográfica y políticamente – para que una agencia gubernamental (o cualquier gobierno) pueda confiar en todas ellas. No hay dudas que si las agencias pudieran insistir para obtener tal cooperación, lo harían pero solo los regímenes más draconianos pueden hacer eso, e inclusive que así fueran, sólo pueden hacer de manera local. ESET es una compañía global con equipos y recursos de investigación en diversas partes del mundo, y por lo tanto no está sujeta a una sola jurisdicción ni a un gobierno puntual.

De todos modos, ya que nos han dirigido estas preguntas públicamente, aquí están nuestras respuestas. La mayoría están tomadas de respuestas anteriormente brindadas ante preguntas similares:

•   ¿Alguna vez han detectado el uso de software por algún gobierno (o actor estatal) que tuviera propósitos de vigilancia?

Hay situaciones en las que sabemos que detectamos malware supuestamente utilizado por agencias gubernamentales, ya que después se conoce que ese era el propósito, tal como sucedió con el Troyano Win32/R2D2.A mencionado en los enlaces debajo.
De todos modos, en muchos casos, el análisis binario no nos dice exactamente porqué el malware fue plantado o por quién. Por lo tanto, no siempre sabemos cuándo detectamos un malware impulsado por algún Estado.
Sin embargo, desde nuestro punto de vista, el malware es malware, sin importar quien lo ha creado, y dedicaremos todos nuestros esfuerzos en detectar todo el software malicioso posible.

•   ¿Han sido contactados con la petición de un gobierno, solicitándoles que la presencia de un software específico no sea detectado, y en caso de ser detectado, que no sea notificado al usuario de su software? Y en ese caso, ¿pueden proveer información en la legalidad de este pedido, el tipo específico de software que se suponía que tenían que permitir y el período de tiempo que se suponía que deberían permitir?

Ninguna agencia gubernamental nos ha pedido que no detectemos ningún software específico, ni se nos ha solicitado que no notifiquemos de dicha detección a nuestros usuarios.

•   ¿Alguna vez han aceptado a dichos pedidos? Si lo han hecho, ¿pueden proveer la misma información solicitada en el punto anterior y las consideraciones que llevaron a la decisión de acatar el pedido realizado por el gobierno?

Dado que nunca ha existido un pedido de ese tipo, la situación nunca ha ocurrido.

•   ¿Podrían clarificar cómo responderían a dicho pedido en el futuro?

No prevemos ninguna circunstancia en la que cumpliríamos con ese tipo de pedido. Nuestra misión es permitir que todo el mundo pueda disfrutar de un mundo digital más seguro. Nuestro trabajo es detectar malware, y nuestros clientes esperan que nosotros podamos ocuparnos de ellos cuando lo encontramos. No hay tal cosa como un “buen” Troyano y que dicho código pueda volverse malicioso en las manos de delincuentes y terroristas.

No hay nada nuevo en nuestra postura, como pueden observar en los enlaces publicados por ESET sobre este tema que pueden encontrar listados aquí debajo:

/2012/08/31/finfisher-and-the-ethics-of-detection/
https://www.welivesecurity.com/2011/10/10/german-policeware-use-the-farce-er-force-luke
/2011/10/11/government-public-interest-and-trojans/
http://go.eset.com/us/resources/white-papers/Please_Police_Me.pdf

Y otros enlaces relevantes:
http://www.wilderssecurity.com/showthread.php?t=319731
http://www.wilderssecurity.com/showthread.php?t=5281
http://www.virusbtn.com/virusbulletin/archive/2007/04/vb200704-comment

Saludos,

Richard Marko, CEO, ESET
Palo Luka, CTO, ESET
Juraj Malcho, Chief Research Officer, ESET
Ignacio Sbampato, Chief Sales & Marketing Officer, ESET
Andrew Lee, CEO, ESET North America