El gobierno australiano ha ordenado la eliminación de todo el software y servicios web de Kaspersky Lab de los sistemas y dispositivos federales, citando mayores riesgos de interferencia extranjera, espionaje y sabotaje.
Emitida bajo la Dirección 002-2025 del Marco de Política de Seguridad de Protección (PSPF), la directiva requiere que las entidades no corporativas de la Commonwealth identifiquen y eliminen todas las instancias de productos Kaspersky antes del 1 de abril de 2025, al tiempo que prohíbe instalaciones futuras.
La secretaria de Asuntos Internos, Stephanie Foster, enfatizó que la decisión surgió de las preocupaciones sobre la «extensa recopilación de datos de usuarios» de Kaspersky y la posible exposición a «directrices extrajudiciales de un gobierno extranjero que entran en conflicto con la ley australiana».
El alcance y el propósito de la prohibición
La Dirección PSPF 002-2025 se aplica a todos los sistemas y dispositivos regidos por la Ley de Gobernanza Pública, Desempeño y Responsabilidad de 2013 (Ley PGPA), incluidos los dispositivos móviles, computadoras portátiles y hardware de terceros autorizados proporcionados por el gobierno.
La directiva cubre explícitamente los productos de seguridad de la información, las plataformas de inteligencia de amenazas y los servicios basados en la nube de Kaspersky, aunque excluye el software de terceros con código de Kaspersky integrado.
La evaluación de Foster destacó vulnerabilidades sistémicas vinculadas a las funciones de telemetría y análisis de datos de Kaspersky, que podrían exponer redes gubernamentales sensibles a «actores de amenazas transnacionales que buscan acceso no autorizado».
Esto se alinea con los temores globales sobre la integridad de la cadena de suministro de software y la soberanía de los datos. La prohibición de Australia sigue a medidas similares de Estados Unidos en 2024, que prohibieron a Kaspersky operar en América del Norte debido a presuntos vínculos con la inteligencia rusa.
Canadá y el Reino Unido también han restringido el uso de Kaspersky en infraestructura crítica, posicionando a Australia como la tercera nación de los Cinco Ojos en promulgar tales prohibiciones.
Exenciones y requisitos de mitigación
Se permiten exenciones limitadas para entidades involucradas en seguridad nacional, aplicación de la ley o funciones regulatorias, siempre que implementen estrictas mitigaciones de riesgos.
Estos incluyen segmentación de la red, monitoreo continuo y restricciones en los flujos de datos a los servidores de Kaspersky.
Las agencias que buscan exenciones deben presentar justificaciones detalladas a la Subdivisión de Política de Seguridad del Commonwealth antes del 15 de marzo de 2025 y someterse a auditorías trimestrales para garantizar el cumplimiento.
El Departamento del Interior ha instado a los operadores de infraestructura crítica y a los gobiernos estatales a adoptar salvaguardias análogas, enmarcando la prohibición como una “señal política” para reforzar las posiciones de ciberseguridad en todo el país.
Este aviso se extiende a los contratistas del sector privado que manejan datos gubernamentales, lo que refleja un mayor escrutinio de los riesgos de los proveedores externos.
La respuesta de Kaspersky y las implicaciones para la industria
Kaspersky Lab ha negado repetidamente las acusaciones de afiliación estatal, afirmando que sus operaciones siguen siendo independientes de la influencia gubernamental.
En su Informe de Sostenibilidad 2023, la compañía enfatizó su estrategia Cyber Immunity, que prioriza los principios de seguridad desde el diseño y las iniciativas de transparencia como auditorías de códigos de terceros.
A pesar de estas garantías, los gobiernos occidentales continúan expresando escepticismo, particularmente con respecto a la Ley Federal de Rusia, que exige la localización y el acceso a datos para las agencias de seguridad.
La prohibición subraya cambios más amplios en la política de ciberseguridad, en la que los países dan cada vez más prioridad a la verificación de la cadena de suministro y a las arquitecturas de confianza cero.
Los grupos de analistas predicen una adopción acelerada de alternativas como CrowdStrike, Palo Alto Networks y Microsoft Defender for Endpoint en todas las agencias australianas.
Mientras tanto, el énfasis de la directiva en el inventario de activos y la gobernanza de dispositivos no administrados se alinea con la Dirección 002-2024 del PSPF, que exige controles rigurosos de inventario de TI para los sistemas conectados a Internet.
La prohibición de los productos Kaspersky por parte de Australia refleja la escalada de tensiones geopolíticas y un cambio de paradigma hacia una ciberdefensa proactiva.
La prohibición, según sus partidarios, reduce las amenazas existenciales a la infraestructura del sector público, mientras que los críticos afirman que puede dañar las relaciones diplomáticas y restringir el acceso a medidas de seguridad asequibles. De cualquier manera, la era de la dependencia de software sin control parece haber terminado.
