La Haya, 17 jul (EFE).- La empresa de gestión de contraseñas Passwork, usada por organismos públicos, universidades y empresas europeas, fue desarrollada en Rusia y tiene vínculos con el servicio secreto FSB, denunció este viernes el consorcio periodístico OCCRP tras investigar a la compañía, que se presenta como española de origen finlandés.
Passwork comercializa una "bóveda de contraseñas" para que los empleados almacenen claves de acceso de sus organizaciones.
En su página web se presenta como una empresa fundada en Finlandia en 2017, con sede actual en España, y detalla que su software está desarrollado en la Unión Europea (UE) y cumple con la legislación comunitaria sobre privacidad y ciberseguridad.
PUBLICIDAD
Sin embargo, OCCRP, con sede en Ámsterdam y socios en diferentes países europeos, asegura que el programa fue desarrollado en Rusia en 2014 y sigue comercializándose en ese país, donde da servicio a grandes empresas estatales como Gazprom y Transneft, además de a fabricantes de misiles sancionados por la UE, como Avangard y United Aircraft Corporation.
La investigación, que acusa a la empresa de ocultar intencionadamente sus orígenes para tener acceso a la UE, también revela que Passwork dispone de licencias concedidas por el Ministerio ruso de Defensa y el Servicio Federal de Seguridad (FSB), autorizaciones que, asegura, exigen facilitar al Estado ruso información detallada sobre el funcionamiento del software.
PUBLICIDAD
Según Bart van den Berg, investigador del instituto neerlandés Clingendael, esas licencias implican que las autoridades rusas podrían disponer de “un conocimiento muy detallado del software y sus vulnerabilidades”.
"Entregar a una empresa así las llaves digitales de tu casa no parece una buena idea. Es demasiado peligroso", afirma el experto, quien advierte de que las versiones europea y rusa del software son técnicamente similares, lo que permitiría explotar posibles fallos de seguridad contra organizaciones europeas.
PUBLICIDAD
Entre los usuarios identificados por la investigación está Novar, uno de los principales operadores de parques solares de Países Bajos, además de televisiones regionales y la empresa informática Lucrasoft, que instala el gestor de contraseñas en pequeñas y medianas empresas.
Novar forma parte de las infraestructuras críticas del país y es un objetivo sensible para potencias extranjeras, puesto que controlar un número suficiente de instalaciones solares podría facilitar un apagón eléctrico a gran escala.
Tras conocer los resultados de la investigación, Novar informó de que retiró inmediatamente Passwork de sus sistemas, sustituyó todas las contraseñas y notificó el incidente al Centro Nacional de Ciberseguridad neerlandés.
La investigación también identifica usuarios de Passwork en otros países europeos, entre ellos una empresa portuaria francesa, varios organismos públicos irlandeses, una administración regional alemana y la Universidad de Zúrich.
El director ejecutivo de la empresa, Alexander Muntyan, sostiene que opera de forma independiente desde España, usa servidores en Alemania y no comparte datos de clientes.
No obstante, OCCRP y sus socios concluyen que ambas versiones del software continúan siendo prácticamente idénticas y reciben actualizaciones al mismo ritmo, lo que mantiene las dudas de los especialistas sobre la separación efectiva entre las operaciones europeas y rusas. EFE
PUBLICIDAD