Datos confidenciales en juego tras la adquisición de Zivver

La adquisición de la empresa holandesa de seguridad Zivver por la estadounidense Kiteworks ha suscitado la ira y la preocupación de expertos en ciberseguridad, organizaciones gubernamentales y defensores de la privacidad. ¿Qué significa esto para la seguridad de las comunicaciones altamente sensibles, y hasta qué punto seguirá siendo fiable la protección si un servicio de este tipo acaba en manos extranjeras?

En ALTA-ICT lo sabemos: la confidencialidad, el cumplimiento de AVG/NEN/NEN7510 y la protección contra accesos no deseados no son un lujo, sino requisitos sólidos como una roca. En este artículo, exploramos qué implica exactamente Zivver, cuáles son los riesgos, qué deben hacer las organizaciones holandesas y qué aspecto tiene un enfoque estratégico.

Entregabilidad del correo electrónico – Evita problemas de spam con SPF, DKIM y DMARC

¿Qué está pasando?

Zivver, fundada en 2015 en Ámsterdam, ofrece servicios de comunicación cifrada (correo electrónico, chat, documentos) utilizados por organismos gubernamentales, hospitales, tribunales, etc.
Con la adquisición por Kiteworks, Zivver ha pasado a formar parte de una empresa estadounidense.
La dirección de Kiteworks está formada por varias personas con pasado en la unidad de inteligencia de élite de Israel (Unidad 8200).
Según Zivver, todos los datos de los clientes permanecen encriptados, los servidores permanecen en Europa y ellos mismos no tendrían acceso a las claves de encriptación.

Pero:

Follow the Money y expertos externos en ciberseguridad examinaron ejemplos en los que los mensajes y archivos adjuntos se enviaban a los servidores de Zivver en formato “plano”, legible , antes de que se produjera la encriptación.
Eso significa que, en ese momento, Zivver podría ver técnicamente el contenido, aunque Zivver afirme que no lo ve.
Como la empresa matriz está en EE.UU., los datos están sujetos a las leyes estadounidenses. Esto conlleva riesgos, especialmente en un momento de tensiones geopolíticas.

Riesgos para las organizaciones neerlandesas

El marco legal cambia
Dado que Kiteworks está domiciliada en Estados Unidos, las agencias gubernamentales estadounidenses pueden exigir el acceso o la supervisión en virtud de la legislación estadounidense. Aunque los datos se almacenen en Europa, la legislación estadounidense puede tener a veces más peso.
Incertidumbre sobre las afirmaciones de “conocimiento-cero”
Zivver afirma que no gestiona claves de cifrado, de modo que sólo el cliente tiene acceso. Sin embargo, las investigaciones demuestran que, en algunos casos de uso, los datos llegan a Zivver en formato legible, antes del cifrado. Esto significa: posible acceso por parte de la propia Zivver o, en teoría, de terceros dentro de la organización.
Riesgos geopolíticos y de seguridad
Los antecedentes en las FDI de dirigentes de Kiteworks (antes Accellion) suscitan dudas sobre posibles intereses o presiones de los servicios de inteligencia. En tiempos de tensión internacional, estas conexiones son delicadas.
Falta de supervisión o revisión previa
Según el artículo, la adquisición no se revisó con arreglo a la Ley de Revisión de Seguridad de Inversiones, Fusiones y Adquisiciones (Vifo), ya que Zivver no se considera una infraestructura vital. En consecuencia, no existe una evaluación formal de los riesgos que entraña esta adquisición.

¿Qué pueden hacer las organizaciones neerlandesas?

Como organización (gobierno, hospital, profesión jurídica, sector vital, etc.), considera los siguientes pasos para reforzar la seguridad de tus datos:

Auditoría de la seguridad actual: Haz una investigación independiente del flujo de datos, especialmente antes de la encriptación. ¿Los datos llegan a los servidores en forma legible?
Garantías contractuales: Pide acuerdos explícitos de nivel de servicio (SLA) y garantías contractuales sobre el cifrado, las claves de gestión, la ubicación de los servidores y quién tiene acceso a qué datos.
Prueba legal: Consulta el asesoramiento legal sobre cómo se aplican a tus servicios las leyes y normativas estadounidenses y europeas. Piensa en AVG, Schrems II, Ley CLOUD, etc.
Considera alternativas: ¿Existen proveedores totalmente europeos que cumplan la NEN7510, la ISO 27001 y no tengan propiedad extranjera con participación de los servicios de inteligencia?
Regulación y política: Fomentar una normativa que designe los servicios de encriptación como infraestructuras vitales, de modo que se pongan a prueba las adquisiciones y la inversión extranjera en estos sectores. Considera también requisitos de transparencia.

¿Cómo lo ve ALTA-ICT (nuestro enfoque)?

En ALTA-ICT, creemos que la confianza debe ganarse, pero verificarse. Nuestro enfoque incluye:

Trabajamos con certificación ISO 27001/NEN 7510 para regular estrictamente la gestión de datos, la encriptación y el acceso.
Auditorías técnicas y pruebas de penetración, incluyendo escenarios de “preencriptación”, para ver dónde hay fugas.
Documentación transparente sobre quién gestiona las claves, dónde se almacenan los datos, quién puede acceder a ellos y en qué circunstancias.
Simulaciones de escenarios y gestión de riesgos: ¿y si se invocan leyes extranjeras? ¿Cómo protegemos entonces los datos de forma eficaz?
Estrategias para reducir la dependencia de proveedores extranjeros si los riesgos de seguridad son inaceptables.

Conclusión

La adquisición de Zivver por Kiteworks plantea importantes cuestiones sobre la confianza, el marco jurídico y la realidad técnica de la seguridad de los datos. Para las organizaciones holandesas, ser notificado es estar protegido a medias. No debes limitarte a confiar en las reclamaciones, sino vigilar activamente, proteger y desplegar alternativas si es necesario.

¿Te gustaría explorar con ALTA-ICT cuál es la situación de tu organización en este ámbito y qué mejoras se pueden introducir? No dudes en ponerte en contacto con nosotros para una llamada de auditoría gratuita.

📞 Programa una auditoría gratuita: alta-ict.co.uk/free-consultation
📧 info@alta-ict.nl