Juego de Tronos, el Estado Islámico y los infieles, historias de ciberseguridad

“Robados los datos personales de más de 140 millones clientes de Equifax, un grupo crediticio americano”; “La naviera Maersk calcula que el ciberataque le costó entre 171 y 256 millones de euros”; “Selena Gomez sufre un ciberataque en Instagram y publican fotos íntimas de Justin Bieber”; “HBO sufre un ‘hackeo’ que afecta a material inédito de sus series”; “Lexnet, el sistema procesal del Ministerio de Justicia, sufre una oleada de ciberataques”; “Daesh lanzó un ciberataque el día de los atentados de París para restar operatividad a la Policía”… y así, un largo etcétera de titulares de medios alertando de ataques informáticos que cuentan en su enorme mayoría con un denominador común: el aprovechamiento de la vulnerabilidad del objetivo (empresa o particular) para obtener un beneficio de la víctima y causarle un perjuicio económico o reputacional mayúsculo.

Nada ni nadie se libra de los ciberataques en los tiempos que vivimos. Son ya el pan nuestro de cada día. Empresas colapsadas, series de televisión publicadas antes de su estreno, famosos que ven involuntariamente aireada su vida sexual, datos personales sensibles de usuarios publicados en la red, estrategias militares o policiales desveladas, etc. Los ciberataques han dejado de ser anécdota para convertirse en indeseada portada habitual de los medios.

Sólo por poner un ejemplo, los ciberataques masivos y a escala global de antes del verano, perpetrados a través de los virus WannaCry y Petya, secuestraron más de 350.000 operadores en cerca de 180 países, exigiendo el pago de un rescate por liberarlos. Son la gota que colma el vaso de la tranquilidad empresarial y pone en evidencia la vulnerabilidad de la sociedad digitalizada que habitamos. Hay sectores favoritos, pero no hay sectores olvidados, empresas de logística, telecomunicaciones, energéticas, aseguradoras, automovilísticas, de alimentación, jurídicos, constructoras, etc., han sido atacadas con daños desiguales: cierre temporal en algunos casos, sanciones económicas en otros y daños reputacionales en todos.

Los ciberataques son una realidad no impune, que confirma la necesidad de una legislación severa que castigue a quien de manera deliberada causa o intenta causar un daño a un tercero. Disponer de instrumentos normativos que permitan garantizar castigo a quienes causen daño a un tercero es una necesidad de cualquier sistema normativo actual. Pero esos instrumentos normativos no deben limitarse a sancionar económicamente al infractor, sino a imponer a quienes custodian datos e información de terceros o a quienes prestan servicios de naturaleza critica el establecimiento de medidas eficaces para proteger sus infraestructuras lógicas y sus sistemas de información.

Mapa con los países que se han visto afectados por el ciberataque
Mapa con los países que se han visto afectados por el ciberataque
(Malwaretech)

Afectados ante un ciberataque los hay de dos tipos: los directos y los indirectos. Sirvan dos titulares de hemeroteca para retratarlos:

1.- “Un ciberataque a la web de contactos para gente casada Ashley Madison ha dejado expuestos en Internet los datos personales y financieros de sus más de 37 millones de clientes”. Ahí tienen los primeros: hombres y mujeres casados a quienes el sitio web de contactos prometió confidencialidad y, sin embargo, vieron pronto cómo su identidad y voluntad adúltera quedaban desvelados, para desgracia personal y familiar.

2.- “Ejecutivos de Equifax vendieron sus acciones tras conocer el ciberataque”. Aquí tienen a los segundos, empresas y accionistas que sufren pérdidas de información, interrupción de actividades, pérdida de ingresos, daño a equipos informáticos, sanciones económicas o administrativas y daños reputacionales. Una empresa atacada es una empresa vulnerable y, por ende, menos atractiva.

Dicho esto, hablar de ciberataques y de cibereguridad a fecha de hoy -por lo mediático de la materia- no es nuevo para nadie, si bien los datos reflejan que no somos del todo conscientes de la magnitud de su impacto, tanto en términos económicos como en términos de derechos afectados.

Desde el punto de vista normativo, la ciberseguridad está siendo cada vez más objeto de regulación por parte de las autoridades a nivel internacional. En el ámbito europeo, tanto la Comisión Europea, como los distintos estados ya cuentan con normas especificas en materia de ciberseguridad.

Pero además, en España contamos con numerosa normativa que tiende a la protección del usuario frente a la utilización ilícita de sistemas informáticos, o cuando ha sido objeto de algún tipo de fraude, estafa o daño utilizando la red. El propio Código Penal castiga con penas de cárcel a quienes por cualquier medio y sin autorización borren, dañen, deterioren, alteren, supriman o hagan inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos. Ya ven, entrar en el ordenador de un tercero, en su smartphone o en su correo puede conllevar acabar con el trasero entre rejas. Por su parte, el nuevo Reglamento Europeo de Protección de Datos, exigible en España a partir del 25 de mayo de 2018, impone sanciones administrativas de hasta 20 millones de euros (o el 4% del volumen de facturación global de la compañía, la cifra que resulte mayor) a quienes incurran en infracciones en el ámbito del tratamiento de datos de carácter personal. No sólo eso, obliga a las empresas víctimas de ciberataques a comunicar cualquier brecha de seguridad a las autoridades de control y a los propios usuarios afectados. Que pregunten a las víctimas de algunos de los ciberataques más sonados de la historia (ebay, Sony Pictures, Citibank, Playstation Network, etc.) por los daños, despidos y consecuencias de toda índole sufridos tras la difusión pública de un incidente de seguridad en sus sistemas.

Una placa de circuito azul conectado a una CPU con un símbolo de IoT brillante en la parte superior de Internet concepto de ciberseguridad
Una placa de circuito azul conectado a una CPU con un símbolo de IoT brillante en la parte superior de Internet concepto de ciberseguridad
(BeeBright / Getty Images/iStockphoto)

Estas normas, cada día más finas en su redacción y calado, recogen igualmente los requisitos que a nivel de seguridad han de cumplir las compañías que recaban y tratan datos personales de terceros, con la finalidad última y prioritaria de garantizar la protección de los mismos, incluyendo expresamente entre dichas medidas de seguridad la necesidad de contar con tecnología que impida la captación de los datos por terceros y la concienciación entre los responsables del manejo de esos datos.

No en vano, el conocido como “error humano” es el gran enemigo en el ámbito de la ciberseguridad. Los mejores antivirus, firewalls, sistemas de protección perimetral de seguridad lógica, etc. se desvanecen ante la curiosidad del empleado que recibe un correo electrónico de origen desconocido, con nombre “nómina” y con resultado la parálisis de una compañía por la descarga de un troyano que pone en jaque a multinacionales que “olvidaron” actualizar el último parche de seguridad del fabricante de software de turno (la vida misma).

Malos tiempos para la lírica pero excelentes para los profesionales de la ciberseguridad, a quienes no faltarán retos y ocupación en los próximos tiempos: prevención, formación y respuesta, ésas se antojan ser las claves.

Loading...