,

Ciberataque: La Responsabilidad de la víctima

El ciberataque ocurrido este viernes 12 de mayo donde instituciones de más de 150 países se vieron afectadas, es clara señal de los riesgos y amenazas a los que están expuestas todas las organizaciones e individuos actualmente conectados a Internet, sin importar el tipo de industria, actividad o el giro de negocio a que se dediquen.  Para este tipo de ataques son tan apetecibles el sector público como el privado, y no se repara tampoco en el tamaño de la institución, ni en el número de personas afectadas, porque ya sea para uno o para un billón de individuos, el no poder acceder a su información en un momento determinado, genera gran afectación.

¿Pero qué tipo de ataque fue éste?  El ataque del viernes fue de uno de tipo “ransomware”, lo que en términos sencillos podríamos traducir como “secuestro de información”.  ¿Cómo funciona?  Para efectos explicativos baste con decir que el atacante aprovecha una vulnerabilidad de un sistema o aplicación de la plataforma informática de la víctima, que le abre la posibilidad de infiltrar e instalar subrepticiamente, aplicativos de encriptación de información.  Es decir, el atacante aprovecha una debilidad informática e instala programas que le permiten convertir en ilegible la información capturada, a fin de que su titular o cuidador, no pueda interpretarla y, por ende, devenga inservible.  ¿Qué se busca con esto?  Lo que en todo secuestro: ¡Pedir Rescate!  A la víctima se le confiere cierto tiempo para que entregue la suma que se le solicita a cambio de volver la información a un estado legible, plazo pasado el cual, se pierde la información para siempre.  Valga la pena decir, que al igual que en cualquier otro tipo de secuestros, tampoco es seguro que, pagando el rescate solicitado, se logre acceder la información o devolverla a su estado anterior.

¿Puede evitarse este tipo de ataques?  Probablemente sea cada día más difícil, no sólo por el nivel de profesionalización de los distintos atacantes, sino también porque entre otras cosas, cada vez compartimos más información, tenemos más y más dispositivos interconectados, utilizamos múltiples aplicativos cuya inocuidad no ha sido suficientemente analizada, y desdibujamos además, las fronteras entre lo personal y lo corporativo, todo lo cual genera un aumento exponencial en nuestros riesgos y consecuentes niveles de vulnerabilidad.  Ello no quiere decir, claro está, que ante este sombrío panorama la opción que tengamos sea la de quedarnos cruzados de brazos, de hecho, la única opción inviable es precisamente ésta, porque ello supondría no haber tomado los recaudos necesarios para contener o administrar los riesgos involucrados, lo que necesariamente terminaría por generar responsabilidad.

En nuestro ordenamiento jurídico, quien causa un daño a un tercero, debe repararlo. Por lo que es claro que la empresa u organización que actúa como sujeto activo, es decir que genera un ataque cibernético, se verá en irremediablemente en la obligación de reparar el daño causado.  Ahora bien, cabe preguntarse ¿qué pasa con la organización que es víctima de un ataque cibernético, podrá también verse en la obligación de asumir responsabilidad frente a terceros con ocasión del mismo? La respuesta es sí, existe tal posibilidad.  La víctima de un ataque informático puede tener que responder frente a sus clientes, usuarios y otros terceros, por las pérdidas, molestias y daños sufridos por éstos.

Según el Derecho, quien se dedique a una actividad que genere riesgo para terceros, donde exista además una correlación de causa-efecto entre el riesgo provocado o permitido (-nótese que puede haber de por medio un comportamiento activo o bien pasivo-) y el daño emergente, debe asumir responsabilidad por las consecuencias surgidas, independientemente de si actuó o no con dolo (i.e.  intención de causar el resultado dañoso), culpa (i.e. falta al deber de cuidado) o preterintención (i.e. no querer directamente un resultado, pero aceptarlo como posible).

Aunque dependerá del análisis de cada caso en concreto, la jurisprudencia nacional y sobre todo la internacional, han establecido algunas situaciones en las que el nexo causal entre riesgo y daño es plenamente identificable, y ello se da cuando: a) Se incumplen obligaciones de seguridad impuestas por normativa; b) Se induce a error a terceros con respecto a las capacidades y alcances de los sistemas de seguridad con que se cuenta (e.g. se hacen promesas de falsa seguridad); c) Se actúa de manera negligente al desoír o desatender recomendaciones debidamente fundamentadas, generadas en el curso de procesos de auditoria; y/o d) Se cuenta herramientas y/o procesos tecnológicos desactualizados o desfasados; entre otros.

Corresponde pues a las organizaciones, no sólo defenderse adecuadamente de los ciberataques cuando éstos se den, sino por sobre todo asumir una posición proactiva tendiente a prevenirlos.  Así, con el fin de disminuir o administrar adecuadamente su responsabilidad ante terceros es muy importante que las instituciones asuman al menos las medidas que se establecen a continuación.

Medidas preventivas:  Los análisis y evaluaciones de seguridad (e.g. pruebas de penetración, análisis de riesgos, vulnerabilidades, y auditorías de seguridad) deben ser parte del Sistema de Manejo Integral de Riesgos que deben adoptar las organizaciones, ya que no sólo permiten conocer medir cuáles son sus verdaderas necesidades en materia de seguridad, sino que proporcionan una base fehaciente para establecer medidas de seguridad y protocolos de actuación ajustados a la realidad de la empresa.  Asimismo, es de rigor mantener una política de respaldos de información adecuada, que permita acceder a información reciente frente a un ataque de éstos; y por supuesto, no podemos dejar de lado valorar la implementación de los parches (i.e. correcciones) a los aplicativos liberados por los fabricantes.

Medidas reactivas o de contención:  Una vez acaecido el incidente de seguridad, deberá actuarse con mucha celeridad para evitar mayores pérdidas y daños, y en la medida de lo posible, para bloquear el ataque, aislar las plataformas y sistemas involucrados, eliminar sus causas productoras, salvaguardar la información y datos no afectados, mantener la continuidad de la operativa del negocio y además, recopilar y reguardar la información necesaria para investigar y perseguir el hecho.

Evidentemente si esperamos a que ocurra un incidente de seguridad para empezar a tomar este tipo de medidas, será muy tarde.

 

Para más información contáctenos:  sandra@legaltechfirm.com

/0 Comments/by

La Protección de los Datos Personales, más que una tarea, un reto organizacional

Por: Sandra Rechnitzer

La exigencia de cumplir con la normativa nacional e internacional en materia de protección de datos personales representa un reto innegable para todas las empresas, ya que en el mundo corporativo actual, es muy poco lo que podemos hacer sin utilizar como insumo datos personales.

En más, la tendencia a necesitar de los datos personales para alimentar procesos y relaciones corporativas, lejos de disminuir, va a ir en aumento en el futuro. Veamos por ejemplo el Big Data o la Meta Data, los cuales han pasado de ser información casi de descarte utilizada sólo para propósitos técnicos y de medición de cargas de red, a ser uno de los activos clave en la inteligencia de negocios de las más reconocidas y poderosas empresas tecnológicas. De hecho, su relevancia ha trascendido incluso ya, del mero plano comercial al político, como sucediera en las recién pasadas elecciones presidenciales de los Estados Unidos, donde la empresa Cambridge Analytica, se atribuyó el haber brindado información fundamental a la campaña de Donald Trump, que según ellos aducen, sirvió para influenciar el comportamiento de los electores que aún se encontraban indecisos. La información que dicen haber analizado, compilado, sintetizado y transmitido a dicha campaña, no fue cualquier tipo de información, fue información personal del ámbito más íntimo del ser humano, aquella que perfilaba gustos, preferencias, inclinaciones, y hasta miedos, frustraciones y temores, siendo lo más irónico del caso, el que se tratara de información facilitada y expuesta al público, por intermedio de sus propios titulares.

¿Qué tanto del éxito electoral de Donald Trump, pueda o no deberse a ese perfilamiento y manipulación de los datos personales? No lo sabemos, lo que sí es totalmente cierto y medible según el estado actual de la tecnología, es que los comportamientos de los consumidores muestran en sus relaciones digitales, incluyendo su participación y presencia en redes sociales, proporcionan información cada vez más apetecible y valiosa.

¿A quién corresponde defenderla? Entendiendo que el ámbito “privado” del individuo lo es y será, cada vez menos en los años venideros, la respuesta es: ¡A todos! En primera instancia lógicamente a sus titulares: “No exponga innecesariamente información que no quiera ver publicada en la edición estelar de las noticias”. En segundo plano, a las organizaciones e instituciones de todo tipo que utilicen datos personales en sus procesos organizacionales, después de todo, ya no es una elección deseable de responsabilidad corporativa, si no una obligación legal, cuyo incumplimiento lleva aparejado multas y sanciones, además del consabido daño reputacional.

¿Cómo cumplir con las obligaciones que la normativa establece? No es sólo cuestión de llenar un par de fórmulas, idear una serie de contratos y protocolos, y registrarlos ante la Agencia de Datos correspondiente. En realidad, va mucho más allá de ello. Detrás de este registro, y el ordenamiento jurídico así lo establece, debe existir un sistema de protección real de información personal.

Sabe su organización:

  • ¿Qué datos personales requiere en el cumplimiento de sus objetivos de negocio?
  • ¿Si la recopilación de los datos se hace de manera correcta?
  • ¿Si sus fuentes son legítimas?
  • ¿Cuál es el nivel de riesgo que, en su giro empresarial, corren los datos que maneja? ¿Sabe cómo medirlo?
  • ¿A quién le corresponde aceptar el nivel de riesgo que necesariamente permanecerá? ¿Cuál es el nivel de riesgo?
  • ¿Cuál es el verdadero nivel de exposición a que se enfrenta en el uso de los datos personales?
  • ¿Si las medidas de seguridad implementadas se ajustan a sus necesidades particulares?
  • ¿Si las herramientas informáticas que utiliza o los procesos que implementa, le proporcionan el nivel de protección requerido para su caso en específico?
  • ¿Si el tratamiento que le da a los datos personales de sus clientes, está alienado a las expectativas de seguridad de éstos?
  • ¿Si sus mismos clientes están alineados con las políticas de seguridad instauradas por usted o representan más bien un riesgo? ¿Sabría usted cómo mitigar ese posible riesgo?
  • ¿Cuál es el modelo de gobierno corporativo que se ajusta no sólo al marco normativo aplicable, sino a las expectativas de seguridad para el sector que representa?
  • ¿Cómo detectar, identificar, gestionar y administrar amenazas a la seguridad de la información a la que se enfrenta? ¿Sabe cuáles son dichas amenazas?

Si alguno, o todos los cuestionamientos básicos que arriba se incluyen, no cuentan con una respuesta documentada y fácilmente demostrable en su institución, entonces no está en cumplimiento con lo exigido por la normativa, ni se le está dotando de una verdadera protección a los datos personales que maneja.

“Hecha la ley, hecha la trampa” reza un viejo adagio popular; sin embargo, en lo que respecta al mal manejo de datos personales, llevar dicho adagio a la práctica puede resultar muy arriesgado, sobre todo para empresas cuya supervivencia depende en gran medida, de poder demostrarle a los clientes que sus activos (incluidos los de información) se resguardan con la mayor diligencia y seriedad. Así las cosas, si el plan de cumplimiento con la normativa de protección de datos personales que su empresa está por implementar o que ya implementó, se limita a unos cuantos documentos legales y registros de mero trámite con muy pocas posibilidades de pasar del papel a la vida real, mejor asesórese bien, la protección de los datos personales y de la información en general, no es una tarea, ni siquiera un cúmulo de ellas, si no un proceso institucional integral, cuyo punto de partida es una adecuada gestión del riesgo, basada en un enfoque de procesos, incluyendo los tecnológicos. Así las cosas: ¡Si el éxito de su empresa reside en ser confiable, no peque pues de confiado!.

Para mayor información, contáctenos: info@legaltechfirm.com

/0 Comments/by