,

Ciberataque: La Responsabilidad de la víctima

El ciberataque ocurrido este viernes 12 de mayo donde instituciones de más de 150 países se vieron afectadas, es clara señal de los riesgos y amenazas a los que están expuestas todas las organizaciones e individuos actualmente conectados a Internet, sin importar el tipo de industria, actividad o el giro de negocio a que se dediquen.  Para este tipo de ataques son tan apetecibles el sector público como el privado, y no se repara tampoco en el tamaño de la institución, ni en el número de personas afectadas, porque ya sea para uno o para un billón de individuos, el no poder acceder a su información en un momento determinado, genera gran afectación.

¿Pero qué tipo de ataque fue éste?  El ataque del viernes fue de uno de tipo “ransomware”, lo que en términos sencillos podríamos traducir como “secuestro de información”.  ¿Cómo funciona?  Para efectos explicativos baste con decir que el atacante aprovecha una vulnerabilidad de un sistema o aplicación de la plataforma informática de la víctima, que le abre la posibilidad de infiltrar e instalar subrepticiamente, aplicativos de encriptación de información.  Es decir, el atacante aprovecha una debilidad informática e instala programas que le permiten convertir en ilegible la información capturada, a fin de que su titular o cuidador, no pueda interpretarla y, por ende, devenga inservible.  ¿Qué se busca con esto?  Lo que en todo secuestro: ¡Pedir Rescate!  A la víctima se le confiere cierto tiempo para que entregue la suma que se le solicita a cambio de volver la información a un estado legible, plazo pasado el cual, se pierde la información para siempre.  Valga la pena decir, que al igual que en cualquier otro tipo de secuestros, tampoco es seguro que, pagando el rescate solicitado, se logre acceder la información o devolverla a su estado anterior.

¿Puede evitarse este tipo de ataques?  Probablemente sea cada día más difícil, no sólo por el nivel de profesionalización de los distintos atacantes, sino también porque entre otras cosas, cada vez compartimos más información, tenemos más y más dispositivos interconectados, utilizamos múltiples aplicativos cuya inocuidad no ha sido suficientemente analizada, y desdibujamos además, las fronteras entre lo personal y lo corporativo, todo lo cual genera un aumento exponencial en nuestros riesgos y consecuentes niveles de vulnerabilidad.  Ello no quiere decir, claro está, que ante este sombrío panorama la opción que tengamos sea la de quedarnos cruzados de brazos, de hecho, la única opción inviable es precisamente ésta, porque ello supondría no haber tomado los recaudos necesarios para contener o administrar los riesgos involucrados, lo que necesariamente terminaría por generar responsabilidad.

En nuestro ordenamiento jurídico, quien causa un daño a un tercero, debe repararlo. Por lo que es claro que la empresa u organización que actúa como sujeto activo, es decir que genera un ataque cibernético, se verá en irremediablemente en la obligación de reparar el daño causado.  Ahora bien, cabe preguntarse ¿qué pasa con la organización que es víctima de un ataque cibernético, podrá también verse en la obligación de asumir responsabilidad frente a terceros con ocasión del mismo? La respuesta es sí, existe tal posibilidad.  La víctima de un ataque informático puede tener que responder frente a sus clientes, usuarios y otros terceros, por las pérdidas, molestias y daños sufridos por éstos.

Según el Derecho, quien se dedique a una actividad que genere riesgo para terceros, donde exista además una correlación de causa-efecto entre el riesgo provocado o permitido (-nótese que puede haber de por medio un comportamiento activo o bien pasivo-) y el daño emergente, debe asumir responsabilidad por las consecuencias surgidas, independientemente de si actuó o no con dolo (i.e.  intención de causar el resultado dañoso), culpa (i.e. falta al deber de cuidado) o preterintención (i.e. no querer directamente un resultado, pero aceptarlo como posible).

Aunque dependerá del análisis de cada caso en concreto, la jurisprudencia nacional y sobre todo la internacional, han establecido algunas situaciones en las que el nexo causal entre riesgo y daño es plenamente identificable, y ello se da cuando: a) Se incumplen obligaciones de seguridad impuestas por normativa; b) Se induce a error a terceros con respecto a las capacidades y alcances de los sistemas de seguridad con que se cuenta (e.g. se hacen promesas de falsa seguridad); c) Se actúa de manera negligente al desoír o desatender recomendaciones debidamente fundamentadas, generadas en el curso de procesos de auditoria; y/o d) Se cuenta herramientas y/o procesos tecnológicos desactualizados o desfasados; entre otros.

Corresponde pues a las organizaciones, no sólo defenderse adecuadamente de los ciberataques cuando éstos se den, sino por sobre todo asumir una posición proactiva tendiente a prevenirlos.  Así, con el fin de disminuir o administrar adecuadamente su responsabilidad ante terceros es muy importante que las instituciones asuman al menos las medidas que se establecen a continuación.

Medidas preventivas:  Los análisis y evaluaciones de seguridad (e.g. pruebas de penetración, análisis de riesgos, vulnerabilidades, y auditorías de seguridad) deben ser parte del Sistema de Manejo Integral de Riesgos que deben adoptar las organizaciones, ya que no sólo permiten conocer medir cuáles son sus verdaderas necesidades en materia de seguridad, sino que proporcionan una base fehaciente para establecer medidas de seguridad y protocolos de actuación ajustados a la realidad de la empresa.  Asimismo, es de rigor mantener una política de respaldos de información adecuada, que permita acceder a información reciente frente a un ataque de éstos; y por supuesto, no podemos dejar de lado valorar la implementación de los parches (i.e. correcciones) a los aplicativos liberados por los fabricantes.

Medidas reactivas o de contención:  Una vez acaecido el incidente de seguridad, deberá actuarse con mucha celeridad para evitar mayores pérdidas y daños, y en la medida de lo posible, para bloquear el ataque, aislar las plataformas y sistemas involucrados, eliminar sus causas productoras, salvaguardar la información y datos no afectados, mantener la continuidad de la operativa del negocio y además, recopilar y reguardar la información necesaria para investigar y perseguir el hecho.

Evidentemente si esperamos a que ocurra un incidente de seguridad para empezar a tomar este tipo de medidas, será muy tarde.

 

Para más información contáctenos:  sandra@legaltechfirm.com