,

Ciberataque: La Responsabilidad de la víctima

El ciberataque ocurrido este viernes 12 de mayo donde instituciones de más de 150 países se vieron afectadas, es clara señal de los riesgos y amenazas a los que están expuestas todas las organizaciones e individuos actualmente conectados a Internet, sin importar el tipo de industria, actividad o el giro de negocio a que se dediquen.  Para este tipo de ataques son tan apetecibles el sector público como el privado, y no se repara tampoco en el tamaño de la institución, ni en el número de personas afectadas, porque ya sea para uno o para un billón de individuos, el no poder acceder a su información en un momento determinado, genera gran afectación.

¿Pero qué tipo de ataque fue éste?  El ataque del viernes fue de uno de tipo “ransomware”, lo que en términos sencillos podríamos traducir como “secuestro de información”.  ¿Cómo funciona?  Para efectos explicativos baste con decir que el atacante aprovecha una vulnerabilidad de un sistema o aplicación de la plataforma informática de la víctima, que le abre la posibilidad de infiltrar e instalar subrepticiamente, aplicativos de encriptación de información.  Es decir, el atacante aprovecha una debilidad informática e instala programas que le permiten convertir en ilegible la información capturada, a fin de que su titular o cuidador, no pueda interpretarla y, por ende, devenga inservible.  ¿Qué se busca con esto?  Lo que en todo secuestro: ¡Pedir Rescate!  A la víctima se le confiere cierto tiempo para que entregue la suma que se le solicita a cambio de volver la información a un estado legible, plazo pasado el cual, se pierde la información para siempre.  Valga la pena decir, que al igual que en cualquier otro tipo de secuestros, tampoco es seguro que, pagando el rescate solicitado, se logre acceder la información o devolverla a su estado anterior.

¿Puede evitarse este tipo de ataques?  Probablemente sea cada día más difícil, no sólo por el nivel de profesionalización de los distintos atacantes, sino también porque entre otras cosas, cada vez compartimos más información, tenemos más y más dispositivos interconectados, utilizamos múltiples aplicativos cuya inocuidad no ha sido suficientemente analizada, y desdibujamos además, las fronteras entre lo personal y lo corporativo, todo lo cual genera un aumento exponencial en nuestros riesgos y consecuentes niveles de vulnerabilidad.  Ello no quiere decir, claro está, que ante este sombrío panorama la opción que tengamos sea la de quedarnos cruzados de brazos, de hecho, la única opción inviable es precisamente ésta, porque ello supondría no haber tomado los recaudos necesarios para contener o administrar los riesgos involucrados, lo que necesariamente terminaría por generar responsabilidad.

En nuestro ordenamiento jurídico, quien causa un daño a un tercero, debe repararlo. Por lo que es claro que la empresa u organización que actúa como sujeto activo, es decir que genera un ataque cibernético, se verá en irremediablemente en la obligación de reparar el daño causado.  Ahora bien, cabe preguntarse ¿qué pasa con la organización que es víctima de un ataque cibernético, podrá también verse en la obligación de asumir responsabilidad frente a terceros con ocasión del mismo? La respuesta es sí, existe tal posibilidad.  La víctima de un ataque informático puede tener que responder frente a sus clientes, usuarios y otros terceros, por las pérdidas, molestias y daños sufridos por éstos.

Según el Derecho, quien se dedique a una actividad que genere riesgo para terceros, donde exista además una correlación de causa-efecto entre el riesgo provocado o permitido (-nótese que puede haber de por medio un comportamiento activo o bien pasivo-) y el daño emergente, debe asumir responsabilidad por las consecuencias surgidas, independientemente de si actuó o no con dolo (i.e.  intención de causar el resultado dañoso), culpa (i.e. falta al deber de cuidado) o preterintención (i.e. no querer directamente un resultado, pero aceptarlo como posible).

Aunque dependerá del análisis de cada caso en concreto, la jurisprudencia nacional y sobre todo la internacional, han establecido algunas situaciones en las que el nexo causal entre riesgo y daño es plenamente identificable, y ello se da cuando: a) Se incumplen obligaciones de seguridad impuestas por normativa; b) Se induce a error a terceros con respecto a las capacidades y alcances de los sistemas de seguridad con que se cuenta (e.g. se hacen promesas de falsa seguridad); c) Se actúa de manera negligente al desoír o desatender recomendaciones debidamente fundamentadas, generadas en el curso de procesos de auditoria; y/o d) Se cuenta herramientas y/o procesos tecnológicos desactualizados o desfasados; entre otros.

Corresponde pues a las organizaciones, no sólo defenderse adecuadamente de los ciberataques cuando éstos se den, sino por sobre todo asumir una posición proactiva tendiente a prevenirlos.  Así, con el fin de disminuir o administrar adecuadamente su responsabilidad ante terceros es muy importante que las instituciones asuman al menos las medidas que se establecen a continuación.

Medidas preventivas:  Los análisis y evaluaciones de seguridad (e.g. pruebas de penetración, análisis de riesgos, vulnerabilidades, y auditorías de seguridad) deben ser parte del Sistema de Manejo Integral de Riesgos que deben adoptar las organizaciones, ya que no sólo permiten conocer medir cuáles son sus verdaderas necesidades en materia de seguridad, sino que proporcionan una base fehaciente para establecer medidas de seguridad y protocolos de actuación ajustados a la realidad de la empresa.  Asimismo, es de rigor mantener una política de respaldos de información adecuada, que permita acceder a información reciente frente a un ataque de éstos; y por supuesto, no podemos dejar de lado valorar la implementación de los parches (i.e. correcciones) a los aplicativos liberados por los fabricantes.

Medidas reactivas o de contención:  Una vez acaecido el incidente de seguridad, deberá actuarse con mucha celeridad para evitar mayores pérdidas y daños, y en la medida de lo posible, para bloquear el ataque, aislar las plataformas y sistemas involucrados, eliminar sus causas productoras, salvaguardar la información y datos no afectados, mantener la continuidad de la operativa del negocio y además, recopilar y reguardar la información necesaria para investigar y perseguir el hecho.

Evidentemente si esperamos a que ocurra un incidente de seguridad para empezar a tomar este tipo de medidas, será muy tarde.

 

Para más información contáctenos:  sandra@legaltechfirm.com

/0 Comments/by

La gestión de riesgos digitales debe ser un elemento de gestión estratégica

El abordaje de los riesgos digitales va mucho más allá del mero ámbito tecnológico, propiamente dicho.  Si bien la tecnología juega un rol preponderante en la gestión de amenazas y por ello adquiere un papel protagónico, sigue siendo una verdad de perogrullo, que el factor humano es más que nunca, el principal desencadenante de los mayores y más graves incidentes de seguridad.

 

No vamos a pretender, por supuesto, restarle valor a los avances tecnológicos y a las herramientas desarrolladas con el fin de proporcionar seguridad a redes, plataformas y aplicaciones por las que transita y se maneja información, sin embargo, ésta debería ser vista y abordada como un elemento coadyuvante dentro de la estrategia global de seguridad corporativa, de la mano de elementos normativos, de control, de transferencia de conocimiento, y de concienciación, capaces de generar que esa importante inversión en tecnología que ciertamente realizan las organizaciones, cumpla en efecto con los objetivos esperados y no sea utilizada como un medio, canal o fin para comprometer los activos de información de la empresa.

 

Hoy, la realidad es que todos los negocios, en mayor o menor grado, son negocios digitales. Cada día que pasa, nos volvemos más y más dependientes de la tecnología para todo, de hecho, organización que no esté interconectada al menos parcialmente, tiene sus días contados y lo sabe, pues la presencia en el mundo digital es obligatoria.  Y viéndolo desde un punto de vista positivo, ello está muy bien porque la democratización de la información nos beneficia y nos nutre a todos.  Sin embargo, sin controles adecuados, esa misma posibilidad de acceso ilimitado a la información, nos sitúa también en una posición extremadamente riesgosa, tanto en lo personal, como en el ámbito corporativo, al poner en jaque toda aquella información que no esté debidamente tutelada.

 

Ante tal realidad, lógico sería pensar que la seguridad de la información, a nivel corporativo, debería constituir un eje estratégico organizacional y una transversal que toque todos los sectores de la empresa permeándola en su integralidad, ya que es un hecho que cada componente de la organización está en capacidad material de generar una o más brechas de seguridad, causándole grave perjuicio a la corporación.  Sin embargo, este pareciera no ser el caso y con base en la experiencia puedo decir que ello se debe primordialmente a que el abordaje tradicional de protección ha sido eminentemente seccionado y contestatario, pues tanto la respuesta de las corporaciones, como de muchos de sus aliados de negocios (e.g.  contratistas, consultores, proveedores de tecnología y demás), se ha enfocado en atender y resolver necesidades específicas, en vez de generar soluciones globales, lo que en términos muy simples equivaldría a pretender detener una hemorragia sistémica, utilizando una curita.

 

Entendiendo esto es que LegaTech PHE y SPC Internacional, en conjunto, hemos unido fortalezas para idear un Plan de Seguridad 360, que no sólo toma en consideración la arquitectura tecnológica, sino también atiende las necesidades globales de seguridad de la información a modo de proyecto empresarial, y del cual participan hackers éticos, auditores certificados, ingenieros, peritos forenses, asesores en desarrollo humano y abogados especialistas en Nuevas Tecnologías, mismos que se han formado en el día a día de su práctica profesional, en grandes proyectos estratégicos de TI, generando así una oferta de soluciones de seguridad integral sin parangón, que en vez de analizar cada proyecto de TI por separado, genera lineamientos y guías, que los hacen calzar y adecúan dentro de un marco estratégico de control y seguridad integral.

 

Así las cosas, más que un mero asesor en TI, nuestro equipo se convierte en un verdadero socio corporativo de la organización, al vigilar con máximo recelo y de una manera sistematizada uno de los activos más preciados de la organización, como lo es su información.

/0 Comments/by