No eches la culpa a los piratas

La reciente la noticia acerca de la visita no autorizada que el decano de Princeton hizo a la web del departamento de admisiones de su rival, Yale, provoca, además de una sofocada sonrisa, algunas conclusiones sobre aspectos como la ética de los negocios, los límites de la confianza y la responsabilidad sobre la información manejada por las empresas.

Que un decano de una universidad se las apañe para entrar en webs privadas para husmear si unos alumnos han sido o no admitidos por la universidad rival no plantea, a priori, mayor problema. Otra cosa más grave, a la que el propio Yale no debería permanecer indiferente, es la facilidad con la que se ha penetrado en sistemas: no parece que la validación para entrar en dicha web, que se producía mediante el uso de fechas de nacimiento y los números de la seguridad social de los solicitantes de admisión, fuera un ejemplo de seguridad profesional.

Al margen de la posible actividad delictiva del decano de Princeton, actualmente en estudio, lo preocupante es el nivel de privacidad de los datos personales que brindan organizaciones tan relevantes a nivel mundial en el ámbito de las escuelas de negocio.

¿Cuál es el grado de responsabilidad de una empresa que ofrece unos niveles tan bajos de protección? El usuario debe exigir responsabilidades concretas a quienes disponen de sus datos. En este sentido, la legislación española, a pesar del retraso en su adaptación en el seno de la empresa, aporta ese necesario control interno de la seguridad ante la que no cabe encogerse de hombros.

La ley establece, para un determinado nivel de datos, requisitos como la necesidad de establecer un responsable de seguridad interno, la auditoría bienal de medidas de seguridad (que sería aún más efectiva si fuera obligatoriamente externa, al estilo de sus primas contables) y la plasmación de la política de seguridad en un documento, exigible por la Agencia de Protección de Datos. Esto no hace sino aumentar la confianza del usuario.

Más allá del ámbito legal, son cada vez más las empresas que, a diferencia de Yale, establecen un entorno de buenas prácticas que empieza por algo tan obvio como ponérselo difícil a los mirones, mediante medidas como la utilización de contraseñas de una longitud mínima, el uso de caracteres alfanuméricos que, si bien no eliminan los ataques sólo dejan margen a los de fuerza bruta.

Las autoridades americanas, más laxas que las europeas en materia de protección de datos, se han esforzado en endurecer las penas contra los intrusos electrónicos, llegando en su recientemente aprobada Cybersecurity Enhancement Act a penas que pueden llegar a la cadena perpetua.

Ya no vale, por tanto, que una web se resguarde en un hacker para autoeximirse de culpa; es más, en la jurisprudencia española ya contamos con casos en los que la propia sentencia considera que las conductas de mero acceso a los sistemas informáticos, con la finalidad de acceder a contraseñas o puertas trasera, no son delito. æpermil;sta cede directamente a las empresas el testigo de la responsabilidad bajo la sombra de la legislación protectora de datos.