‘Ciberdelincuencia’, el nuevo reto
Las alarmas de la ciberdelincuencia no paran de saltar en multitud de empresas y organismos de todo el mundo. Y cibercriminales y ciberdelincuentes cobran, tristemente, creciente protagonismo. Tal vez, la víctima del ataque cibernético más preocupante, hasta la fecha, ha sido la estadounidense Heartland Payment Systems, empresa especializada en procesamiento de tarjetas de crédito y débito. En el 2009, en lo que pudo haber sido la mayor intrusión de seguridad corporativa, se conoció que los criminales habían accedido ilegalmente a 130 millones de tarjetas. El impacto fue inmediato y devastador; cuando se hizo público el ataque, la cotización en bolsa de la compañía bajó un 80% y terminó desembolsando más de 100 millones de dólares por daños, tras alcanzar un acuerdo con sus clientes. No menos alarmante fue el caso de Target, que saltó a los medios de comunicación a finales de 2013. Una de las mayores cadenas de almacenes en Estados Unidos había sido objeto de una intrusión sobre sus dispositivos de Puntos de Venta (PoS), provocando así que más de 70 millones de clientes se vieran afectados por la divulgación de sus datos personales, entre los que se incluían números de tarjetas de crédito y correos electrónicos. España tampoco es ajena a estos hechos. La Generalitat de Cataluña fue víctima, en 2012, de un ataque cibernético en donde grupos hacktivistas de Europa del este robaron miles de datos confidenciales de ciudadanos, funcionarios y Mossos d’Esquadra. Entre esta información robada, existían datos sobre nóminas, accesos a cuentas de correo electrónico de varios funcionarios, etc. Y, como este, hay muchos más ejemplos.
Muchas compañías víctimas del crimen cibernético son reacias a reconocer filtraciones de seguridad
A medida que la amenaza de la ciberdelincuencia es más persistente y sofisticada, empresas y organismos se enfrentan al reto cada vez más complejo de proteger sus datos y su información. ¿Cuál es el alcance del problema? ¿Está creciendo el número de criminales cibernéticos? ¿O se trata de un aumento en el número de víctimas dispuestas a informar sobre los ataques? Muchas compañías víctimas del crimen cibernético se mantienen reacias a reconocer costosos daños y filtraciones de seguridad pero la mayor concienciación sobre el asunto ha permitido, al menos, aumentar el estudio del problema.
No es de sorprender que muchas compañías a nivel global estén ahora extremando su preocupación sobre el crimen cibernético aunque la urgencia de esta preocupación no ha llegado necesariamente a los consejos de administración. El Instituto de Investigación de la Universidad de Carnegie Mellon, CyLab, en EEUU, realiza encuestas a miembros de consejos y altos ejecutivos. El informe del 2012, elaborado entre las compañías del Forbes Global 2000, reveló que aunque el 91% de los preguntados indicaron que su respectivo consejo estaba haciéndose cargo de la administración de riesgos, las áreas que recibían menor atención eran Operaciones de TI (29%), Seguridad Informática (33%) y Ventas (13%).
Además, según dicha encuesta, las compañías manifiestan estar desprotegidas y vulnerables ante esta modalidad de delincuencia, lo que conlleva potenciales y costosas consecuencias. Un estudio publicado por Ponemon Institute concluyó que el coste promedio de filtraciones de datos en EEUE fue de 194 dólares por archivo. En una filtración de datos típica, que incluye miles de archivos, la escala del daño podría ser extraordinaria.
Algunos sectores que manejan información particularmente delicada, como la banca o la industria de defensa, han llevado a cabo enormes esfuerzos para reforzar sus defensas cibernéticas pero no deberían ser las únicas. También tendría que tomar conciencia cualquier empresa u organismo que trabaje con información delicada de clientes, como las firmas de abogados o las de contabilidad, y también aquellas cuyo negocio principal se centra en la propiedad intelectual. Son muchas las compañías que están aun relativamente inmaduras en lo que refiere al control de daños.
Los consejos de administración no tienen otra alternativa que tomarse el asunto muy en serio
Por todo ello, los consejos de administración no tienen otra alternativa que tomarse el asunto de la seguridad cibernética muy en serio. Además, los reguladores empezarán, en poco tiempo, a demandar mayor transparencia en estas cuestiones. En EEUU, por ejemplo, la Securities and Exchange Commission (SEC) ha declarado que el control de riesgos –en todos sus ámbitos, incluyendo la seguridad cibernética– es un “componente clave a tener en cuenta en un consejo”. Las normativas de la SEC, que entraron en vigor el 28 de febrero del 2010, requieren la mayor transparencia sobre el papel de este organismo en el control de riesgos y su organización jerárquica. Por otro lado, en Europa existen iniciativas como la impulsada por la Comisión Europea, donde recoge dentro de su propuesta de ciberseguridad (Cybersecurity Strategy of the European Union), aquellas funciones, responsabilidades y acciones que deberían adoptarse para la promoción y protección de los derechos de los ciudadanos dentro del ciberespacio. De forma similar, la Presidencia del Gobierno en España acaba de aprobar recientemente la Estrategia de Ciberseguridad Nacional.
Como si toda esta presión regulatoria no fuera un incentivo suficiente para tomar acciones en el asunto, los consejos también deben pensar en posibles litigios. Un estudio reciente sugiere que las posibilidades de que una firma sea demandada por eliminación indebida de datos (por ejemplo, tirando a la basura documentos de estados financieros u ordenadores que contengan información personal) son tres veces mayores tras una filtración causada por información robada, y son seis veces superiores cuando la filtración de seguridad involucra a la información financiera.
El mundo del crimen cibernético está en continuo cambio y ninguna organización –y menos aún, su consejo– puede asumir que está libre de estas nuevas amenazas.
Pablo Montoliú es socio de Forensic de EY.