¿Su empresa sufre un ciberataque? Estos son los efectos legales de tener un invasor en el sistema

En una sociedad cada vez más digitalizada, el número de ciberataques e incidencias que sufren las empresas ha crecido considerablemente. Según los últimos datos del Ministerio del Interior, en España se han cometido 237.640 cibercrímenes desde enero hasta julio de 2024, un incremento del 9,2% en comparación con el mismo periodo del año anterior. Una caída del sistema por el hackeo de un ciberdelincuente resulta fatal para las compañías, que supone un golpe económico y reputacional. En último extremo, puede poner en riesgo la estabilidad de la compañía.

Además del daño económico y de prestigio que pueden sufrir las empresas, la exposición de los clientes puede tener serias consecuencias legales. Según la ley de protección de datos, los perjudicados tendrán derecho a reclamar una indemnización siempre que se haya probado que la incidencia ha vulnerado sus derechos, como, por ejemplo, el de la privacidad. Si las organizaciones han sufrido un ciberataque pueden afrontar una ola de procedimientos administrativos e incluso judiciales de los usuarios que decidan reclamar. En este supuesto, las compañías también deberán responder si no han dado cumplimiento a sus obligaciones de seguridad en el ámbito administrativo (multas).

En el campo de la responsabilidad civil, las empresas pueden tener que reparar los daños causados tanto por vía contractual, compensando a los clientes por los perjuicios provocados como consecuencia de no poder prestar los servicios acordados, como extracontractual, debiendo reparar los daños provocados a terceras personas que se han visto perjudicadas por el hackeo o fallo del sistema.

Ya hay resoluciones judiciales que se han pronunciado sobre las consecuencias legales de un ciberataque. El Tribunal Supremo, en una sentencia del pasado mes de junio, zanjó un caso que afectó a Ilunion (empresa del Grupo Social ONCE). La compañía, que fue víctima de un hackeo, pidió un ERTE alegando que concurría un evento de fuerza mayor. El Alto Tribunal señaló al respecto que la empresa disponía de las medidas de seguridad necesarias y suficientes para evitar un ataque de ciberseguridad y, pese a ellas, no pudo evitar la invasión del intruso por lo que acreditó que el ataque escapaba de su control.

Este fallo, aunque es laboral, apunta Bartolomé Martín, socio experto en ciberseguridad de Squire Patton Boggs, podría ser el punto de partida en los casos de responsabilidad civil de empresas hackeadas para que las víctimas “no tengan que asumir los perjuicios que su inactividad o la afección del ciberataque en terceros puedan causar en los supuestos en los que se demuestre que tomaron precauciones razonables en función del riesgo, capacidad y tamaño de la empresa”.

Sin embargo, según un reciente informe de la consultora Deloitte, solo una minoría de las compañías (19%) han implementado con éxito un buen modelo de ciberseguridad. Es decir, hay pocas empresas que puedan agarrarse a la exención de responsabilidad según el criterio del citado fallo. Además, con la irrupción de la inteligencia artificial, los hackeos son más imprevisibles y las empresas están cada vez más desprotegidas: solo el 51% de las organizaciones están listas para enfrentarse a ataques generados por IA, según la consultora.

Estar desprotegido frente a los ciberataques tiene otra consecuencia negativa añadida. Como señala Bartolomé Martín, en caso de que los sistemas o servicios de seguridad contratados sean débiles, las organizaciones no podrán trasladar ninguna responsabilidad por las consecuencias del ciberataque a los proveedores de estos sistemas o servicios. Solo podrán desplazarles el coste en caso de que dichos sistemas seguridad presenten fallos o se hayan producido incumplimientos de los servicios acordados.

Salvavidas

Pero hasta el mejor modelo de seguridad puede hacer aguas ante las amenazas de los ciberdelincuentes. Para prevenir las consecuencias de estos riesgos, las pólizas de las aseguradoras están cobrando mucho protagonismo. “En el último año, el volumen de primas de seguros cibernéticos ha incrementado un 30%”, afirma Diego Rodríguez, suscriptor sénior especializado en ciberriesgo para España y Portugal en AXA XL. Por ejemplo, explica el experto, las compañías contratan los seguros para protegerse de amenazas como el ransomware, que está considerado como “una de las principales preocupaciones en el tejido empresarial actual”. En este tipo de ataque informático, los hackers inutilizan los equipos de la empresa y piden dinero a cambio de restaurar los dispositivos.

A través de estas pólizas, las empresas pueden mitigar los daños causados a la organización. Según Martín, estos seguros actúan como salvavidas para cubrir gastos abultados como las reclamaciones de terceros, los daños a la empresa, costes de los abogados o las multas que impone la Agencia de Protección de Datos, que podrían suponer sanciones de miles o millones de euros.

Hay que tener en cuenta, apunta Pablo Henríquez de Luna, socio en López-Ibor Abogados, que las aseguradoras establecen algunos límites a la hora de cubrir los riesgos. “Los costes derivados de los ciberataques pueden ser cuantiosos y, si se cubriera todos los incidentes, las pólizas serían, prácticamente, inasumibles por parte de las empresas”. Por eso, explica el experto, las aseguradoras excluyen aspectos como “ataques a la propiedad intelectual, pérdida de fondos y valores o fallos en los servicios públicos”. Asimismo, las pólizas tampoco se hacen cargo de las pérdidas de los beneficios de la compañía por no poder estar operativos durante el ciberataque.

Requisitos mínimos

Por otro lado, las aseguradoras eligen a sus clientes. Para contratar una póliza, exigen a las organizaciones unos requisitos mínimos que aseguren un nivel básico de protección y gestión de riesgos. Según Rodríguez, algunas de las condiciones que solicitan es que las compañías deben contar con sistemas de seguridad tales como programas de antivirus, planes de detección de intrusiones, políticas de acceso seguro o herramientas de autenticación para asegurar la entrada a sistemas críticos a personal autorizado.

Otro requisito es que las empresas tienen que facilitar a las aseguradoras informes de evaluaciones periódicas sobre sus riesgos para identificar y mitigar posibles vulnerabilidades, disponer de planes de respuesta ante las amenazas o facilitar el historial de incidentes para valorar el nivel de peligro de la empresa.

Pese a que los ciberseguros no son obligatorios, pero sí recomendables. Según los expertos, las pólizas pueden evitar la ruina de la empresa. “No contar con la ayuda de las aseguradoras puede dar lugar a que los daños propios y los causados a terceros sean mucho más elevados, y conlleven, incluso, a la disolución, a la liquidación y extinción de la empresa”, remata Henríquez de Luna.