Víctimas, pero no del todo inocentes. Cuando una empresa es atacada y se filtran los datos que tiene almacenados, también es responsable del tratamiento de los mismos y de establecer los controles de seguridad necesarios para evitar que el daño a sus clientes, colaboradores y empleados sea irreparable.
Hace unos días conocíamos el caso de CCOO, que sufrió un ciberataque que dejó expuestos casi 700.000 archivos de afiliados y trabajadores en la dark web. Información personal que ha quedado en manos de ciberdelincuentes y que puede ser utilizada para suplantar su identidad y hacer, en su nombre, desde compras hasta abrir cuentas bancarias. Un caso que, lamentablemente, no es un hecho aislado.
Independientemente del sector y tamaño, cada día nos encontramos con organizaciones que ven como sus sistemas de seguridad son traspasados, desde bancos a instituciones públicas y entidades sanitarias.
Organismos y compañías, en definitiva, que manejan un volumen descomunal de datos personales, que, en muchas ocasiones, es información confidencial o sensible que no debería caer en las manos equivocadas.
De ahí que sea necesario preguntarse por la responsabilidad que tienen estas empresas para con los datos que almacenan y por las medidas preventivas, de protección y remediación con las que deben contar para paliar, en la medida de lo posible, los ataques cada vez más refinados de los grupos de hackers.
Cuando un sindicato como CCOO o una empresa de seguridad de la talla de CrowdStrike sufren un ataque las víctimas reales son los usuarios, los clientes y los empleados de estas compañías que pueden ver comprometida su privacidad.
Y la cuestión reputacional, que siempre escuece, no es el principal problema que se les plantea cuando anuncian públicamente el ataque. Su mayor preocupación, cuando sufren una vulneración de sus sistemas, siempre son los datos que hayan podido filtrarse y el uso que hagan de ellos, no sólo por una cuestión moral, sino por una obligación legal.
En la Unión Europea se han puesto en marcha varias normativas para la protección y seguridad de los datos, y para la implementación de políticas de ciberseguridad rigurosas y de carácter preventivo que sirvan para proteger las infraestructuras críticas de las entidades.
El problema es que muchas compañías solo se preocupan de la ciberseguridad cuando ya es demasiado tarde. Según el informe Cost of a Data Breach de IBM, el 83 % de las organizaciones ha sufrido más de un ciberataque, y el coste medio de una filtración de datos supera los 4 millones de dólares. Pero lo realmente preocupante es que en muchos casos los ataques se producen por fallos que podrían haber sido evitados: sistemas sin actualizar o desprotegidos, contraseñas débiles, errores humanos o una formación insuficiente de los empleados.
En el caso de CCOO, aún no se conocen todos los detalles, pero si el ataque se produjo por negligencia —por ejemplo, por no parchear una vulnerabilidad conocida—, el sindicato podría enfrentarse a sanciones económicas y legales.
¿Y los afectados, qué pueden hacer?
Las multas que deben asumir aquellas empresas que no cumplen con la normativa preventiva en materia de ciberseguridad son una de las derivadas de un ciberataque. La otra son las indemnizaciones que los clientes y empleados afectados tienen derecho a reclamar si han visto vulnerada su privacidad.
El Reglamento General de Protección de Datos (RGPD), ese al que muchas compañías han pasado por alto o han menospreciado tratándolo como un párrafo banal al final de cada formulario o petición de información, otorga a estas víctimas silenciosas la posibilidad de exigir explicaciones por parte de la organización, saber qué tipo de información ha quedado expuesta y, en los peores casos, pedir compensaciones.
Así, en 2019, British Airways fue multada con 204 millones de euros por no proteger adecuadamente los datos de 500.000 clientes, y Equifax tuvo que pagar 700 millones de dólares tras su famoso ciberataque sufrido en 2017.
Pero el problema es que muchas veces las víctimas de estos ataques ni siquiera son conscientes de lo que ha ocurrido hasta que es demasiado tarde. ¿Cuántas personas afectadas por el ataque a CCOO han sido informadas de que sus datos están en la dark web? ¿Han recibido instrucciones sobre cómo protegerse? Porque la transparencia en estos casos es fundamental.
Ser víctima de un ciberataque no es excusa para eludir responsabilidades. Las organizaciones no pueden escudarse en que los hackers son cada vez más sofisticados cuando, en muchos casos, sus propias negligencias abren la puerta al desastre. No se trata sólo de invertir en antivirus o firewalls, sino de asumir que la ciberseguridad es un pilar fundamental de cualquier entidad.
Tal y como avanzamos en este artículo del blog de Panda Security a Watchguard Brand, la clave está en la prevención: auditorías regulares, evaluaciones de riesgos, formación constante de empleados y protocolos de actuación y respuesta rápida para minimizar el impacto de un ataque. No basta con reaccionar cuando los datos ya han sido robados.
Porque la seguridad no es solo una cuestión tecnológica. Es una cuestión de responsabilidad y confianza.
