¿Debe una empresa u organización pública informar a sus usuarios digitales que ha sido víctima de una brecha de seguridad para evitar que el impacto se acentúe, o debe guardar silencio? No hay ley que lo establezca.
La lógica -y la ética- dice que sí debería hacerlo para contener la propagación de posibles daños; pero en el plano real, y al menos en América Central, eso casi nunca -o nunca- ocurre, según las fuentes consultadas. Por el contrario, en los últimos años, los proveedores de servicios en línea extranjeros han sido más transparentes y, pese a cualquier reacción, han tenido la ética de informar que fueron vulnerados.
La región latinoamericana se mantiene en una constante de amenazas tecnológicas, las cuales solamente son conocidas gracias a distintas fuentes expertas en la materia, lo cual permite hacerse un ínfimo esbozo de cómo podría ser la ciberseguridad.
Por ejemplo, Venezuela, Perú y México presentaron en 2018 la mayor cantidad de detecciones de ransomware, seguidos de Colombia y Brasil. Mientras que en América Central, lo fueron Panamá y Costa Rica a la cabeza, seguidos de Nicaragua, Guatemala y El Salvador, según el ESET Security Report de ese año.
Te lo cuento para tu tranquilidad
El pasado 24 de mayo, Canva, una plataforma de diseño gráfico, informó que sus sistemas estaban siendo atacados al tiempo que habían tomado las medidas pertinentes para identificar y solucionar el problema.
“Sabemos que algunos nombres de usuarios y direcciones de correo electrónico de nuestra comunidad han sido afectados. Los atacantes también tuvieron acceso a las contraseñas cifradas (para los que entienden de cuestiones técnicas: a todas las contraseñas se les aplica un algoritmo hash y una sal criptográfica con bcrypt). Esto significa que las contraseñas de nuestros usuarios siguen siendo ilegibles para terceros”, dijo Canva en un email.
Estos mensajes cada vez se vuelven recurrentes, en parte porque, tal como lo aseguran los expertos en ciberseguridad, vivimos en un escenario donde la seguridad digital al 100% no existe, aunque sí los mecanismos, protocolos, cultura y herramientas para proteger los datos de los usuarios y de los negocios.
Al respecto, para André Bolívar Conte Sánchez, experto en seguridad informática, delitos informáticos, tecnología, turismo y ambiente, en Panamá, lo que corresponde a las empresas es informar estos eventos, sopena de que muchos entrarán en pánico.
“La ética nos dice que debes decirle a tus clientes que el sistema fue atacado y por la seguridad de todos es importante que al menos cambien su contraseña, pero al mismo tiempo, al decir ‘nos crackearon’, muchos entran en pánico y se salen de la plataforma. Pero al 99% de las personas no les afecta, y muy pocas cambian sus contraseñas a voluntad, a veces hay que tomar las cartas sobre el asunto y obligar a las personas a cambiar sus contraseñas cada cierto tiempo”, indicó Conte.
Sin embargo y ya que todo es relativo, la situación será abordada con ópticas diferentes a partir del tipo de negocio afectado.
Juan Romero, Oficial de seguridad informática en la Distribuidora Nicaragüense de Petróleos (DNP), Nicaragua, considera que “depende del negocio y los servicios que brindan. Para un banco, o cualquier sistema financiero, tendría un mayor impacto ver comprometidos información de tarjetas de créditos. Este año se vio el caso de los antivirus de Estados Unidos supuestamente afectados y muchos partners se dieron la tarea de aprovechar la oferta de productos que no lo fueron”.
¿Un silencio conveniente o inconveniente?
En definitiva, para una empresa, revelar que está siendo atacada o que fue atacada tendrá repercusiones reputacionales y económicas, por lo que el silencio puede ser un recurso tentador para no verse afectada, aunque el costo será alto e, inevitablemente, terminará impactado a los usuarios.
“¿Qué pasa si se llevan la base de datos de una gran empresa de correos (tipo Yahoo o Gmail) y no lo dicen: a los meses, los correos de miles de personas estarán siendo crackeados y con estos sus cuentas bancarias, redes sociales, tarjetas de crédito y hasta sus pasaportes”, estimó Conte.
Pero las vulnerabilidades no solamente recaen en las empresas sino además en la cultura de seguridad existente. Por ejemplo, los usuarios -por irreal que parezca- suelen crear contraseñas débiles con tal de no complicarse la existencia y las emplean en los distintos servicios en línea; aunque hay otros riesgos latentes, como la conectividad a wifi públicas.
Esto facilita el trabajo a los ciberatacantes, quienes evolucionan su actuación al mismo ritmo y tiempo en que surgen nuevas herramientas de seguridad. Con crackear una sola cuenta, pueden acceder a todos los repositorios: redes sociales, cuentas bancarias o email, por mencionar poco, para hacer añicos la vida de los usuarios.
Por otro lado, están los aspectos como los softwares desactualizados. En mayo pasado, se conoció sobre un exploit que aprovechaba un fallo en equipos con sistemas Windows sin actualizar. El exploit permitiría a los atacante distribuir malware en los equipos vulnerables, tal como lo hizo WannaCry.
Aunque Microsoft lanzó un parche para corregir el error, la pelota quedó en la cancha de los usuarios para realizar la actualización.
El silencio se regodea en América Central
“Guardar silencio no es conveniente, se debe brindar la información necesaria a los clientes si puede o ya está comprometida. A pesar que esto genere impacto financiero, la responsabilidad de la empresa es mostrar la postura de compromiso y profesionalismo. El quedar callado podría generar más problemas que solución”, afirmó Juan Romero, de la DNP.
Una forma de ejemplificar las palabras de Romero es la megafiltración de datos en la empresa de offshore Mossack Fonseca, ocurrida en 2016 y que fue denominada como Panama Papers.
Mossack Fonseca no fue hackeada desde fuera sino que fue el objetivo del enfado de un empleado que, durante un año, sacó a cuentagotas datos sensibles de gobernantes, deportistas y empresarios, entre otros. En total, 2.6 terabytes de información fueron entregados a un medio de comunicación alemán y luego diseminado a escala global.
En un comunicado, la empresa se remitió a solamente decir que había ocurrido una violación no autorizada en el servidor de correo y que la información estaba manos de reporteros que la habían han sacado de contexto para hacer falsos supuestos. Pero el daño reputacional era de proporciones globales.
A pesar de que Panamá integra el Convenio de Budapest, el Proyecto de Ley 558, que modifica y adiciona artículos al Código Penal sobre crímenes cibernéticos carece de una adecuación integral, aunque es el que más ha avanzado desde 2017 en la Asamblea Nacional, según una columna editorial de Sara Fratti, del Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC), publicada en derechosdigitales.org, en agosto pasado.
Mientras las grandes empresas basadas en tecnología, como Facebook, dan cuenta y enfrentan el escarnio global de las vulnerabilidad, el silencio se pasea por la región centroamericana, como concluyó André Conte.
“Las empresas y gobiernos en Centroamérica son de los peores en admitir cuando tienen una fuga de datos o han tenido un problema de seguridad informática, y cuando lo admiten es para usarlo como mecanismo legal de defensa. Nos falta mucha cultura en estos temas, mientras que el dueño de Facebook es cuestionado por una falla en su sistema que comprometió la privacidad de millones de personas, en Centroamérica se venden bases de datos como si fueran pan en una panadería”, sentenció.
Comentarios