Por qué las empresas prefieren no contar nada si las hackean

Yahoo y Uber son solo dos nombres en la larga lista de multinacionales que han escondido bajo la alfombra sus agujeros de seguridad y correspondientes robos de grandes volúmenes de datos de sus usuarios. Si en el caso de la aplicación de transporte fueron 57 millones los clientes afectados por una sustracción efectuada en 2016, el portal de internet tuvo constancia de la filtración de alrededor de 500 millones de cuentas en 2014. Ambas empresas se encargaron de ocultar los incidentes durante más de un año. ¿Quién iba a darse cuenta si los pocos enterados cerraban bien la boca?

Pero todo acabó saliendo a la luz. A finales del año pasado, el máximo responsable de seguridad de Uber se veía obligado a dimitir después de que medios estadounidenses desvelaran que había llegado, incluso, a pagar a los hackers para deshacerse de las pruebas. El pasado mes de abril, le cayeron a Yahoo, ahora propiedad de Verizon Communications, 35 millones de dólares (cerca de 30 millones de euros) de multa de manos de la Comisión de Bolsa y Valores estadounidense. La medida sienta precedentes al ser la primera vez que la agencia penaliza a una empresa víctima de una vulneración de la seguridad de los datos.

En Europa, sin embargo, las consecuencias para la tecnológica con sede en Dublín no han sido tan graves: según ha anunciado recientemente, la comisaria de protección de datos de Irlanda no ha podido imponerle una sanción porque los hechos tuvieron lugar antes de la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo. De darse una negligencia similar a partir de ahora, las autoridades europeas podrían imponer multas de hasta 20 millones de euros o del 4 % de la facturación anual a las compañías.

“La transparencia es importante siempre, pero es especialmente relevante cuando se trata de los datos de carácter personal de los clientes”, indica a eldiario.es Alejandro Ramos, máximo responsable de seguridad de la información en Telefónica. Además de una estrategia de seguridad digital, la empresa cuenta con un protocolo interno “que da respuesta a la estrategia de transparencia del grupo con sus clientes y accionistas” y que cumple con las obligaciones legislativas que la compañía debe satisfacer por su condición de infraestructura crítica y empresa de telecomunicaciones.

Aunque la legislación que marca las directrices sobre transparencia en materia de ciberseguridad es difusa, lo cierto es que existen diferentes normas que estipulan obligaciones para las empresas en nuestro país. El Esquema Nacional de Seguridad (ENS) “establece la obligatoriedad de notificación de incidentes significativos para el sector público”, explica Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional (CCN-CERT).

Para el ámbito privado, tanto la directiva europea NIS —aún en proceso de transposición— como el RGPD fijan también responsabilidades. La primera establece la obligación de notificar incidentes de seguridad que afecta a los sectores TIC y de infraestructuras y servicios digitales, además de a otros 12 sectores. La segunda exige el nombramiento de un director de seguridad de la información y una doble comunicación cuando se trata de datos personales de clientes: tanto a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas como a los usuarios afectados.

La notificación de los fallos o ataques es uno de los puntos esenciales de los protocolos de seguridad digital, que en general contemplan medidas para anticipar, prevenir, detectar y responder ante incidentes o ataques. Unos pilares que también se basan en las mejores prácticas y estándares marcados para la industria, como las recogidas en las normas de la Organización Internacional de Normalización (ISO, por sus siglas en inglés) o las ISF (de International Featured Standards).

“El objetivo de la comunicación de incidentes es múltiple. Busca que el cliente esté protegido y sea consciente de que sus datos se han filtrado, que otras organizaciones aprendan sobre lo ocurrido y mejoren su seguridad y para concienciar al resto de compañías sobre la necesidad de invertir en seguridad”, explica Ramos.

Buzones abiertos para denuncias internas y externas

Aparte de las citadas, hay otras vías posibles para informar sobre los agujeros de seguridad detectados. “Deben establecerse mecanismos anónimos de comunicación de los diferentes incidentes que puedan producirse dentro de la empresa”, indica Ruth Sala, abogada especializada en delitos tecnológicos. Unas vías que, según la jurista, habrá que adaptar a cada compañía.

Telefónica ha abierto un canal de comunicación en su web “para que puedan enviarnos la información relativa a fallos de seguridad de todo el grupo”. Ramos asegura que quienes hagan revelaciones pueden hacerlo “sin tener miedo a ser denunciados o a que haya consecuencias por ello”. Abren así una vía de comunicación con los llamados hackers éticos, aquellos que deciden poner a prueba los sistemas corporativos para encontrar fallos de seguridad y solucionarlos.

El grupo de telecomunicaciones no es el único que apuesta por este tipo de medidas. En el 2015, ING lanzó en España el programa Responsible DisclosureResponsible Disclosure, una iniciativa que la entidad bancaria mantiene a nivel mundial y que también pretende abrir “un canal de comunicación con posibles investigadores de seguridad que muchas veces se encuentran con el problema de no saber cómo reportar lo que detectan”, describe Sergio García, director de seguridad de la información de la entidad.

Mientras que otros optan por “ignorar, desmentir o amenazar a quien informa”, para García y su equipo “esto no tiene ningún sentido”: “Un programa de este tipo genera beneficios tanto para la entidad como para sus clientes”, asegura. Aunque las garantías de protección y confidencialidad que ofrecen eliminan la necesidad de anonimizar los partes, “los usuarios son libres de hacerlo de forma anónima si quieren”. En ocasiones, pueden incluso recibir a cambio una recompensa económica por su hallazgo.

De manera interna, los empleados pueden comunicar libremente la existencia de algún problema al área de seguridad de la información de la entidad. “Como parte del código de conducta de ING, es algo que se debe hacer”, dice el experto en seguridad del grupo financiero. En cuanto a la transparencia de cara a los usuarios, “se trata de una cuestión de confianza: en caso de un incidente grave, es necesario que los clientes sepan qué es lo que ha pasado con sus datos para actuar en consecuencia”, indica García.

¿Y las consecuencias?

Si la empresa no responde o si no ha gestionado adecuadamente la situación, también existen formularios para denunciar ante la AEPD incumplimientos de la normativa de protección de datos. Sin embargo, más allá de las sanciones que contempla el RGPD, “determinar si una empresa ha gestionado mal un incidente es un asunto con muchas aristas”, advierte Candau.

Tanto la agencia de protección de datos como otras autoridades como el CCN-CERT y el Centro Nacional de Protección de Infraestructuras y Ciberseguridad podrían actuar de oficio ante la denuncia de una actuación inadecuada o insuficiente. Pero “es una situación que no está madura”, indica el responsable del CCN-CERT. “Los incidentes son situaciones excepcionales y los parámetros para evaluar cómo se ha resuelto no están consolidados”.

A pesar de que en el marco del ENS miden el tiempo de repuesta ante incidencias y se considera, en general, que se incumple la normativa si “no se notifica con diligencia”, Candau reitera que “no hay antecedentes para saber si se ha actuado de la manera más eficiente”.

Lo que sí demuestran casos como los de Yahoo y Uber es que, en la era de la comunicación, pocos secretos pueden ocultarse eternamente. Y menos con la fijación de nuevas obligaciones legales para las empresas, represalias por su incumplimiento y canales de denuncia que pavimentan el camino hacia una mayor transparencia en materia de ciberseguridad.

-------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Eric Hayes, Cèdric Puisney y Alexandre Dulaunoy