Paco Pérez, experto en Derecho y mentor de la IV National Cyberleague GC.

Opinión

¿Por qué hay empresas que no denuncian los ciberataques?

Socio de derecho digital en Ecix Group y mentor de la IV National Cyberleague GC.

Guardar

No existe obligación legal para las compañías de ciberseguridad de notificar los incidentes que sufren sus clientes.
No existe obligación legal para las compañías de ciberseguridad de notificar los incidentes que sufren sus clientes.

Según datos publicados por el Identity Theft Resource Center (ITRC), durante el primer trimestre de 2022, más del 90% de las brechas de seguridad comunicadas en Estados Unidos han tenido su origen en ciberataques, de entre los cuales destacan el phishing y el ransomware como dos de las principales técnicas empleadas por los cibercriminales para comprometer los datos de las empresas.

Concretamente, entre enero y marzo de 2022, 404 empresas hicieron público fugas de datos, lo que supone un incremento del 14% de incidentes notificados respecto al mismo periodo del año anterior.

Sin embargo, la tendencia, denunciada por el sector de la ciberseguridad, es la de ocultar los incidentes que sufren -cada vez con más habitualidad- las empresas, lo que, además de las cuestiones éticas y regulatorias que acarrea este comportamiento, plantea otro tipo de problemáticas.

Uno de los casos más recordados fue el que afectó a Uber, cuando el 2017 sus sistemas sufrieron un ciberataque que expuso los datos de más de 57 millones de clientes y conductores. En este caso, la compañía decidió pagar 100.000 dólares a los atacantes para que eliminasen la información robada, aunque hicieron público el incidente una vez transcurrido un año desde su finalización.

En este caso, el Departamento de Justicia norteamericano presentó cargos federales contra el CISO de la compañía por haber pagado un rescate a los ciberdelincuentes y silenciar el incidente. En este punto, el Fiscal del Distrito, David Anderson, destacó que “Silicon Valley no es el salvaje Oeste”, y que “esperan un buen comportamiento corporativo”, en el sentido de que las empresas afectadas por ciberataques deben denunciar de inmediato cualquier conducta criminal y colaborar con las investigaciones policiales, lo que implica no ocultar los incidentes que sufran y, mucho menos, pagar a los ciberdelincuentes que los provocan. Hecho estos que -además- son contrarios a muchas de las normativas aplicables en los diferentes estados.

¿Qué ocurre en Europa?

Desde la entrada en vigor del RGPD en mayo de 2018, las agencias de protección de datos han impuesto sanciones ejemplares a empresas que habían sufrido fugas de datos derivadas de incidentes de seguridad, argumentando que las medidas aplicadas no habían resultado adecuadas ni suficientes, tal y como exige el artículo 32 de dicho Reglamento.

Son los casos de British Airways, multada con 230 millones, o Marriott, sancionada con 123 millones. Según datos publicados por la consultora Ecix Group, la cuantía de las sanciones por infracción del citado artículo 32 supera los 39 millones de Euros desde la aplicación del RGPD.

Recordemos que, según el RGPD, las sanciones máximas a imponer pueden alcanzar los 20 millones de Euros o el 4% de la facturación mundial de la empresa afectada, el importe que sea superior.

Ante este escenario, muchas empresas europeas ocultan los ciberataques que sufren, para evitar multas millonarias, obligando a las empresas de ciberseguridad que les asesoran, a garantizar el secreto de esa información a través de la firma de acuerdos de confidencialidad.

Bien es cierto que no existe obligación legal para las compañías de ciberseguridad de notificar los incidentes que sufren sus clientes. No obstante, la firma de un NDA supone una garantía legal a estas compañías que podría eximirles de responsabilidad en el caso de descubrirse la ocultación del ciberataque en cuya gestión trabaja.

La pregunta que se formulan los profesionales de la ciberseguridad tiene que ver con cuáles son los motivos que llevan a las empresas a no revelar los ataques que sufren, o a pagar a los ciberdelincuentes para recuperar la información perdida o para que no publiquen la información comprometida. El planteamiento parece sencillo: notificar un incidente al regulador es una responsabilidad ética y legal de las empresas. Ética, porque gracias a ello el resto del mercado puede ser alertado y aplicar, de este modo, medidas preventivas eficaces que les eviten ser víctimas también del mismo incidente. Legal, porque las fugas de datos afectan negativamente a los derechos y libertades de las personas, especialmente en sus derechos fundamentales a la protección de datos. Pero también se trata de proteger otro tipo de derechos, como los de los inversores, consumidores, terceros y los del mercado en general. Y, al causarse un daño, el derecho está diseñado para que se exija la correspondiente responsabilidad, que en las empresas recae en el empleado que no ha actuado adecuadamente y, en último lugar, en el órgano de administración.

Esto nos lleva, irremediablemente, al debate sobre el intercambio de información, y si la conexión entre Agencias de protección de datos, CERT, fiscalía y fuerzas y cuerpos de seguridad, es un modelo que facilita la notificación de incidentes. Aunque, quizás, el debate no esté tanto en este punto, sino -a juicio del legislador actual- en el nivel de responsabilidad de las empresas y de si gestionan su ciberseguridad aplicando elevados criterios de diligencia profesional, que son los criterios que sí aplican en la protección de otro tipo de activos y de su negocio en general.