La ciberseguridad como problema de TI es cosa del pasado

El último trimestre de 2015 fue testigo de una serie de violaciones de datos de alto perfil que pueden llegar a ser un punto de inflexión en las actitudes públicas hacia la seguridad de los datos. El truco de TalkTalk, en particular, define el nuevo riesgo normal para las empresas del siglo XXI. Las estimaciones sitúan el coste para la empresa en 60 millones de libras esterlinas y entre 100.000 y 250.000 clientes perdidos.[1].
Por casualidad, este período también vio la publicación del borrador final del nuevo Reglamento General Europeo de Protección de Datos, que define la nueva norma regulatoria para cualquier empresa que posea o procese datos de ciudadanos de la UE.
Estos eventos deberían hacer sonar las alarmas en las salas de juntas de todo el país, porque las infracciones son un evento habitual en la mayoría de las organizaciones. La Encuesta de infracciones de seguridad de la información de 2015, realizada por PWC para el gobierno del Reino Unido, encontró que el 90% de las grandes organizaciones y el 74% de las pequeñas empresas sufrieron una infracción de datos en 2014-15.[2]. De hecho, la mayoría sufrió múltiples infracciones: la mediana de las grandes organizaciones fue un asombroso 14. La mayoría de las infracciones se deben a errores humanos, pero una cuarta parte de las grandes organizaciones (y una de cada siete más pequeñas) informaron que sus redes habían sido penetradas por personas externas no autorizadas . Cuando esto había ocurrido, el 80% de los encuestados admitió que había sucedido “algunas veces” o más.
Por supuesto, estas cifras solo tienen en cuenta los ataques detectados y las tasas de detección no son excelentes. Según el mismo informe, solo alrededor del 40% de los incidentes fueron identificados por la seguridad interna de rutina u otros controles de la organización; más del 25% fueron detectados por accidente o por notificación desde fuera de la empresa (es decir, la policía o los medios de comunicación). Esto ayuda a explicar los resultados de una encuesta de Hewlett Packard y FireEye en los EE. UU., Que encontró que el tiempo medio para detectar una infracción fue de 205 días y que se necesitaron 31 días más para contenerla. En otras palabras, los perpetradores de un hackeo exitoso pueden contar con una ventaja de ocho meses sobre las autoridades.[3].
Las señales son que los consumidores se están volviendo mucho menos tolerantes con las empresas y los organismos públicos que no pueden mantener segura su información personal. Una encuesta encargada por la ICO en enero de 2016 encontró que más de las tres cuartas partes de los encuestados considerarían dejar de usar los servicios de una empresa si recibieran noticias de una violación de datos.[4]. Una investigación más reciente de CSID encontró que el 21% de las personas ya habían dejado de usar un servicio en línea debido a preocupaciones sobre la seguridad de los datos. El mismo porcentaje de personas, seguramente no es una coincidencia, informó que habían sido víctimas de fraude de identidad en el pasado.
Las empresas están respondiendo a la creciente amenaza del ciberdelito invirtiendo en tecnología. Gartner estima que las empresas de todo el mundo invertirán $ 101 mil millones en seguridad de la información para 2018, frente a los $ 77 mil millones del año pasado.[5]. Sin embargo, según CESG, el brazo de seguridad de la información de GCHQ, «no existe el 100% de seguridad y su organización probablemente experimentará algún tipo de ataque cibernético en algún momento».[6]
Parte de la razón es que la amenaza cibernética se ha transformado durante la última década. La actividad anterior se basó en ataques ingeniosamente elaborados por personas capacitadas. En contraste, el ciberdelito moderno se ha vuelto industrial en escala y enfoque: barato, producido en masa y de fácil acceso. Las comunidades de piratería, los grupos de discusión y los recorridos en línea son abundantes y fáciles de encontrar. Las herramientas que antes eran propiedad exclusiva de los piratas informáticos profesionales (kits de explotación, troyanos de acceso remoto (RAT) y taquillas criptográficas) pueden ser adquiridas por cualquiera que desee hacerlo. El ransomware a menudo se proporciona de forma gratuita a cambio de un porcentaje de la toma de bitcoins. Los mercados en línea permiten comprar fácilmente información personal y detalles de tarjetas de crédito. Los niños pequeños, conocedores de la tecnología que buscan elogios, validación o simplemente se ríen a expensas de los demás, están recurriendo al ciberdelito para divertirse. La evidencia de esto se puede encontrar en la mayoría de los delitos recientes de alto perfil. Por ejemplo, la violación de TalkTalk y el ataque a los sistemas Sony PlayStation y Xbox fueron presuntamente perpetrados por jóvenes de entre 15 y 20 años.
Estas tendencias son comunes en toda Europa, lo que explica por qué la Comisión Europea está tomando medidas para estandarizar las reglas para mantener la seguridad de los datos. Según el Reglamento general de protección de datos, que se adoptará en el verano de 2016 y entrará en vigor en 2018, las organizaciones estarán obligadas a informar a su comisionado de datos (el ICO en el Reino Unido) de cualquier infracción e informar a las personas si la infracción podría afectar su privacidad o seguridad. Se debe informar a las personas sobre lo que se ha robado y se les deben proporcionar las recomendaciones adecuadas para mitigar los posibles efectos adversos. En resumen, las organizaciones deben brindar a las víctimas protección contra todas las formas de fraude que podrían resultar del abuso de sus datos personales perdidos. Se trata de un cambio importante: en la actualidad, cualquier «protección de identidad» ofrecida suele estar dirigida únicamente a proteger el expediente crediticio de la víctima.
Los cambios en las sanciones económicas por hacer las cosas mal son igualmente importantes. Según las regulaciones actuales, la ICO puede multar a las organizaciones con un máximo de £ 500,000. Las nuevas normas de la UE aumentarán eso a 20 millones de euros, o el 4% de los ingresos globales, lo que sea mayor.
Las organizaciones están atrapadas entre la creciente amenaza del ciberdelito a escala industrial, llevada a cabo por una generación de piratas informáticos semicualificados que emplean herramientas fáciles de usar; la actitud cada vez más indiferente del público; y exigiendo nuevas regulaciones que no tienen más remedio que cumplir. De ahora en adelante, deberán contar con un plan de respuesta que se pueda implementar rápidamente; que cubre todas las formas de violación de datos; que proporciona información autorizada y asesoramiento sobre posibles riesgos de fraude; y que ayuda a las personas a resolver con éxito cualquier caso que ocurra. Todas las empresas que recopilan y almacenan información personal deben convertirlo en un elemento central de su estrategia para 2016.

[1] http://www.scmagazineuk.com/costs-of-talktalk-breach-amount-to-60m/article/470968/
[2] ‘Encuesta sobre infracciones de la seguridad de la información de 2015: Informe técnico’, HM Government.
[3] ‘M-Trends 2015: Una vista desde las primeras líneas’, Mandiant; e ‘Informe mundial sobre el costo del delito cibernético’, Ponemon Institute, 2014.
[4] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/01/your-reputation-is-at-risk-if-you-don-t- mantener-los-datos-seguros-ico-warns
[5] http://www.reuters.com/article/us-talktalk-cyberattack-stocks-idUSKCN0SO1OX20151030
[6] https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/400106/Common_Cyber_Attacks-Reducing_The_Impact.pdf