Criminalización de la ciberdelincuencia y aumento de los riesgos
Por Dave Russell, VP, Enterprise Strategy, en Veeam.
En los últimos años, los ciberataques se han convertido en algo de lo que el público en general es cada vez más consciente. Sin embargo, sigue existiendo la percepción, especialmente fuera de la industria de las IT, de que los ciberataques son sólo algo que ocurre en Internet. Es difícil relacionar y equiparar el impacto de la ciberdelincuencia en sus víctimas, ya sea un individuo que ha caído en una estafa online o una empresa que se ha visto obligada a pagar un rescate para restaurar sus sistemas. Por esta razón, no siempre parece que la ciberdelincuencia se vea o se trate como un delito «real».
Aunque reconocemos que la ciberdelincuencia es un delito real, para algunos puede resultar difícil de asumir. La idea de sentirse totalmente indignado por el hecho de que un hacker derribe una empresa multinacional puede parecer un poco exagerada. Posiblemente, esto se debe a los estereotipos que describen a los ciberdelincuentes como jóvenes descontentos de la informática que no tienen nada mejor que hacer que «golpear al hombre». Hay que tener en cuenta que la mayoría de los ciberataques son obra de enormes bandas del crimen que están organizados y son adinerados. Se trata de operaciones muy sofisticadas cuyo objetivo es robar dinero a la empresa que paga tu salario y al gobierno que recauda tus impuestos. ¿Le parece un delito?
¿Somos culpables de culpar a las víctimas?
El hecho es que la ciberdelincuencia es un delito real y las empresas que caen en él son víctimas. Han sufrido un delito cometido contra ellas. Sin embargo, el nivel de empatía hacia las organizaciones que sufren infracciones es muy diferente al que le daríamos a un individuo. Si alguien te dice que ha sido hackeado, que su información personal ha sido comprometida y que le robaron dinero, tu reacción natural probablemente no sea decir que es su culpa. Sin embargo, las infracciones cibernéticas son una fuente de daños perdurables para la reputación de las empresas. Tendemos a suponer que han hecho algo malo o que actuaron sin cuidado. Como alguien que ha trabajado en la industria de la protección de datos durante más de 32 años, tendería a estar de acuerdo con esto. La gran mayoría de los incidentes cibernéticos son evitables y son el resultado de que las organizaciones no sigan las mejores prácticas, una mala higiene digital y/o un software anticuado o sin parches.
Sin embargo, ¿hay algún otro tipo de delito que se centre casi exclusivamente en culpar a la víctima y no en llevar a los delincuentes ante la justicia? Se considera que las empresas son las culpables en lugar de ser las víctimas y se acepta que los delincuentes son impunes debido a la falta de un marco jurídico y un sistema de justicia mundial acordados. Si un delincuente de otro país viaja a EE.UU., por ejemplo, y comete un delito contra una empresa en suelo estadounidense, existe todo un proceso diplomático para garantizar que esta persona sea llevada ante la justicia y la víctima sea indemnizada. Este no es el caso cuando se trata de ransomware.
La cooperación internacional e intercontinental es la única manera de crear un entorno en el que los riesgos sean mayores que las recompensas para los ciberatacantes. El aumento del ransomware se aceleró durante la pandemia, aumentando el interés de los líderes gubernamentales y empresariales por romper el “impasse” geopolítico que les permitió a los ciberdelincuentes hacer estragos. Pero no va a ser fácil, y aún faltan años para encontrar una solución integral viable.
Aprenda defensa personal
A falta de un sistema de justicia que nos proteja completamente de los delincuentes, el instinto básico de supervivencia humana exige que aprendamos a defendernos. En el contexto de la ciberseguridad, eso significa centrarse en algunos aspectos fundamentales. En primer lugar, todas las empresas necesitan contar con un responsable de seguridad informática con acceso a la dirección de la empresa y con autoridad para dirigir la iniciativa de seguridad. En el caso de las empresas más pequeñas, es absolutamente necesario contar con un recurso con responsabilidad designada para la ciberseguridad y especializado en la protección de datos. En segundo lugar, deben practicar una higiene digital impecable. Esto incluye la formación obligatoria de todos los empleados para que reconozcan los posibles ataques, entiendan a quién deben informar y comprendan por qué es importante. Cuanto más sepa la gente de la necesidad de una buena higiene digital, más alerta estarán.
Por último, nunca hay que pagar el rescate. Las organizaciones que lo hacen, alimentan la percepción del «pago fácil» que hace que los ciberdelincuentes sigan haciéndolo. En cuanto las empresas dejen de pagar rescates, veremos cómo se reduce la popularidad del ransomware como técnica de extorsión. Aunque las empresas que sufren ciberataques son realmente víctimas, son responsables de proteger los datos que utilizan, procesan y almacenan. Pagar a los ciberdelincuentes para que los sistemas vuelvan a estar en línea es una estrategia de defensa insostenible. A medida que los gobiernos se vuelvan más activos para tratar de evitar la propagación del ransomware, es posible que veamos a las empresas que lo hacen investigadas y castigadas por reguladores independientes.
Está claro que para hacer frente a la incesante y masiva actividad de los ciberdelincuentes contra empresas y particulares es necesario un esfuerzo internacional tanto del sector público como del privado. Si bien es importante que la ciberdelincuencia sea debidamente «penalizada» y que los autores sean llevados ante la justicia, las empresas deben comprender la responsabilidad que tienen ante sus clientes y empleados de proteger todos los datos dentro de su jurisdicción. Esto sólo puede hacerse aplicando una estrategia moderna de protección de datos que combine defensas eficaces de ciberseguridad de primera línea con un enfoque integral de los backups de los datos y la recuperación de desastres.