Criminalizar la ciberdelincuencia y aumentar los riesgos para los ciberatacantes
Por Martín Colombo, Country Manager de Veeam Argentina
En los últimos años, los ciberataques se han convertido en algo de lo que el público en general es cada vez más consciente. Sin embargo, sigue existiendo la percepción, ciertamente por fuera de la industria IT, de que los ciberataques son sólo algo que ocurre en Internet. Es difícil relacionar y equiparar el impacto de la ciberdelincuencia en sus víctimas, ya sea un individuo que ha caído en una estafa online o una empresa que se ha visto obligada a pagar un rescate para restaurar sus sistemas. Por este motivo, no siempre parece que la ciberdelincuencia se vea o se trate como un delito «real».
Aunque reconocemos que la ciberdelincuencia es un delito real, para algunos puede ser difícil de asumir. La idea de sentirse totalmente indignado por el hecho de que un hacker derribe una empresa multinacional puede parecer un poco exagerada. Posiblemente, esto se deba a los estereotipos que pintan a los ciberdelincuentes como jóvenes con conocimientos informáticos que no tienen nada mejor que hacer que «resistirse a la autoridad». Hay que tener en cuenta que la mayoría de los ciberataques son obra de enormes carteles del crimen, organizados y con mucho dinero a su disposición. ¿Eso te suena a delito?
¿Somos culpables de culpar a las víctimas?
Lo cierto es que la ciberdelincuencia es un delito real y las empresas que caen en él son víctimas. Sin embargo, el nivel de simpatía hacia las organizaciones que lo padecen es muy diferente al que le daríamos a un individuo. Si alguien te dice que ha sido hackeado, que su información personal ha sido comprometida y que le han robado dinero, tu reacción natural probablemente no sea decir que es su culpa. Sin embargo, las filtraciones cibernéticas son una fuente de daños duraderos a la reputación de las empresas. Tendemos a suponer que han hecho algo malo o que han actuado sin cuidado. Como alguien que ha trabajado en la industria de la protección de datos durante años, podría estar de acuerdo con esto. La gran mayoría de los incidentes cibernéticos son evitables y son el resultado de que las organizaciones no sigan las mejores prácticas, de que tengan una mala higiene digital y/o de un software desactualizado o sin parches.
Sin embargo, ¿hay algún otro tipo de delito que se centre casi exclusivamente en culpar a la víctima y tan poco en llevar a los delincuentes ante la justicia? Se considera que las empresas son las culpables en lugar de las víctimas y se acepta que los delincuentes son impunes debido a la falta de un marco jurídico mundial acordado. Si un delincuente de otro país viaja a Argentina, por ejemplo, y comete un delito contra una empresa en el territorio nacional, existe todo un proceso diplomático para garantizar que esta persona sea llevada ante la justicia y la víctima sea indemnizada. Este no es el caso cuando se trata de ransomware.
La cooperación internacional e intercontinental es la única manera de crear un entorno en el que los riesgos sean mayores que las recompensas para los ciberatacantes. El yugo del ransomware se aceleró durante la pandemia, aumentando el apetito de los líderes gubernamentales y empresariales por romper el impasse geopolítico que ha permitido a los ciberdelincuentes hacer estragos. No será fácil, y aún faltan años para encontrar una solución holística viable.
Aprender a defenderse
A falta de un sistema de justicia que nos proteja completamente de los malos, el instinto básico de supervivencia humano exige que aprendamos a defendernos. En el contexto de la ciberseguridad, esto significa centrarse en algunos aspectos fundamentales. En primer lugar, todas las empresas necesitan contar con un responsable de seguridad IT con acceso a los líderes de la empresa y con autoridad para dirigir una iniciativa de seguridad. En el caso de las pequeñas empresas, es absolutamente necesario contar con un recurso designado para la ciberseguridad y especializado en la protección de datos. En segundo lugar, las empresas deben tener una higiene digital impecable. Esto incluye la formación obligatoria de todos los empleados para que reconozcan los posibles ataques, entiendan a quién deben informarlos y comprendan por qué es importante. Cuanto más se convenza la gente de la necesidad de una buena higiene digital, más alerta y dispuestos estarán a abrir los ojos.
Por último, nunca pagar el rescate. Las organizaciones que pagan rescates alimentan la percepción del «día de cobro fácil» que hace que los ciberdelincuentes sigan haciéndolo. En cuanto las empresas dejen de pagar rescates, veremos cómo se reduce la popularidad del ransomware como técnica de extorsión. Aunque las empresas que sufren ciberataques son realmente víctimas, son responsables de proteger los datos que utilizan, procesan y almacenan. Pagar a los ciberdelincuentes para que los sistemas vuelvan a estar en línea es una estrategia de defensa insostenible. A medida que los Gobiernos se vuelvan más activos para tratar de evitar la propagación del ransomware, es posible que veamos a las empresas que lo hacen ser investigadas y reprendidas por los reglamentadores independientes.
Está claro que hacer frente a la implacable y masiva actividad de los ciberdelincuentes contra empresas e individuos será un esfuerzo internacional tanto del sector público como del privado. Si bien es importante que la ciberdelincuencia sea debidamente «criminalizada» y que los autores sean llevados ante la justicia, las empresas deben comprender la responsabilidad que tienen ante sus clientes y colaboradores de proteger los datos que se encuentran en su jurisdicción. Esto sólo puede hacerse aplicando una moderna estrategia de protección de datos que combine defensas eficaces de ciberseguridad de primera línea con un enfoque integral de backups y recuperación de desastres.