Cuando una empresa es víctima de una brecha de seguridad, toda la organización suele entrar en pánico, y más si el incidente es grave. Según el RGPD, se debe notificar a la autoridad de control en un plazo de 72 horas. Además, si el incidente representa un alto riesgo para los derechos y libertades de los afectados, también es obligatorio informarles directamente, y todo esto bajo una situación de estrés extremo y confusión que complica la gestión del incidente.
Tras una brecha de seguridad, lo primero en lo que uno piensa es en las consecuencias económicas —como una posible multa de la autoridad de control— y el pago de indemnizaciones a los afectados por los daños y perjuicios ocasionados. Sin embargo, una brecha de seguridad pone en riesgo algo aún más crítico: la reputación del negocio, afectando a la confianza de clientes, socios e inversores y, por qué no, también a la viabilidad de la empresa.
Pongamos un ejemplo: imaginemos una red social con millones de usuarios en todo el mundo, en la que los usuarios, mayormente casados o con relaciones estables, buscan encuentros esporádicos o aventuras amorosas. Supongamos que un hacker accede a su base de datos, donde constan nombres, direcciones, teléfonos, correos electrónicos, datos de tarjetas bancarias y hasta gustos o preferencias sexuales. El hacker contacta con los responsables de la red social y amenaza con publicar el contenido en Internet. El caso es real, de hecho fue muy mediático, allá por el año 2015. La red social era Ashley Madison y el número de usuarios afectados superaba los 37 millones en todo el mundo.
El grupo de hackers —conocido como The Impact Team— no reclamó dinero. Presentaron el ataque como una especie de castigo por engañar a los usuarios (la compañía les cobraba 19 dólares por borrar su perfil cuando solicitaban la baja, pero los datos no eran borrados). Tras el ataque, los hackers divulgaron el siguiente mensaje: «Denuncia y reclama daños y perjuicios. Luego sigue adelante con tu vida. Aprende la lección y repara tus daños. Ahora es una situación vergonzosa, pero la superarás».
La compañía, tras hacerse público el caso, emitió una declaración en la que anunciaba su compromiso para esclarecer los hechos, dejando la investigación en manos de expertos forenses y profesionales de la seguridad de la información, además de colaborar con las autoridades. Días después, aparecieron en Internet las primeras filtraciones de datos. El escándalo era mayúsculo y empezaban a salir noticias de suicidios entre los afectados.
Los responsables de Ashley Madison salieron ofreciendo una recompensa de 500.000 dólares canadienses a quien proporcionara información veraz que llevara a la identificación, detención y condena de la persona o personas responsables del robo de datos. El anuncio no consiguió amedrentar a los hackers, quienes, en represalia, publicaron aún más datos en la red.
Las autoridades competentes (FBI, el Departamento de Seguridad Nacional y la Policía Montada de Canadá) iniciaron una investigación que reveló prácticas laxas de la compañía en protección de datos y seguridad de la información. Las consecuencias no se hicieron esperar: la empresa tuvo que abonar una multa y una demanda colectiva de damnificados que reclamaban más de 567 millones de dólares, si bien el proceso terminó con un acuerdo por poco más de 11,2 millones.
El fundador y director ejecutivo de la compañía, Noel Biderman, renunció a su cargo y abandonó la empresa en agosto de 2015. No solo eso, también perdió a su esposa, pues los hackers filtraron correos que revelaban sus propios encuentros sexuales con otras mujeres.
La empresa, tras aquella brecha de seguridad, no solo sufrió pérdidas económicas significativas, sino que también sufrió un daño irreparable en su reputación, que hizo que millones de usuarios buscaran refugio en plataformas alternativas. La empresa consiguió salvarse, pero perdió su posición dominante.
Netflix estreno en 2024 una serie documental, titulada «Ashley Madison: Sexo, mentiras y escándalo», de tres capítulos donde narra no solo el auge y la caída del sitio de citas extramatrimoniales, sino también las consecuencias de la filtración de datos en la vida de varias personas. Hulu también lanzó otra serie llamada «The Ashley Madison Affair».
En el año 2020, en España, cientos de usuarios fueron víctimas de chantajes basado en datos filtrados cinco años antes en Internet. Como reza el refrán, «de aquellos barros, estos lodos».
Conclusión
Imagine que es su empresa la que es víctima de un ataque informático y que su base de datos se ve comprometida. Uno puede pensar que no corre riesgo, porque esas cosas solo les pasan a las grandes compañías, pero no es así. Las grandes compañías están cada vez mejor blindadas, con inversiones millonarias en ciberseguridad. Por ello, los atacantes se dirigen cada vez más hacia empresas medianas o pequeñas que carecen de medidas adecuadas, convirtiéndolas en presas fáciles.
—
Fuentes
https://elpais.com/tecnologia/2015/07/20/actualidad/1437385855_079233.html
https://www.abc.es/tecnologia/redes/20150823/abci-demanda-ashley-madison-201508231800.html
https://www.muycomputer.com/2017/07/17/demanda-colectiva-ashley-madison/
