Cuando una empresa es víctima de una brecha de seguridad, toda la organización entra en pánico, y más si el incidente es grave. En el plazo de 72 horas hemos de comunicar a la autoridad de control el incidente. Si se ponen en alto riesgo los derechos y libertades de los afectados también hemos de informarles. Todo bajo una situación de estrés límite.
Tras una brecha de seguridad, lo primero en lo que uno piensa es en las consecuencias económicas (posible multa de la autoridad de control) y en el pago a los afectados de indemnizaciones por los daños y perjuicios ocasionados, pero una brecha de seguridad pone en riesgo algo más: la reputación del negocio que puede afectar, incluso, a su viabilidad.
Pongamos un ejemplo: tenemos una red social con millones de usuarios en todo el mundo en la que los usuarios y usuarias, mayormente casados y casadas o con relaciones estables, buscan encuentros esporádicos o aventuras amorosas. Ahora, pongamos que un hacker se hace con esa base de datos, donde constan nombres, direcciones, teléfonos, correos electrónicos, datos de tarjetas bancarias y hasta gustos o preferencias sexuales. El hacker se pone en contacto con los responsables de la red social y amenaza con publicar el contenido en Internet. El caso es real, de hecho fue muy sonado, allá por el año 2015. La red social era Ashley & Madison y el número de usuarios afectados superaba los 35 millones en todo el mundo.
El grupo de hackers no reclamó dinero. El ataque fue presentado como una especie de castigo por engañar a los usuarios y usuarias (la compañía les cobraba 19 $ por borrar su perfil cuando solicitaban la baja, pero los datos no eran borrados). Tras el ataque, los hackers divulgaron el siguiente mensaje: «Denuncia y reclama daños y perjuicios. Luego sigue adelante con tu vida. Aprende la lección y repara tus daños. Ahora es una situación vergonzosa, pero la superarás».
La compañía, tras hacerse público el caso, lanzó una declaración en la que anunciaba su compromiso para esclarecer los hechos, dejando la investigación en manos de expertos forenses y profesionales de la seguridad de la información, además de colaborar con las autoridades. Días más tarde, aparecen en Internet las primeras filtraciones de datos. El escándalo era mayúsculo y empezaban a salir noticias de suicidios entre los afectados.
Los responsables de Ashley & Madison salieron ofreciendo una recompensa de 375.000 $ a cualquier persona con información veraz que llevara a la identificación, detención y condena de la persona o personas responsables del robo de datos. El anuncio no consiguió amedrentar a los hackers, que como represalia publicaron más datos en Internet.
Las autoridades competentes (FBI, el Departamento de Seguridad Nacional y la Policía Montada de Canadá) iniciaron una investigación que reveló prácticas laxas de la compañía en protección de datos y seguridad de la información. Las consecuencias no se hicieron esperar: la empresa tuvo que abonar una multa, las pérdidas de usuarios se contaron por millones y las indemnizaciones a los afectados rondaron los 30.000.000 $. Asimismo, el Director Ejecutivo y fundador de la compañía (Noel Biderman) terminó renunciando a su cargo y dejando la empresa.
En el año 2020 en España cientos de usuarios fueron víctimas de chantajes. Los datos de estos fueron filtrados cinco años antes en Internet. Como dice el refrán «de aquellos barros estos lodos».
La empresa, tras aquella brecha de seguridad, no solo sufrió pérdidas económicas, también sufrió un tremendo daño en su reputación, que hizo que millones de usuarios buscaran refugio en plataformas alternativas. La empresa consiguió salvarse, pero perdió su posición dominante.
Ahora imagine que es su empresa la que es víctima de un ataque informático y que es su base de datos la que se ve comprometida. Uno puede pensar que no corre riesgo porque esas cosas solo le pasan a las grandes compañías. No se crean. Las grandes compañías cada vez están mejor blindadas, de forma que los ataques se dirigirán, cada vez más, sobre aquellas empresas que son vulnerables, porque carecen de medidas de seguridad, lo que las convierte en «presas fáciles».
—
Fuentes:
https://elpais.com/tecnologia/2015/07/20/actualidad/1437385855_079233.html
https://www.abc.es/tecnologia/redes/20150823/abci-demanda-ashley-madison-201508231800.html
https://www.muycomputer.com/2017/07/17/demanda-colectiva-ashley-madison/
