Esta semana, La Voz de Galicia publicó una noticia con el siguiente titular: «Una estafa en Internet con más de cien mil víctimas potenciales». Pueden ver la publicación haciendo clic aquí. El caso es el siguiente:
El complejo turístico Cabaniñas do Bosque, situado en Outes (A Coruña), quiso premiar la fidelidad de sus seguidores regalando un bono para disfrutar de una noche en sus instalaciones. El negocio tiene más de cien mil seguidores en Facebook e Instagram. El problema surgió cuando les suplantaron la identidad. Los hackers crearon cuentas falsa con el mismo perfil y contenido, a través de las cuales enviaron mensaje a sus seguidores, diciendo que habían ganado el sorteo y que, aunque la estancia era gratis, tenían que facilitar sus datos personales y un número de tarjeta bancaria.
Los responsables de la empresa hicieron lo correcto: denunciaron la suplantación a los responsables de Facebook e Instagram, y emitieron un comunicado a través de dichas redes y de la prensa. Desconozco si denunciaron los hechos ante las autoridades. Podían haber optado por no hacer nada y dejarlo correr, pues tras el sorteo las cuentas de los hackers dejaron de tener actividad, pero sería un error.
Otro caso de suplantación de identidad, de gran repercusión, lo sufrió la farmacéutica gallega Zendal en diciembre de 2020, con una estafa que ascendió a más de 9 millones de euros, mediante la técnica de phising conocida como «Fraude del CEO». Haciendo clic aquí pueden consultar la noticia.
Hay muchos casos similares. Por ejemplo, en abril de 2020, el Colegio de Médicos de A Coruña realizó una campaña de recogida de fondos para mejorar la protección de los facultativos en la lucha contra el COVID-19. Al día siguiente del anuncio, el Colegio detectó la circulación de un correo electrónico fraudulento, enviado desde Rusia, en el que se usurpaba la identidad del decano para redirigir los fondos a una cuenta controlada por los estafadores. La noticia pueden verla aquí.
¿Qué hacer en caso de ser víctimas de un ataque?
Aparte de la notificación a la AEPD en las 72 horas siguientes al descubrimiento del ciberataque, y a los afectados si existe un alto riesgo para sus derechos y libertades, es esencial presentar una denuncia ante las autoridades policiales. Pueden hacerla ante la Guardia Civil, que dispone del llamado Grupo de Delitos Telemáticos (GDT). Pueden acceder a su web haciendo clic aquí. Igualmente, pueden presentarla en la Policía Nacional. Aquí les dejo un enlace a su Oficina Virtual de Denuncias. Antes de formular la denuncia, deben recoger el máximo de pruebas posibles (capturas de pantalla, comunicaciones de los afectados, registros de transacciones, etc.)
Una vez cursada la denuncia, evalúen el daño reputacional y la repercusión que el ataque ha tenido en terceros, como clientes, socios o inversores. Para comunicar el incidente públicamente pueden emplear las redes sociales propias, o los medios de comunicación, o ambos. Tras ello, implementen un plan de contingencia para recuperar la normalidad, corrigiendo los errores de seguridad que pudieran haberse producido.
En muchas ocasiones, los ciberdelitos quedan impunes, especialmente si la IP del atacante se encuentra en países como Rusia o China, donde la colaboración internacional es limitada. Sin embargo, es un deber cívico y legal alertar a las Fuerzas y Cuerpos de Seguridad del Estado, ya que contribuye a la prevención de futuros ataques y al fortalecimiento de las bases de datos de inteligencia cibernética.
Ejemplo de buen hacer
Voy a contarles una historia con moraleja, que igual muchos desconocen:
En el año 1997, Mercedes-Benz apostaba por el lanzamiento de un modelo urbano que bautizaron como Clase A, diseñado para mantener el prestigio de la marca en segmentos superiores y atraer a nuevos clientes que nunca habían considerado un Mercedes por su precio elevado o su imagen de vehículo de representación.
Aquel modelo destacaba por su altura y por la corta distancia entre ejes: era alto, corto y estrecho. Aunque su diseño era controvertido (para mi gusto, resultaba poco atractivo), su diferencia lo hacía interesante en un mercado saturado.
Mercedes anunció el modelo a bombo y platillos, pero las cosas se torcieron cuando un periodista sueco, en una prueba para su revista de motor, volcó el coche en la llamada «prueba del alce», que consiste en una maniobra de esquiva sin frenada a una velocidad de entre 75 y 80 km/h, que simula la aparición de un obstáculo en la calzada al que hay que esquivar, algo muy típico en los países nórdicos cuando los alces cruzan repentinamente la carretera, de ahí el nombre que se ha dado a la prueba.
El Clase A se convirtió en un fiasco inicial. Nadie quería un coche potencialmente peligroso y el prestigio de la marca estaba en entredicho.
¿Qué hizo Mercedes-Benz?. Formó un gabinete de crisis, en el que no faltaron publicistas, paralizó la producción y anunció que iban a convertir al Clase A en el coche más seguro de su segmento. La marca revisó el sistema de suspensión posterior del vehículo e incorporó un sistema novedoso: el control electrónico de estabilidad o ESP. Seguro que les suena eso del ESP porque, hoy en día, todos los coches van provistos de este sistema.
Mercedes organizó una nueva presentación ante todos los medios especializados y volvió a hacer la «prueba del alce» con el ESP activado, y el coche no volcó, por más que lo intentaron. Aquella presentación fue todo un éxito y Mercedes consiguió un récord de ventas con el Clase A.
La reacción de Mercedes-Benz ante la crisis ejemplifica una gestión de reputación efectiva: enfrentar el problema, asumir las consecuencias y revertir la situación, para convertir el fracaso en un triunfo.
