Ciberataques que saltan a la luz

Las empresas se resisten a notificar o denunciar los ataques inform¨¢ticos de las que son v¨ªctimas. El riesgo reputacional, el impacto sobre el negocio o la posibilidad de ser sancionada por no haber adoptado medidas suficientes de seguridad empujan a muchas compa?¨ªas a optar por resolver internamente el incidente. Prueba de ello es que, tal y como revela Elvira Tejada, fiscal coordinadora en materia de criminalidad inform¨¢tica, tras el ataque masivo del virus Wannacry, en mayo del a?o pasado, la Fiscal¨ªa tuvo que archivar la investigaci¨®n porque ninguna de las muchas empresas afectadas present¨® denuncia. ¡°Abrimos diligencias para investigar el hecho e intentar actuar contra sus responsables, pero no fue posible avanzar porque nadie de entre los perjudicados nos dijo con claridad que hubiera sufrido un da?o efectivo¡±, explica Tejada. Para que pueda apreciarse la existencia de un delito de da?os inform¨¢ticos, el C¨®digo Penal exige que el ciberataque cause un resultado ¡°grave¡±, una circunstancia que debe probarse.

Los datos muestran que lo sucedido tras el Wannacry no es la excepci¨®n sino la regla. El Instituto Nacional de Ciberseguridad (INCIBE) registr¨® en 2016 cerca de 115.000 incidentes de seguridad. En ese a?o, en cambio, los procedimientos judiciales iniciados por da?os inform¨¢ticos o descubrimientos de secretos empresariales a trav¨¦s de la red apenas superaron los 150. Es cierto que no todos los incidentes inform¨¢ticos tienen la gravedad suficiente como para suponer un delito, pero, en opini¨®n de Tejada, la proporci¨®n es indicativa de c¨®mo a las grandes compa?¨ªas ¡°les cuesta¡± denunciar. La mayor¨ªa de quienes recurren a la Fiscal¨ªa, explica, son particulares o peque?as que han sido estafadas en Internet.

El plazo para comunicar situaciones que afecten a datos personales es de 72 horas

Esta resistencia a comunicar y denunciar los ciberataques, sin embargo, tiene los d¨ªas contados. El Reglamento General de Protecci¨®n de Datos (RGPD), de plena aplicaci¨®n desde el 25 de mayo, impone a las compa?¨ªas la obligaci¨®n de notificar las brechas de seguridad en las que se vea afectada informaci¨®n de car¨¢cter personal en un plazo de 72 horas. Completa esta exigencia la Directiva NIS, norma europea que pretende elevar los est¨¢ndares de seguridad en la red, y cuya transposici¨®n al Derecho espa?ol debe aprobarse en los pr¨®ximos meses. No en todos los ciberataques se ponen en peligro datos de car¨¢cter personal; de hecho, el virus Wannacry no robaba informaci¨®n, sino que bloqueaba el acceso a la misma. La Directiva extiende sus efectos sobre sectores de actividad cr¨ªticos. Su articulado reclama a los Estados que regulen los mecanismos para que los ¡°operadores de servicios esenciales¡± notifiquen ¡°sin dilaci¨®n indebida¡± a una autoridad administrativa competente ¡°los incidentes que tengan efectos significativos en la continuidad¡± de sus prestaciones. Las organizaciones afectadas por la norma son las dedicadas a la energ¨ªa, transporte, banca, infraestructuras de mercados financieros, sanidad, suministro de agua e infraestructura digital.

Tejada conf¨ªa en que la ley que transponga la Directiva fije mecanismos de comunicaci¨®n entre el ¨®rgano encargado de recibir las notificaciones y los jueces y fiscales, para que el primero les traslade los hechos que puedan revestir car¨¢cter de delito. ¡°Ser¨ªa la forma de dar una respuesta completa al problema, porque no se trata solo de hacer prevenci¨®n, tambi¨¦n debe haber reacci¨®n penal¡±, apunta.

La falta de denuncias no s¨®lo representa un problema a efectos de perseguir y castigar a los ciberdelincuentes. Tambi¨¦n impide que el Estado se dote de unas herramientas y una legislaci¨®n adecuadas, ¡°porque, si no sabemos lo que est¨¢ ocurriendo, porque nadie nos lo viene a contar, no podemos ofrecer respuestas legales¡±, advierte la fiscal.

Sanciones

A la espera de c¨®mo se concrete la Directiva NIS, s¨ª resulta ya de aplicaci¨®n el RGPD, que eleva las sanciones hasta un m¨¢ximo de 20 millones de euros o el 4% de la facturaci¨®n anual de la compa?¨ªa. La directora de la Agencia Espa?ola de Protecci¨®n de Datos (AEPD), Mar Espa?a, ya ha advertido que la ¡°ocultaci¨®n consciente¡± de una brecha de seguridad ser¨¢ tenida en cuenta como agravante en la cuantificaci¨®n de las multas.

Ning¨²n afectado por el virus Wannacry puso denuncia y la fiscal¨ªa archiv¨® las pesquisas

El problema, en este punto, es que la notificaci¨®n a la AEPD puede conllevar una sanci¨®n a la propia compa?¨ªa si se comprueba que no adopt¨® las medidas suficientes de seguridad. ?Puede este riesgo desincentivar las denuncias? Rafael Garc¨ªa del Poyo, socio de Osborne Clarke, recuerda que la comunicaci¨®n ¡°no conlleva per se¡± un procedimiento sancionador, sino que solo afectar¨¢ a quien no haya hecho sus deberes previamente. Idea en la que incide Bartolom¨¦ Mart¨ªn, counsel de CMS Albi?ana & Su¨¢rez de Lezo, que apuesta por realizar la notificaci¨®n ¡°como medida de protecci¨®n¡± ante una posible multa.

La gesti¨®n de un incidente no es sencilla. La reacci¨®n debe ser r¨¢pida, coordinada y efectiva, por lo que nada puede quedar a la improvisaci¨®n, porque la presi¨®n del momento facilita la adopci¨®n de malas decisiones. Adem¨¢s, la planificaci¨®n debe contemplar las respuestas t¨¦cnica, legal y de comunicaci¨®n. ¡°Los procedimientos de gesti¨®n de incidentes deben formar parte de las pol¨ªticas de actuaci¨®n empresarial para la protecci¨®n de los datos y de la informaci¨®n sensible de la compa?¨ªa¡±, aconseja Garc¨ªa del Poyo.

Mart¨ªn apunta a que una de las mayores dificultades con las que se encuentra una empresa que detecta una brecha de seguridad es la ¡°determinaci¨®n de su alcance¡±. Y este aspecto es relevante porque seg¨²n el tama?o y relevancia del incidente, la normativa impone deberes distintos en relaci¨®n a la notificaci¨®n (o incluso excluye su obligatoriedad). ¡°Si no se maneja adecuadamente la informaci¨®n¡± sobre el ciberataque, remata Garc¨ªa del Poyo, esta ¡°puede difundirse de manera intensiva e incontrolada, generando consecuencias indeseadas para la compa?¨ªa, sus directivos o trabajadores¡±.