La aplicación del Reglamento Europeo de Protección de Datos ya no es solo motivo de inquietud para las industrias del viejo continente. La preocupación por adecuarse a las exigentes medidas en materia de seguridad de los datos personales, y la implantación de los mecanismos para el cumplimiento de las obligaciones de notificación en caso de brechas que les afecten, forma parte ya del lenguaje común empleado por quienes pontifican sobre ciberseguridad industrial internacional.
Con la entrada del nuevo año, Experian, una compañía de gestión y análisis de información de Reino Unido, ha publicado el Fourth Annual 2017 DATA BREACH INDUSTRY FORECAST, un informe que contiene un pronóstico de las principales brechas de seguridad que las industrias pueden esperar durante el año 2017. Avalando la validez de la fuente y del informe, hay que hacer constar que entre sus pronósticos para el 2016 figuraba la predicción de que los candidatos a la presidencia de los Estados Unidos y sus campañas serían objetivos prioritarios de los hackers.
En dicho informe destaca las situaciones que constituirán, previsiblemente, el escenario de las brechas de seguridad más comunes en las industrias a nivel internacional durante el año 2017:
- Réplicas de las consecuencias del robo de credenciales de sus usuarios, incluso años después de caducadas dichas contraseñas tal y como sucedió con gigantes de la industria como LinkedIn, Dropbox o Yahoo! (que en 2016 tuvo que afrontar las consecuencias del robo de 500 millones de cuentas ocurrido en 2014). Aún después de tanto tiempo, las credenciales de acceso de usuarios son un bien altamente codiciado en la denominada “dark web”. Debido a la falta de información o la dejadez que como usuarios nos invade a la hora de crear y recordar contraseñas de acceso a los diferentes servicios en los que nos damos de alta, tendemos a la utilización de las mismas credenciales en todos ellos, o a la reutilización de contraseñas anteriormente empleadas. Para los cibercriminales solo es cuestión de tiempo y paciencia encontrar coincidencias.
- Los ciberataques dirigidos o promocionados por estados podrían pasar de ser considerados “espionaje” a ser considerados “actos de guerra”. Los ciberataques no tendrán como objetivo la adquisición de inteligencia sobre otros estados, sino que podrían ir dirigidos contra industrias consideradas “infraestructuras críticas” para dicho estado, convirtiéndose así en auténticas armas.
En estos potenciales objetivos se encontrarían las industrias de bienes de consumo de primera necesidad como las industrias eléctricas o energéticas que podrían verse sometidas a ataques que causen interrupciones generalizadas de sus servicios, o a la exposición de los datos de sus usuarios y consumidores. El daño infligido sería doble en consecuencia: por un lado las cuantiosas pérdidas económicas derivadas de la paralización del servicio y por otro la responsabilidades generadas para dichas industrias por los daños y perjuicios causados a sus usuarios por su negligente adopción de medidas de protección adecuadas contra ciberataques, tanto en la infraestructura del servicio a prestar, como en la protección de sus datos personales.
- Las entidades sanitarias y las compañías de seguros sanitarios se considerarán objetivos prioritarios para el robo de datos personales de sus usuarios. La generalización del uso de expedientes digitales que contienen toda la información del usuario, desde los datos personales básicos a los datos de salud y financieros, las convierte en objetivos significativos de ataques de ransomware, habida cuenta de la magnitud que tendría una caída de estos sistemas.
- El objetivo de los ataques a las operaciones de pago se desplazará de las grandes empresas a las medianas y pequeñas empresas (sobre todo de venta de infraestructura) que no hayan perfeccionado aún los métodos de cobro seguros.
- Adquirirán gran importancia las brechas de seguridad ocurridas en empresas multinacionales. El informe dedica una de sus predicciones a las incidencias en la seguridad de los datos de los ciudadanos europeos. La entrada en vigor del Reglamento Europeo de Protección de Datos (y la puesta en marcha de nuevas y similares regulaciones en países como Canadá y Australia), exige no solo la implantación de estrictas medidas de seguridad en la recogida, tratamiento y custodia de los datos personales, sino también en la transferencia internacional de los mismos. Y junto a ello, y quizá lo que más repercusiones puede acarrear para estas grandes multinacionales, la obligación de notificar a las autoridades competentes en la materia las brechas de seguridad sufridas.
- La creciente popularidad de tecnologías en auge como la realidad virtual aumentada que aún no tienen debidamente desarrolladas las medidas de seguridad necesarias, ponen en el punto de mira potenciales objetivos tan vulnerables como los niños, quienes no valoran los riesgos a los que se exponen a través de los juegos basados en esta tecnología.
- Por último, continuará la práctica del “phising”, sin embargo los hackers optimizarán tiempo y recursos atacando a los individuos en lugar de a los sistemas informáticos de las industrias, lo que ha venido revelándose como mucho más efectivo. Y aquí el error cometido por las industrias no reside tanto en las medidas de seguridad implantadas, o la falta de las mismas, sino en su indolencia a la hora de formar a sus empleados en los riesgos de seguridad a los que están expuestos y las medidas preventivas adoptar en sus puestos de trabajo.
Frente a este panorama, las recomendaciones a las industrias pasan por mirar a un horizonte ya no tan lejano y comenzar a trabajar en estar debidamente preparados para el cumplimiento de estas normas. La conciencia sobre la importancia de los datos personales está cada vez más desarrollada no solo a nivel de las autoridades, sino también de los consumidores de mercados progresivamente más globalizados. Ahora son las industrias las que deberán tomar conciencia de sus vulnerabilidades, y de las consecuencias económicas y legales de que las mismas sean detectadas y explotadas por cibercriminales.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación