Los casos de Uber, Equifax y Yahoo! muestran las vulnerabilidades a que se enfrentan las compañías, instituciones y las personas ante el riesgo global de secuestros de datos

Por: Carlos Cordero 1 diciembre
Las autoridades en Estados Unidos iniciaron una investigación del hackeo a las cuentas de Uber. En Costa Rica, la agencia Prodhab solicitó información a la sede local para ver si las plataformas afectadas contenían datos de costarricenses (AP).
Las autoridades en Estados Unidos iniciaron una investigación del hackeo a las cuentas de Uber. En Costa Rica, la agencia Prodhab solicitó información a la sede local para ver si las plataformas afectadas contenían datos de costarricenses (AP).

El hackeo a las bases de datos de firmas como Uber, Equifax y Yahoo! está dejando varias lecciones que no deben pasar desapercibidas, tanto para las empresas de cualquier giro de negocio como para los usuarios.

Para las firmas, cuando ocurre un incidente informático de este tipo, es su responsabilidad tener la mayor transparencia posible, informando de inmediato a sus clientes para que ellos procedan a cambiar sus contraseñas o a verificar si hay movimientos sospechosos en sus cuentas y, si es así, a notificar a sus bancos.

Para los usuarios es imprescindible fijarse mejor en las condiciones de servicios cuando aceptan el contrato de suscripción a las aplicaciones y servicios, así como monitorear sus cuentas, cambiar y utilizar contraseñas más seguras, y solicitar la intervención de las entidades para la protección de su información personal.

"Si la empresa (hackeada) tiene sede en Costa Rica se procede por oficio o por denuncia de los usuarios si hay indicios de que fueron afectados", advirtió Wendy Rivera, directora de la agencia de Protección de Datos de los Habitantes (Prodhab). "Pero hay limitaciones en los casos de empresas que están situadas en otros países", reconoció.

En los casos de Uber y Equifax, dedicada a proveer información sobre riesgos crediticios, la agencia Prodhab solicitó a las firmas comunicarle si los respectivos incidentes involucraban las plataformas ubicadas en Costa Rica.

La sede local de Equifax respondió a Prodhab que no tiene indicación alguna sobre accesos no autorizados a la información local.

Uber tenía tiempo para responder hasta el 28 de noviembre pasado.

Cuando se dio a conocer que los datos de 57 millones de usuarios de Uber habían sido hackeados hace dos años, la firma comunicó que estaban en proceso de notificar a autoridades regulatorias y gubernamentales de varios países.

"Hasta que terminemos este proceso no estamos en la posición de dar más detalles sobre esta situación”, dijo en ese momento Julie Robinson, gerente de comunicación para Centroamérica y el Caribe de Uber.

Un estudio de la compañía Cybersecurity Ventures incida que cada 40 segundos un negocio es víctima de un ataque de ransomware. Para el 2019 podría ocurrir uno cada 14 segundos.
Un estudio de la compañía Cybersecurity Ventures incida que cada 40 segundos un negocio es víctima de un ataque de ransomware. Para el 2019 podría ocurrir uno cada 14 segundos.

Por oficio

Es un deber ineludible de las empresas e instituciones mantener registradas y protegidas sus bases de datos, incluso cuando otra compañía –ubicada o no en el país– es la que se encarga de su gestión.

"Cada empresa debe garantizarse que el proveedor del servicio de base de datos, está debidamente protegida", advirtió Roberto Lemaitre, especialista en delitos informáticos.

En el caso de un incidente, Prodhab puede actuar por oficio o ante la denuncia de un usuario. A partir de ahí, esta agencia inicia un proceso que puede culminar con una sanción en caso de encontrar que la empresa era responsable (véase recuadro: "Querella informática").

Querella informática
Procedimiento que se sigue ante incidentes que afecten bases de datos de las empresas con información de clientes y usuarios.
1. Prodhab actúa por oficio ante noticias de incidente o por denuncia de un cliente o usuario que aporta indicios de afectación.
2. Prodhab solicita información a la empresa (traslado de cargos).
3. Se inicia procedimiento para determinar la responsabilidad y la sanción.
4. Las sanciones pueden ser la exclusión de los datos, cierre de la base de datos por seis meses, sanción económica (equivalente de 1 a 30 salarios base de un auxiliar judicial 1 que podría ser hasta de ¢14 millones) y traslado a Ministerio Público si hay indicio de delito.
Fuente: Prodhab

Este procedimiento se aplica a empresas locales y a firmas internacionales con sedes en el país.

En los casos de incidentes informáticos que sufren las firmas que no tienen sede local, el usuario debe tener claridad sobre las condiciones que se aceptaron cuando se realizó la suscripción al servicio, incluyendo cómo y dónde se resuelven las disputas.

Aquí las herramientas legales son más limitadas, pues Prodhab debe atenerse a dos principios legales fundamentales: la territorialidad (no tiene jurisdicción en otros países) y la legalidad (sólo puede hacer lo que la ley le autoriza).

"Tenemos que ver hasta donde se puede actuar en uso de nuestras competencias", recalcó Rivera, de Prodhab.

Hay casos donde se puede recurrir directamente a las agencias de otros países, como es el caso de las que forman parte de la red de protección de datos de América Latina y España.

Los usuarios deben revisar las condiciones de los servicios que suscriben y estar alertas ante cualquier incidente. (Jorge Navarro)
Los usuarios deben revisar las condiciones de los servicios que suscriben y estar alertas ante cualquier incidente. (Jorge Navarro)

Responsabilidades

Los usuarios y las empresas deben ser conscientes de la responsabilidad de la protección de la información y de las medidas que deben implementar de manera proactiva y preventiva, así como de qué hacer cuando ocurre un hackeo de los datos.

En el caso de los usuarios hay una serie de cuidados que deben mantener, especialmente con el manejo de sus cuentas y contraseñas. También debe saber cómo proceder si es víctima de un incidente informático y de un fraude (vea recuadro "Usuarios en alerta").

Usuarios en alerta
Medidas que deben aplicar los usuarios para proteger su información y sus cuentas:
1. Revise condiciones: Tenga claridad sobre las condiciones de suscripción de los servicios, seguridad de datos y dónde y cómo se resuelven las disputas.
2. Contraseñas seguras: Utilice claves con doble autenticación, no repita claves y gestione todas las contraseñas en servicios existentes (sitios seguros en donde se registran las claves).
3. Tenga un seguro: Pague un seguro para sus tarjetas de débito o de crédito que los respalden en caso de fraude a sus cuentas bancarias o cargos ilícitos a sus tarjetas.
4. Cambie contraseñas: En caso de incidentes informáticos en las bases de datos de las compañías que le brindan servicios.
5. Vigile sus cuentas: Debe monitorear movimientos y cargos sospechosos si hay incidentes con las bases de datos donde hay información de sus tarjetas y cuentas. 
6. Corra al banco: Alerte a su banco para los bloqueos y cambios necesarios si la información de sus tarjetas o cuentas bancarias fue comprometida en un incidente.
7. Denuncie: Presente la denuncia ante la Prodhab si tiene indicios o pruebas de afectación de su información por un descuido, incumplimiento o incidente informático. En caso de fraude financiero debe recurrir al Ministerio Público para la denuncia correspondiente.
Fuentes: Deloitte, Prodhab y Roberto Lemaitre

Para las empresas es clave entender su responsabilidad para proteger la información de sus clientes, la afectación en la imagen que sufrirá si sus bases de datos son hackeadas y cuál es el mapa de ruta para actuar cuando ocurre un incidente.

En el caso de Uber hay coincidencia en que, al ocultar el hackeo de la información, no previno a sus clientes y a su propios chóferes para que adoptaran las medidas adecuadas.

La protección de las bases de datos corporativas va más allá de la aplicación de tecnologías de seguridad informática y la reacción ante un incidente no puede ser espontánea (ver recuadro: "Protocolo empresarial").

"La seguridad de la información no es un problema de tecnología de información", advirtió Andrés Casas, socio de Risk Advisory de Deloitte. "Es un problema del negocio".

Protocolo empresarial
Recomendaciones a las empresas e instituciones en materia de protección y reacción ante incidentes informáticos:
1. Gobierno corporativo: La protección de los datos debe ser una preocupación de la gerencia y de sus directivos e implica una cultura que incluya a todos los colaboradores de no saltarse los mecanismos de seguridad y protección.
2. Sea realista: Siempre hay una vulnerabilidad. La protección no es al 100%. La empresa debe identificar los eslabones débiles y preparar las acciones para reducir los riesgos.
3. Evite problemas: Los incidentes informáticos se producen más por hábitos, malas prácticas, inocencia de los usuarios (como en el phishing), falta de control de sistemas y salidas de personal molesto con la empresa. Debe tomarse las previsiones necesarias en todos los casos preparando al personal y estableciendo las normas.
4. Gestión de crisis: Tenga una estrategia y protocolos de acción y de comunicación interna y externa para responder y actuar en caso de que se presente un incidente informático. Realice simulaciones para saber cómo reaccionar ante un problema público.
5. Sea transparente: Si se produce un incidente informático debe comunicarlo a los afectados reales y potenciales, sus clientes, para que adopten las medidas necesarias y protejan sus cuentas y su información. Hágalo según la estrategia de gestión de crisis.
6. Asesoría legal: Actúe apegado a las leyes, teniendo claras las consecuencias de aceptar las condiciones de los hackers. Es recomendable acudir a las autoridades respectivas.
Fuente: Deloitte

Los incidentes relacionados con el secuestro de información (conocido como ransomware) se han convertido en una epidemia global que cada vez afecta a más empresas.

Un estudio de la compañía Cybersecurity Ventures incida que cada 40 segundos un negocio es víctima de un ataque de ransomware. Para el 2019 podría ocurrir uno cada 14 segundos.

Los daños para las empresas van desde la destrucción de los datos, fraude financiero, pérdida de productividad, robo de propiedad intelectual, interrupción del negocio y daño a la reputación.