De acuerdo con cifras del Taller Regional de Políticas de Seguridad Cibernética del 2014 organizado por el BID y la OEA, durante el 2013 más de 1.400 instituciones financieras de 88 países fueron víctimas de ciberataques, cada día hay 568.000 ataques a sitios web y más de 29.000 millones de correos electrónicos no deseados (spam), y el costo del cibercrimen para la economía mundial se sitúa entre los $375 y $575 billones.
Hablamos hoy entonces de cifras que sitúan a las actividades relacionadas a la ciberseguridad y la ciberdelincuencia en los puestos más altos de los delitos que se cometen por los daños monetarios que producen.
Como ejemplo, el caso denominado Comisión Federal de Comercio (Federal Trade Comission) versus Wyndham Worldwide Corporation, en el cual delincuentes informáticos lograron hacerse con datos personales de más de 600.000 clientes de la cadena de Hoteles Wyndham entre 2008 y 2009, significó pérdidas económicas de aproximadamente $10 millones.
Responsabilidad
Hace menos de un mes, el Tribunal de Apelaciones del Tercer Circuito de los Estados Unidos resolvió una apelación en este caso, que declaró que la Comisión Federal de Comercio de los Estados Unidos cuenta con autoridad para demandar a toda persona física o jurídica que sea responsable de una base de datos que haya sido vulnerada por su propia responsabilidad.
En el caso en particular, el juzgado de primera instancia consideró que la falta de un adecuado sistema de seguridad por parte de Wyndham configuraba de hecho la participación de esta empresa en “actos o prácticas desleales o engañosas que afectan el comercio”. De igual forma el fallo indica que en el 2005 la Comisión Federal de Comercio inició sanciones administrativas en contra de empresas que contaban con sistemas de seguridad informáticos inseguros, que no protegían la información personal que conservaban en sus bases de datos.
Las lesiones que se producen cuando se dan este tipo de ataques son incalculables. Aunque nuestra información pueda ser obtenida por montos de dinero no muy altos que van desde el rango de $0,50 hasta $100 por una hoja de vida completa con información de salud y crediticia, el daño mayor es por el uso no autorizado e inapropiado de los datos.
No solamente se debe pensar en el daño económico que genera todo el tema del manejo no autorizado de datos personales y la ciberdelincuencia. Estas actividades ilícitas también generan desempleo y daños a las personas y empresas, en la mayoría de los casos irreparables.
Cuando bases de datos personales son vulneradas y la seguridad de los datos se pone en riesgo, estos podrían ser utilizados para emitir documentos de identidad falsos, perfilar a los usuarios por sus padecimientos y enfermedades, obtener accesos a cuentas de correo electrónico para enviar spam o correos infectados, suplantar la identidad de un usuario en Internet, redes sociales o en el mundo físico, u otros peligros que se derivan del mal uso de los datos personales.
En el caso de la información hackeada del Sistema Centralizado de Recaudación (Sicere), si esta se llegase a utilizar para fines no autorizados, podría poner en riesgo la privacidad y la intimidad de cientos de miles de personas que han confiado en los sistemas de seguridad de la Caja Costarricense de Seguro Social.
Empero, debemos ver lo positivo de todo esto. Hasta cierto punto es una “victoria” para los usuarios de sistemas y titulares de datos, pues pone nuevamente bajo la lupa los procedimientos y la necesidad de proteger los datos personales a nivel público y privado, pues los ciberdelincuentes no discriminan.
Fallos como los citados, y sucesos como el de la Caja, podrían ser el incentivo que se necesita para que las empresas, organizaciones, personas y todo aquel que sea responsable de una base de datos proceda a mejorar sus sistemas de seguridad, implemente protocolos mínimos de actuación, y a la vez se asesore de la mejor manera para evitar demandas y problemas legales innecesarios a futuro.