Los ciberataques están en aumento, con más de 1.000 fugas de información en organizaciones estadounidenses tan sólo en 2016, la mayoría de las veces a través de hackeo por robo externo. Sin embargo, no sólo las firmas atacadas se ven afectadas por estos incidentes. Estudiando cientos de fugas de información, hemos descubierto que influyen en otras compañías de su industria.
Hemos descubierto que la violación de datos puede dañar o ayudar a los competidores de una firma. Nuestra investigación también muestra que una buena política corporativa de privacidad puede proteger a las empresas del daño financiero provocado por una violación de datos, mientras que una política deficiente puede exacerbar los problemas ocasionados por la fuga. Aquí ofrecemos soluciones aplicables, que pueden ahorrarle a las compañías cientos de millones de dólares.
A veces una fuga crea efectos secundarios, donde los inversionistas perciben a los rivales cercanos de la firma afectada como culpables por asociación. Por ejemplo, considere la fuga de datos de julio del 2012 en Nvidia, que afectó a 400.000 cuentas de usuarios. Su rival, Advanced Micro Devices, perdió cerca de $48 millones el día de la fuga (una reducción del 1,4% en el precio de sus acciones).
Nuestra investigación muestra una caída del precio de las acciones superior a los $8 millones en promedio, para firmas rivales en las que no ocurrió una violación de datos. El golpe financiero a los precios de las acciones de estos rivales puede ser detectado durante muchos días posteriores a la fuga de información.
Por otra parte, una fuga puede ayudar ocasionalmente a un rival cercano, creando efectos competitivos benéficos. Considere la masiva fuga de información de Anthem en febrero del 2015, que afectó hasta a 80 millones de consumidores. La severidad de esta brecha llevó a su rival, Aetna, a ganar cerca de $745 millones de dólares (un incremento del 2,2% en el precio de las acciones) el día de la fuga.
Nuestra investigación muestra que el número de consumidores afectados por una fuga es clave para entender si los rivales cercanos de la empresa serán afectados o beneficiados por un ciber ataque. Conforme se incrementa el número de clientes impactados por una fuga, los efectos en el mercado de valores para las firmas competidoras van de negativos a positivos.
Protección
La buena noticia es que las firmas no están impotentes ante las violaciones de datos. Pueden protegerse a sí mismas implementando dos importantes prácticas de privacidad. En primer lugar, las compañías pueden explicarles a sus consumidores cómo están usando y compartiendo su información. En segundo lugar, podrían darles un amplio control sobre el uso y difusión de sus datos. Juntas, estas medidas pueden ayudar a empoderar a los clientes.
Cuando una firma tiene políticas de privacidad transparentes, los consumidores sienten tener el conocimiento para tomar decisiones informadas respecto a compartir su información personal. Cuando las prácticas de privacidad de una firma ofrecen control, los consumidores pueden cambiar sus preferencias respecto a qué y cómo comparten su información. En nuestros estudios, los consumidores no castigaron a las firmas afectadas cuando estas brindaron tanto transparencia como control. Los consumidores empoderados son más comprensivos ante las violaciones de datos personales.
Las compañías que le ofrecen transparencia y control a sus consumidores también estuvieron protegidas del daño al precio de sus acciones durante fugas de información. Sin embargo, apenas un 10% de las compañías en la lista de Fortune 500 cumple con este perfil.
Para entender cómo las firmas implementan prácticas que brindan transparencia y control, observamos la forma en que las compañías explican su enfoque respecto a la privacidad de los datos de los consumidores. Queríamos saber qué tan bien protegidas estaban las empresas en la lista de Fortune 100 ante los efectos negativos de las fugas de información.
Algunas firmas brindan elevados niveles de transparencia y control de datos, que las protegen ante las fugas de información. Compañías altamente calificadas, como Costco, Verizon y HP Inc. están protegidas de los efectos secundarios si un competidor cercano experimenta una fuga de datos. Estas compañías explican qué información obtienen y cómo, al tiempo que ofrecen opciones a sus consumidores en cuanto a la forma en que su información se comparte y utiliza.
En el otro extremo están firmas como Citigroup, Morgan Stanley y Hospital Corporation of America. En 2011, Citigroup experimentó una fuga de datos de 146.000 registros de sus clientes y sufrió una pérdida de $1.300 millones en el precio de sus acciones. De acuerdo con los análisis, si Citigroup hubiera asumido prácticas de alta transparencia y control, habría sufrido una pérdida de apenas $16 millones en valor de acciones. Es decir, Citigroup pudo haber ahorrado $820 millones simplemente ofreciendo transparencia y control a sus clientes. En respuesta esta fuga, Citigroup gastó $250 millones en sistemas de ciber seguridad y contrató a 1.000 nuevos profesionales de tecnologías de la información (TI). Todavía hasta 2016, Citi no estaba brindando transparencia y control. Aunque sus salvaguardas de TI podrían ser sólidas, la compañía sigue en riesgo en caso de que un competidor sufra una fuga.
Las firmas que no les dicen a sus consumidores cómo usan su información y no les ofrecen control están en mayor riesgo de afectaciones financieras. Nuestro análisis muestra que un abrumador 80% de las compañías en la lista de Fortune 500 caen en esta categoría. Después de una fuga de información, aquellas que no pudieron explicar sus prácticas de privacidad de datos experimentaron una caída 1,5 veces mayor en el precio de sus acciones, en comparación con las empresas de alta transparencia, mientras que las firmas que le brindaron a sus clientes un alto nivel de control no experimentaron cambios significativos en su cotización.
Kelly D. Martin es profesora asociada de marketing e investigadora en la Colorado State University. Abhishek Borah es profesor asistente de marketing en la Michael G. Foster School of Business de la University of Washington. Robert W. Palmatier es profesor de marketing y ocupa la cátedra John C. Narver de administración de negocios en la Michael G. Foster School of Business.