La violación de los mecanismos de seguridad informática y el secuestro de información en el Ministerio de Hacienda y otras entidades públicas costarricenses, por parte del grupo de piratería cibernética denominado Conti, tiene implicaciones que trascienden el costo de recuperar la información, restablecer los sistemas y protegerlos contra futuros ataques.
Desde el punto de vista operativo estos ataques cibernéticos representan un daño económico para las instituciones por la paralización de actividades, la implementación de planes de contingencia, los costos asociados a la recuperación de los sistemas o la información —en la medida en que eso sea posible— y la erogación inmediata no prevista por mejoras en los sistemas de seguridad informática.
Aunado a esto, el secuestro de esta información sensible y la posterior divulgación de esos datos, tal como lo ha hecho Conti, genera un daño reputacional a las instituciones, entendido como el surgimiento de un clima de desconfianza y de la percepción pública negativa sobre las buenas prácticas de seguridad de la información privada.
Las instituciones que trabajan con datos de acceso restringido de los ciudadanos, tal como los define la “Ley de Protección de la Persona frente al tratamiento de sus datos personales”, sean de índole financiera, tributaria, de salud o socioeconómicos, lo hacen sobre la base de la confianza de las personas en que su información estará adecuadamente protegida y no se hará pública sin su consentimiento.
Estas instituciones tienen, además, la obligación legal de “adoptar las medidas de carácter técnico y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley”, según expresa textualmente la norma antes citada.
El rompimiento de esa confidencialidad —por piratería informática u otras causas— también tiene el potencial de generar un daño a la reputación de las personas y a su derecho a su autodeterminación informativa, como consecuencia de la exposición de sus datos sensibles o de uso restringido; sin contar que las deja en condición de vulnerabilidad ante otro tipo de amenazas o extorsiones que pueden implicar un riesgo a su integridad física o una afectación económica por extorsión.
De hecho, tras la liberación en sus redes de más del 50% de la información secuestrada, en la mañana del viernes 22, el grupo de hackers de Conti hizo ya una instancia a otras organizaciones similares, para que utilicen esa información con el propósito de cometer otras actividades delictivas.
A diferencia de los hackers que actúan en el sistema financiero, a quienes el robo de cuentas les provee una ganancia económica directa, estos piratas cibernéticos saben que el valor de la información secuestrada radica en el potencial de causar un daño reputacional y económico si es liberada, tanto a la institución como los dueños de la información. Es este carácter de confidencial el que tiene un precio y el que genera la posibilidad de chantajear económicamente a las personas, las instituciones o los gobiernos para no divulgarla.
Siempre en la dimensión reputacional, este secuestro de información también podría acarrear costos económicos adicionales a las instituciones, si eventualmente deben enfrentar reclamos o litigios de parte de los afectados por la violación a la privacidad de sus datos.
La afectación a la reputación de las instituciones cuya seguridad ha sido vulnerada puede aumentar o disminuir de acuerdo con la capacidad de respuesta que tenga para enfrentar la situación. Los expertos en gestión de crisis coinciden en que el binomio acción-comunicación es fundamental para reducir las afectaciones, tranquilizar a la ciudadanía y, finalmente, tomar el control necesario para volver a la normalidad.
Cuando las organizaciones no actúan con prontitud, o no logran comunicar de manera oportuna y adecuada las acciones que están ejecutando para controlar una situación crítica, solo propician que aumente el grado de confusión e incertidumbre entre los afectados, así como la percepción de desconfianza entre sus públicos relacionados.
En este caso de secuestro de datos sensibles, inédito en Costa Rica, el control de la información estuvo inicialmente en manos de los piratas cibernéticos, quienes alertaron sobre la situación que estaba ocurriendo. Por el contrario, la reacción de las autoridades de Gobierno fue lenta, tanto para reconocer la afectación que estaban sufriendo sus sistemas, como para comunicar las medidas que estaban tomando contrarrestar el ataque. Una línea de comunicación opaca, o con mensajes difusos, es también contraproducente a la hora de recuperar la confianza pública.
Sí se debe reconocer la acertada decisión del Gobierno, de no doblegarse ante las pretensiones de los piratas y pagar un rescate por desencriptar o devolver la información secuestrada. Con esa decisión no solo transmite una percepción de firmeza ante la acción criminal, sino que evita ser doblemente afectado, pues no existe seguridad de que los ciberpiratas desencripten la información, o que no la vayan a utilizar para otros fines una vez cobrado el rescate. Además de que incurrir en el pago solo contribuye a fortalecer económicamente una actividad delictiva.
Quedan grandes tareas por delante, que posiblemente serán parte del “pastel de bienvenida” para el nuevo gobierno. No solo deberá trabajar en restablecer de la información secuestrada -si fuera posible- y en el fortalecimiento de la seguridad de sus sistemas informáticos, sino que enfrentará el reto de recuperar la confianza de los ciudadanos en que las instituciones afectadas podrán dar realmente un manejo más seguro a sus datos.
Ese es, quizá, el principal daño causado por los hackers de la reputación.
El autor es asesor en reputación corporativa de la Agencia Interamericana de Comunicación.