NoticiasSeguridad

¿Qué hacer ante una fuga masiva de datos?

Los expertos recomiendan reconocer errores y actuar siempre con transparencia

Fuga masiva de datos
Fuga masiva de datos

Probablemente, sólo en el tiempo que usted tarda en leer este artículo se van a producir en el mundo decenas de ataques destinados a robar datos personales y financieros de todo tipo. Según el Breach Level Index, cada día se pierden o se roban más de cinco millones de perfiles personales, es decir, más de 200.000 cada hora y casi 3.500 al minuto. Los datos de las mayores fugas de información o data leaks de la historia quitan el hipo.

Así, en el año 2013 el buscador Yahoo vio comprometidas 3.000 millones de cuentas. Un año más tarde, el portal de reventa eBay sufrió una fuga que afectó a 145 millones de clientes. En septiembre de 2017 Equifax, proveedor de información comercial y de crédito, vio afectadas casi 148 millones de cuentas. Los hackers se hicieron con direcciones postales, números de carnets de conducir y perfiles financieros. Más atrás en el tiempo, aunque todavía está en el recuerdo de todos, está el caso de Sony PlayStation, que tuvo que reportar en 2011 el robo de datos personales y financieros de 70 millones de usuarios de su red online de jugones. Como en muchos otros casos, Sony reportó tarde la fuga y dejó muchas incertidumbres en el aire.  

Mark Zuckerberg, fundador de Facebook.
Mark Zuckerberg, fundador de Facebook.

Nadie, ni las multinacionales que más invierten en su infraestructura informática y de seguridad, está a salvo de un desastre de estas características. Uber, por poner un ejemplo de la economía colaborativa más reciente, también sufrió una fuga que afectó a nada menos que 57 millones de sus usuarios a finales de 2016. Sin embargo, el caso que más ríos de tinta ha hecho correr, quizá por su trascendencia en la vida pública, ha sido recientemente el de Facebook a manos de Cambridge Analytica.

Hace unos meses se supo que más de 80 millones de cuentas de la red social había sido usadas por la firma de analítica de datos con fines electorales en Estados Unidos. Algunos piensan que este caso, que ha llevado al propio Mark Zuckerberg a dar explicaciones a las autoridades estadounidenses y a replantear toda la política de seguridad de la red social, va a suponer un antes y un después en la percepción que hay sobre las fugas de información y sobre la exposición que sufren nuestros datos personales.

Carlos Loureiro, hacker ético, está convencido de ello, aunque recuerda que no es la primera vez que los social media son usados con fines políticos: “Basta recordar las injerencias del Gobierno ruso en las elecciones presidenciales de Estados Unidos”. Para Loureiro, el cambio de tercio se producirá cuando los usuarios tomen efectivamente conciencia de la cantidad de información que exponen en las redes. Sin embargo, en una entrevista reciente en el blog de empresas de Orange, otro hacker, Yago Hansen, se mostraba mucho más escéptico, y decía que la “gran alarma social momentánea” generada por el caso Facebook se iba a disipar sin que los usuarios fueran a cambiar sus hábitos.

Uber no es el ejemplo

Pero más allá de las precauciones que deben tomar los usuarios, es importante saber cómo tienen que afrontar las compañías un episodio de este tipo, sobre todo cuando es muy previsible que en algún momento de su trayectoria tengan que pasar por el mal trago de un data leak masivo. Todos los expertos piden sobre todo a las empresas transparencia y no escurrir el bulto. Es decir, no hacer lo que Uber en 2016, cuando fue consciente del robo de los datos personales y de tarjeta de 50 millones de usuarios y, según una investigación periodística, resolvió todo ocultando el problema a los afectados e intentando pagar 100.000 dólares a los hackers que llevaron a cabo el hurto. Por descontado, a posteriori Uber se dio cuenta del error y se disculpó por ello.

Coche de Uber.
Coche de Uber. Internet

En su lugar, los expertos recomiendan a los que sufren un data leak hacer una auditoría forense para determinar el alcance real del incidente y determinar las medidas de seguridad informática y legales a tomar. Y, por supuesto, informar a los afectados. David Sancho, de Trend Micro, dice que lo normal es que una de las medidas de la empresa afectada sea el cambio de contraseña de los usuarios, “para evitar daños mayores”.

Además, a partir de ahora, con la entrada en vigor definitiva del Reglamento General de Protección de Datos de la Unión Europea (GDPR), en este aspecto las cosas van a estar más claras si cabe. Y es que la normativa obligará a las empresas afectadas por una brecha a notificarla en el plazo de 72 horas. Tendrán que comunicarlas a las autoridades (en España, la Agencia de Protección de Datos) y a los clientes, e incluso podrían tener que divulgarlas a los medios de comunicación. De esta forma, será más difícil que se den casos como el de Yahoo, que tardó años en reportar sus brechas.

No hacer como si nada hubiera pasado

Por el contrario, todos desaconsejan el ocultamiento del problema y “hacer como si nada hubiera pasado”. “Si esto ocurre, los criminales pueden actuar a sus anchas sin que nadie sepa nada y los usuarios no puedan tomar medidas de seguridad básica”, advierte Sancho. El hacker Carlos Loureiro denuncia la actitud egoísta de las empresas que se toman los ataques como “algo privado” porque impide a las demás compañías y a las instituciones aprender y defenderse ante intrusiones del estilo. Es como si un avión se cae y nadie estudia el caso para evitar futuros fallos. De esa manera, la aviación comercial nunca habría llegado a los niveles de seguridad que exhibe hoy en día.

Para Yago Hansen, la ocultación acaba produciendo una pérdida de credibilidad de la empresa afectada y derivando incluso en dimisiones de directivos, además de pérdidas en Bolsa y de los activos de la firma. El objetivo, según Alberto Tejero, director comercial de Panda, será “una crisis de reputación”. A pesar de que la nueva normativa de protección de datos de la UE multiplica las multas, que podrán llegar en algunos casos al 4% de la facturación global de la compañía o a los 20 millones de euros, está claro que siempre será mejor pagar que ver como la reputación se desmorona y el valor en Bolsa se evapora en cuestión de horas o de días por no levantar la liebre. Cuando sucedió el escándalo de Cambridge Analytica, Facebook se dejó casi 70.000 millones en pocos días en el parqué, y Zuckerberg tuvo que pedir perdón a todos. Eso sí, la red social ya ha recuperado los valores previos al desastre.  

Computing 770