Cada año se producen en el mundo miles de fugas masivas de datos que afectan a grandes corporaciones de todo el planeta. Si uno introduce en Google el término “data leak” (fuga de datos), puede comprobar que se trata de un problema más habitual y extendido de lo que parece. La última gran fuga de datos que hemos conocido es la de Facebook a manos de Cambridge Analytica. Pero antes fueron noticia por este motivo Uber, Equifax, Yahoo!, Sony o Ashley Madison.
Casi siempre, estos accidentes acaban con una pérdida de prestigio de las compañías que los sufren, y una merma de sus negocios y valoraciones bursátiles. Además, se pueden volver peligrosamente en contra de los usuarios, en forma de extorsión. En esta entrevista, el hacker ético Yago Hansen valora la repercusión que pueden tener las fugas de datos y hace recomendaciones a las empresas sobre cómo actuar para aminorar los daños en la medida de lo posible. Hansen es cofundador del foro Mundo Hacker, ha escrito varios libros sobre seguridad informática y asesora a empresas y gobiernos en esta materia.
-Empecemos hablando del tema de actualidad de las últimas semanas. Parece que las fugas de información están en centro del debate público con el caso de las más de 80 millones de cuentas de Facebook usadas por Cambridge Analytica con fines políticos. ¿Crees que esa fuga va a cambiar de forma significativa la percepción que los usuarios tienen de los peligros a los que se exponen cuando suben información personal a la nube o las redes sociales?
Desgraciadamente, en la mayor parte de los casos que afectan directamente a los usuarios y no a compañías, se produce una gran alarma social momentánea, que se disipa en un breve período de tiempo sin cambiar los hábitos de los usuarios. A pesar de que Facebook avisará a los usuarios de forma directa sobre el mal uso de la información, la mayoría de ellos no sienten que el robo de sus datos privados les produzca un perjuicio.
Además de invertir lo suficiente en la seguridad necesaria para la protección, las empresas deben formar adecuadamente y de forma continua a los empleados para evitar que caigan en trampas, y realizar cada cierto tiempo auditorías externas
-¿Cómo ves la respuesta de Facebook ante este despropósito? ¿Qué te ha gustado y que no te ha gustado tanto en la reacción de la compañía de Mark Zuckerberg?
Facebook ha respondido públicamente debido al revuelo que ha causado la noticia. Existen otros casos similares que no han tenido la misma repercusión. La prensa, gracias a la repercusión mediática, ayuda en todos estos casos a que se obligue a compañías como ésta a tomar medidas e informar, así como a que los gobiernos se decidan a tomar medidas legales. Personalmente, creo que sin repercusión mediática no se tomaría ningún tipo de medida, y se intentaría tapar el incidente.
-En este caso, parece que la principal motivación de Cambridge Analytica era decantar resultados electorales en Estados Unidos. Sin embargo, ¿en líneas generales cuáles son las motivaciones que hay detrás de las fugas de datos que se producen en el mundo?
En los casos de fugas de datos existen diferentes tipos de motivaciones. Está, por ejemplo, la obtención de datos personales y financieros de ciudadanos para su análisis y posterior uso en campañas comerciales dirigidas. También está el robo de credenciales personales para su venta en mercados o en la deep web, o el robo de datos de compañías por parte de empresas de la competencia. Asimismo, tenemos el robo de datos en compañías y gobiernos para su indexación por parte de servicios de inteligencia. O, como el caso que comentábamos más arriba, el robo de datos de ciudadanos a compañías y gobiernos para su uso político. Por último, podemos ver el robo de datos en empresas, simplemente para el desprestigio de las compañías que son víctimas del mismo. Son sólo algunos ejemplos.
Tras una fuga de datos, se debe realizar una auditoría forénsica de forma inmediata para determinar el alcance real del incidente y así poder determinar las medidas, tanto a nivel de securización y protección de los activos, como a nivel legal
-Resumiendo, ¿cómo crees que debe actuar una compañía que sufre una fuga masiva y notoria de los datos personales o financieros de sus clientes?
Tras una fuga de datos, se debe realizar una auditoría forénsica de forma inmediata para determinar el alcance real del incidente y así poder determinar las medidas, tanto a nivel de securización y protección de los activos, como a nivel legal. En cualquier caso, se debe de actuar siempre de forma transparente, reconociendo el alcance total desde el principio e informando a los afectados para que puedan tomar las medidas necesarias. En muchos casos, esto apareja medidas legales y económicas para las compañías afectadas.
-Y, por el contrario, ¿qué debe evitar esa empresa que sufre el ataque a la hora de dar la cara ante una crisis de este tipo?
A pesar de la importancia de la transparencia y de la información, en la mayoría de los casos se trata de ocultar la fuga públicamente, aunque en poco tiempo se acaban conociendo todos los detalles de la misma, lo que produce la pérdida de credibilidad de la compañía afectada y de sus directivos. Esto acaba desembocando en muchos casos en dimisiones y despidos de sus directivos, además de pérdidas de valor de los activos de la compañía.
-¿Cómo puede una empresa combatir estos episodios desagradables? ¿Es cuestión de invertir en tecnología o de formar a sus empleados, o deben asumir las compañías que en algún momento tendrán que enfrentarse a las malas noticias porque es inevitable?
A pesar de que en cualquier momento se puede recibir un ataque dirigido contra los recursos de la compañía, se deben adoptar de antemano y día a día las medidas de seguridad necesarias para proteger los activos (habitualmente los datos) que maneja, y de los que se beneficia la misma. Se debe de invertir suficiente en la seguridad necesaria para su protección, además de formar adecuadamente y de forma continua a los empleados para evitar que caigan en trampas como el phishing dirigido y las malas prácticas. Además, se deben de realizar cada cierto tiempo auditorías externas e independientes para evaluar la calidad de la seguridad en las compañías.
-¿Cuáles son las principales consecuencias que tiene para una compañía el conocimiento público de una fuga importante de información o data leak?
Además de estar sometidas cada vez más según la legislación por multas que llegan a ser multimillonarias, siempre afecta al prestigio de las compañías que las sufren y al valor de sus acciones en la Bolsa.
La protección de los datos es algo que no se ha tenido suficientemente en cuenta en los últimos años. Las compañías y gobiernos carecen todavía de los suficientes recursos profesionales para proteger de forma eficiente sus recursos
-Si uno busca “data leak” en Google, le salen casi tres millones de entradas. Si mira en el buscador de noticias, da la impresión de que se están produciendo data leaks a cada rato. ¿Cómo es esto posible? ¿Tan difíciles de proteger son los datos corporativos?
Se producen miles de robos y fugas de información al año, afectando a organizaciones de todos los tamaños. La protección de los datos es algo que no se ha tenido suficientemente en cuenta en los últimos años. Las compañías y gobiernos carecen todavía de los suficientes recursos profesionales para proteger de forma eficiente sus recursos. Los datos personales cobran cada vez más valor en el mundo digital en el que vivimos, por lo que su alto valor produce que organizaciones criminales se interesen cada vez más por la rentabilidad de estos robos de información.
-¿Cuáles han sido los mayores data leaks de la historia y qué enseñanzas nos dejaron?
Recientemente se produjo un grave incidente que merece ser estudiado por su importancia y por la mala reacción de la compañía afectada. Es un buen caso de estudio para el futuro. Se trata del robo producido en la multinacional Equifax, que comenzó haciendo público un incidente de tamaño relativamente pequeño y acabó siendo uno de los mayores robos de información. Uber también sufrió un incidente que trató de ocultar pagando al cibercriminal que robó la información y que acabó en poco tiempo haciéndose público.
-Para que otros aprendan, ¿podría decirnos algún caso de alguna empresa que diera una respuesta modélica a una fuga de datos?
La mayor parte de robos producidos en compañías como Google, Yahoo, Instagram han sido ejemplo de comportamiento modélico, informando desde el primer momento a los usuarios afectados para que tomen las medidas necesarias.
-¿Qué consecuencias suele tener las fugas de datos para las empresas que lo sufren?
Como ya indiqué, afectan a su prestigio, su negocio y su valor en Bolsa. En muchos casos incluyen sanciones o multas millonarias.
-¿Y para sus clientes?
En muchos casos, como el de Equifax, se ha demostrado que tras la fuga de datos se producen gran cantidad de incidentes individuales o múltiples de robo de identidades, extorsión, etc. En el caso hace unos años de Ashley Madison (una web de intercambios personales), se llegaron a producir suicidios tras las amenazas de extorsión a los usuarios afectados.
Por Juan I. Cabrera
