La ciberseguridad ha pasado ya de ser un riesgo a convertirse en toda una obligación, que genera responsabilidad a las empresas por los ataques sufridos y que han causado perjuicio a sus clientes o trabajadores. Ya no es solo un sistema para evitar los ataques de los ciberdelincuentes a las empresas. La seguridad de los sistemas empieza a ser un asunto tan importante que las compañías comienzan a pedir a sus proveedores las máximas garantías, y están dispuestas a llegar hasta los tribunales si consideran que su falta de sistemas de seguridad pone en riesgo a sus clientes, a la empresa o a sus negocios. Nace así una nueva responsabilidad.

Además, los grandes data brokers norteamericanos, esto es aquellas empresas que basan su modelo de negocio en la explotación de datos personales de terceros, comienzan a sufrir el incremento de la protección de la privacidad del usuario, hasta tal punto que en las memorias de salida a bolsa de algunas de ellas, como en el caso de Palantir o Snowflake, ya se advierte a los posibles inversores del impacto negativo que puede provocar este extremo en la rentabilidad prevista del negocio.

En Estados Unidos se han planteado ya los primeros procedimientos judiciales donde la ciberseguridad es la protagonista. En mayo, un juez federal obligó a Capital One a reportar un incidente de seguridad de uno de sus proveedores. El asunto ha dado lugar a una demanda colectiva derivada de una fuga de información masiva.

Por su parte, la Comisión Europea prepara ya una nueva Directiva que permitiría a los consumidores afectados por una fuga de datos presentar demandas colectivas y exigir indemnizaciones contra la empresa hackeada cuando esta no hubiera implantado medidas de ciberseguridad eficaces que garanticen una custodia diligente de la información. Además, la Directiva europea de whistleblowing también exige que las grandes empresas habiliten un canal interno de denuncias a través del cual los empleados denuncien brechas de seguridad.

Tal y como apuntan los expertos a nivel jurídico, estos asuntos abren la reflexión sobre la importancia que tiene, para las entidades del sector financiero, que la ciberseguridad y la confianza sean una prioridad. Y que la falta de medidas técnicas y organizativas, dirigidas a proteger la seguridad de la información por parte de los proveedores tecnológicos puede provocar incuantificables pérdidas económicas, así como un daño reputacional irreparable.

Francisco Pérez Bes, antiguo secretario general del Instituto Nacional de Ciberseguridad (Incibe) y actual socio de Derecho digital en Ecix Group, destaca que "la ciberseguridad hace tiempo que ha dejado de ser un riesgo tecnológico para convertirse en un riesgo de negocio, donde la toma de decisiones adecuadas en materia de ciberseguridad es exigible a los administradores de la compañía, pues garantizar la continuidad de negocio es su responsabilidad". En España, matiza, "al sector financiero le resulta de aplicación normativa europea sobre protección de sistemas y redes de información, y sobre protección de datos, que obliga a estas instituciones a implementar medidas técnicas y organizativas eficaces para evitar ciberataques o, en su defecto, minimizar su impacto".

Piratas informáticos

La Unión Europea (UE) ha impuesto las primeras sanciones en materia de ciberseguridad. En este caso, el expediente está dirigido contra seis personas y tres entidades, de nacionalidad rusa y china, responsables o involucradas en varios ciberataques dirigidos contra activos localizados en Europa. La UE responde así al intento de ataque cibernético que se produjo contra la Organización para la Prohibición contras las Armas Químicas, o los conocidos Wannacry o NotPetya en el año 2017.

Las autoridades europeas aseguran que estos piratas informáticos han provocado infinidad de daños a particulares y empresas. Entre los damnificados se encuentra la española Telefónica, que en verano de 2017 se vio obligada a evacuar sus oficinas como consecuencia de la agresividad del ransomware. Las sanciones son la prohibición de viajar y la inmovilización de bienes de las personas físicas y de las entidades u organismos. También prohíben la puesta a disposición, directa o indirecta, de fondos de las personas y entidades u organismos incluidos en la lista.

"Hemos decidido estas sanciones a fin de prevenir, desincentivar e impedir mejor estas conductas maliciosas en el ciberespacio y responder a ellas", señala Josep Borrell, alto representante de la Unión Europea. "Estas personas y entidades estaban involucradas en ciberataques con efectos importantes o con efectos potencialmente importantes", añade.

Fuente: eleconomista

Autor: Ignacio Faes