AD 153/2021
CIBERSEGURIDAD: ¿UNA ASIGNATURA PENDIENTE PARA LAS ORGANIZACIONES?
RESUMEN:
La magnitud de los grandes acontecimientos o procesos que como sociedad vivimos no pueden comprenderse del todo en el momento en el que tienen lugar, pues es a la larga y en retrospectiva cuando somos conscientes de su impacto y de su relevancia. Sin embargo, desde principios de siglo estamos inmersos en un proceso de transformación de nuestros modelos económicos y también sociales, donde el avance vertiginoso y la utilización de las nuevas tecnologías está condicionando y creando nuevos sistemas sobre la infraestructura de la revolución digital.
De este modo, la palabra ciberseguridad comienza a configurarse como un imprescindible y adquiere relevancia en el desarrollo de los nuevos procesos pero, ¿están las organizaciones lo suficientemente preparadas para hacer frente a los nuevos retos y, especialmente, a las amenazas que comportan esta transformación?
ABSTRACT:
The magnitude of the major events or processes we experience as a society cannot be fully understood at the time they take place, as it is only in the long-term and in retrospect that we are aware of their impact and relevance. However, since the beginning of the century, we have been immersed in a transformation process of our economic and social models, where the accelerated progress and use of new technologies is conditioning and creating new infrastructure systems based on the digital revolution.
In this way, the concept of cybersecurity is beginning to become essential and is becoming relevant in the development of new processes, but are organisations sufficiently well prepared to face the new challenges and, especially, the threats that this transformation entails?
PALABRAS CLAVE: Ciberseguridad, Incidente de seguridad, Brecha de seguridad, ransomware.
KEY WORDS: Cibersecurity, Security incident, Personal data breach, ransomware.
INTRODUCCIÓN
Desde principios de siglo estamos asistiendo a una disrupción empresarial en materia de ciberseguridad que ha influido, desde múltiples puntos de vistas, en todos los sectores de nuestra sociedad. Grandes, medianas y pequeñas empresas se enfrentan a un nuevo panorama de riesgos tecnológicos que requieren la destinación de recursos y medios económicos, materiales y humanos. Este año 2021 está marcando un punto de inflexión ante el significante aumento de incidentes de seguridad a nivel nacional y global acentuados por el desarrollo de la pandemia y los nuevos modelos en las relaciones laborales.
Con motivo del mes europeo de la Ciberseguridad que se celebra este mes de octubre y cuyo objetivo es, entre otros, concienciar sobre las amenazas en la red, me complace realizar este artículo con el propósito de acercar al lector a algunas tendencias actuales que han influido, desde diferentes puntos de vista, en el panorama de la ciberseguridad.
En estos últimos años, hemos presenciado numerosos casos de incidentes de seguridad a nivel mundial como, entre otros muchos, la filtración de datos personales de más de 500 millones de usuarios de Facebook que tendría su origen en 2019 por culpa de una vulnerabilidad y que culminó con la publicación de los datos en un foro de manera gratuita; el ciberataque mediante ransomware a Colonial Pipeline que provocó la interrupción de las operaciones del oleoducto en la costa este de Norteamérica y por el cual confirmaron a los medios de comunicación el pago del rescate de 4.4 millones de dólares; el ciberataque a la Agencia Europea del Medicamento (EMA) en el momento de evaluación de las vacunas sobre la Covid-19 y al sistema de salud Irlandés provocando la suspensión en un breve periodo de tiempo de sus sistemas informáticos; el ciberataque a la Organización de las Naciones Unidas (ONU) mediante el robo de credenciales o el ciberataque al proveedor de servicios de TI y comunicaciones para el transporte aéreo mundial SITA que derivó en la exposición de datos personales de pasajeros de las aerolíneas American Airlines, British Airways, Lufthansa, Air New Zealand, Finnair, Singapore Airlines, entre otras.
En España también hemos sido testigo durante este 2021 de numerosos incidentes de seguridad acontecidos tanto en el sector público como privado. Entre ellos, el conocido ciberataque a través del ransomware “Ryuk” “al Servicio Público de Empleo Estatal (SEPE) que ha puesto en jaque la operativa diaria durante varios meses; la brecha de seguridad reportada por la Consejería de Sanidad de la Comunidad de Madrid que dejaba al descubierto datos personales de los ciudadanos madrileños; así como ataques a diferentes Ayuntamientos (Sevilla, Castellón) y Universidades (Córdoba, Cádiz, Castilla La Mancha). Las empresas del sector privado también han comunicado importantes ciberataques con nuevos tipos de ransomware (casos como The Phone House, Glovo, AXA, Avalia, Zurich Seguros, Xixona) que habrían derivado en el robo y exposición de los datos personales en la dark web.
Este año 2021 se está caracterizando por el aumento de las ciberamenazas, el uso de nuevas técnicas más sofisticadas y la pérdida del recelo a atacar al extremo de grandes y pequeñas empresas. Todos los agentes económicos son susceptibles de sufrir un ataque, independientemente de los recursos que se posean para evitarlos o mitigarlos. En ocasiones, no sólo cuenta el daño económico, sino que también entra en juego el daño reputacional que pueden sufrir, especialmente las grandes corporaciones, y la pérdida de confianza con respecto al desarrollo futuro de su negocio.
CIBERATAQUES EN CIFRAS
“El futuro es impredecible. Todo se basa en probabilidades”
(R.Feynman)
¿Cuál es la probabilidad de que una organización sufra un ciberataque? ¿Cuál es la probabilidad de que la organización que sufra el ciberataque sea la tuya? En este sentido, voy a recurrir al estudió que realizó D. Kahneman[1] en el que indicaba que las personas en situaciones de incertidumbre suelen recurrir a la disponibilidad heurística en vez de a la probabilidad estadística. Y es que, a pesar de que 2020 y 2021 se estén caracterizando por el aumento de estos fenómenos, las organizaciones, especialmente las pequeñas, todavía creen que no son lo suficientemente importantes para ser objetivo de ciberataques.
Inevitablemente, el uso cada vez mayor de recursos tecnológicos en nuestra operativa diaria y las nuevas formas de interconectarnos está propiciando un escenario perfecto para la comisión de este tipo de actos y las organizaciones deben prepararse para ello.
De este modo, los datos aportados por Centro Criptológico Nacional (CCN) en el informe “Ciberamenazas y Tendencias”[2] indican que en el año 2020 un 23% de las grandes empresas en España y un 12% de las Pymes había sufrido algún incidente de seguridad en el último año y el Instituto Nacional de Ciberseguridad gestionó 130.000 incidentes de seguridad.
Asimismo, el reciente informe publicado por el Ministerio de Interior sobre “Criminalidad en España 2020”[3] apunta que las amenazas en internet se multiplicaron un 2.000% durante la pandemia y que los métodos de distribución más habituales han sido el phishing/estafas (59%); Malware y Ransomware (36%); dominios maliciosos (22%) y las Fake news (14%). Esta situación, caracterizada por la vertiginosa adaptación de las organizaciones y ciudadanos al uso de nuevas herramientas digitales ha propiciado la oportunidad perfecta para impulsar estos nuevos ciberataques.
De estas ciberamenazas, el CCN apunta que en 2020 el número total de ataques por ransomware aumentó un 12.39% con respecto a 2019[4] y el Ministerio de Interior ha señalado que el número de incidentes de seguridad se elevó en un 5.25% con respecto al año anterior y, con relación a ello, subrayar los incidentes de seguridad que se produjeron en Sistemas de Protección de Infraestructuras Críticas (PIC), en especial en el sector Tributario y Financiero (52,50%); Transporte (24,08%) y Energía (14,05%) [5] .
¿ESTÁN LAS ORGANIZACIONES PREPARADAS?
Es evidente que, ante el aumento de los ciberataques, las organizaciones comienzan a preocuparse por estar mejor preparadas y saber cómo actuar. Pero esta planificación requiere, como mínimo, inversión económica y formación y concienciación, lo que supone doblegar esfuerzos para prevenir una situación que no sabemos a ciencia cierta cuándo podría suceder y, esto incluso, a veces no es suficiente. Sabemos que tenemos que protegernos, pero muchas veces no sabemos cómo. También los gobiernos deben atender la inseguridad jurídica que comienza a proliferar ante los nuevos escenarios que se presentan. A consecuencia de esta preocupación, se ha llevado a cabo un plan de medidas urgentes: el Plan de choque de Ciberseguridad, la actualización del Esquema Nacional de Seguridad (ENS), la promoción de medidas para mejorar la Ciberseguridad, la propuesta de implantación de un Centro de Operaciones de Ciberseguridad o la reciente consulta pública del anteproyecto de Ley para la creación de la Agencia de Ciberseguridad en Madrid. También me gustaría hacer una pequeña mención como resultado de la adaptación a la normativa europea, a la publicación del esperado Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Así las cosas, según el “Dossier de Indicadores sobre Ciberseguridad y Confianza Digital En España y Europa”[6] en 2020, sólo 34,5% de las empresas españolas tenía documentación sobre seguridad TIC; un 40% formaba a sus empleados en la materia y un 30% habían definido o revisado su política de seguridad en los últimos dos años.
Teniendo en cuenta que uno de los mayores riesgos para las empresas es el factor humano, queda mucho camino todavía por recorrer para poder ganar esta carrera contrarreloj que ha irrumpido en nuestros días.
BRECHAS DE DATOS PERSONALES
Hasta aquí, podemos percibir que el número de incidentes de seguridad a los que se enfrentan las organizaciones actualmente supera al nivel de preparación de estas para hacerles frente. Llega el momento de ir un paso más allá y profundizar sobre los incidentes de seguridad que afectan a datos personales, denominados “brechas de datos personales” o “brechas de seguridad” haciéndonos la siguiente pregunta ¿Conocen las organizaciones cuál es el procedimiento a seguir y las consecuencias jurídicas del incumplimiento cuando sufren un incidente de seguridad que afecta datos personales?
Comenzaremos recordando que no todo incidente de seguridad es una brecha de seguridad y que no solo los ciberincidentes pueden ser brechas de datos. De este modo, la Agencia Española de Protección de Datos (AEPD) define este tipo de brechas como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Cuando una organización sufre una brecha de datos personales, debe comunicarlo tan pronto como le sea posible. No obstaste, los Responsables del Tratamiento deberán comunicarlo a más tardar en el plazo de 72 horas conforme a lo dispuesto en el artículo 33 del Reglamento General de Protección de Datos.
En los primeros ocho meses de 2021, la AEDP ha gestionado 1093 brechas de seguridad, la mayoría producidas por un Malware (en especial de tipo ransomware) y de tipología confidencial[7].
Elaboración realizada a partir de los informes mensuales de brechas de seguridad publicados por la AEPD[8].
De la gráfica podemos extraer el significante incremento del 70% de brechas de seguridad notificadas en los meses de marzo, abril, mayo y junio de 2021 con respecto de los años anteriores (véase la prominencia de la barra naranja para los meses referenciados) y el aumento del 20% de las mismas en el periodo de tiempo de enero a agosto con respecto a 2020 (914 acumulado agosto 2020 vs 1093 acumulado agosto 2021).
Ante esta situación que ya venía anticipándose desde hacía un tiempo, la AEPD ha mostrado su preocupación y se ha puesto manos a la obra para facilitar el cumplimiento y la gestión de las brechas de seguridad, de forma que las organizaciones puedan demostrar la diligencia debida en esta materia. De este modo, el pasado mes de mayo, la AEPD publicaba y actualizaba la “Guía para la notificación de Brechas de datos personales” cuyo objetivo es guiar en el cumplimiento de sus obligaciones a los Responsables del Tratamiento. Unido a ello, se encuentra la herramienta “Comunica-Brecha RGPD” que ayuda de una forma práctica en el reporte de la misma. Asimismo, el European Data Protection Board (EDPB) publicaba el pasado enero unas directrices sobre ejemplos de notificaciones de brechas de datos personales (Guideline 01/2021 on Examples regarding Data Breach Notification) con el objetivo de, en la misma línea expuesta, ayudar a los Responsables del tratamiento con el manejo de las brechas de seguridad y los factores a considerar durante la evaluación de riesgos.
CONCLUSIONES
No obstante lo anterior, ¿están las empresas lo suficientemente concienciadas y preparadas para mostrar las diligencias debidas ante el nuevo panorama que se nos presenta? ¿Invertimos lo suficiente en ciberseguridad o tomamos las medidas a posteriori cuando nos ocurre el incidente?
En mi opinión, creo que todavía existe una cultura empresarial de sorteo a reportar los incidentes por desconocimiento sobre las consecuencias jurídicas. Que se conozca y se notifique una brecha de seguridad no tiene por qué ser negativo, de hecho, lo negativo sería, en primer lugar, no comunicarlo (véase procedimiento sancionador de la AEPD que sancionaba con 6.000€ a una entidad por no notificar a la AEPD ni a los usuarios[9]) o comunicarlo tardíamente. Si bien, sin perjuicio de lo anterior, también caben sanciones por no estar lo suficientemente preparado y no utilizar unas medidas técnicas y organizativas apropiadas para prevenir una brecha de seguridad como es el caso de las sanciones a British Airways (22 millones de euros aprox) o a la cadena hotelera Marriot (20.5 millones de euros aprox).
Decía Clarke que, si gasta más en café que en seguridad IT, será hackeado. Por ello, y retomando con el inicio de este artículo haciendo referencia al mes europeo de la ciberseguridad, la importancia de cuidar nuestra organización frente a las amenazas en la red y la necesidad de concienciar sobre la realidad latente a nuestro alrededor es una prioridad que no podemos dejar en el olvido para un momento posterior.
“If you spend more on coffee than on IT security, you will be hacked.
What’s more, you deserve to be hacked”.
(Richard Clarke)
Miriam Laguna
6 de octubre de 2021
Miriam Laguna Barba es graduada en Derecho y ADE por la Universidad de Córdoba especializada en Derecho de las Telecomunicaciones, Audiovisual, Protección de datos y Sociedad de la Información por la Universidad Carlos III de Madrid. Ha participado en diversas actividades relacionadas con el ámbito jurídico-tecnológico como el Price Media Law Moot Court Competition organizado por la Universidad de Oxford enfocado a la simulación de juicios internacionales en Derecho de Nuevas Tecnologías. Actualmente, desempeña funciones de consultoría en el área de Ciberseguridad y Protección de datos y estudia el segundo año del Máster de Acceso a la Abogacía.
Linkedin: https://es.linkedin.com/in/miriamlagunabarba
[1] Kahneman, D. (2011), Pensar rápido, pensar despacio, Barcelona, DeBolsillo.
[2] Ciberamenazas y Tendencias. (2020, septiembre), Recuperado de:
https://www.ontsi.es/sites/ontsi/files/2020-06/DossierSeguridadEspa%C3%B1aCCAAEuropa.pdf
[3] Estudio sobre la Cibercriminalidad en España 2020 (2021, septiembre). Ministerio del Interior. NIPO 126-19-018-9, pp.8.
[4] “Ransomware. Informe de buenas prácticas”, (2021 mayo) Centro Criptológico Nacional.
[5] Estudio sobre la Cibercriminalidad en España 202 (2021, septiembre). Ministerio del Interior. NIPO 126-19-018-9, pp.37.
[6] Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa. Recuperado de: https://www.ontsi.es/sites/ontsi/files/2020-06/DossierSeguridadEspa%C3%B1aCCAAEuropa.pdf
[7] Recuperado de:
[8]Idem.
[9] Recuperado de: