AD 93/2018
Abstract:
El presente artículo trata sobre la mecánica de los ciberataques, su motivación – en mayor medida financiera- y en concreto cuando el objetivo es la información y los datos personales. Analizando los elementos vulnerables de los sistemas y los mecanismos de prevención.
Palabras clave:
- Ciberataque
- Datos Personales
- Ciberseguridad
- malware
El 89% de todos los ciberataques tienen una motivación financiera o de espionaje (Verizon 2016) y las víctimas (gobiernos y empresas) no suelen hacerlo público por su grave incidencia en la credibilidad, confianza y reputación.
El objetivo de estos ataques es la información (1010101010100011001) y dentro de ella uno de los mayores activos que existen: los datos personales de millones de personas. Ni que decir tiene que nuestros datos personales tienen valor en sí mismos en orden a poder “comercializar” con ellos en el tráfico jurídico mercantil, para vendernos moda, belleza, casas, coches, etc,.. empero también son mero instrumento de una larga lista de delitos (piratería, pornografía, pishing, fraude, suplantación identidad, ingeniería social, bullyng, etc,..). Conocer cómo se realizan estos ataques y cómo evitarlos puede significar la diferencia entre la vida o la muerte de una organización (Yahoo, Ashley Madison y otras muchas) siendo éste el motivo principal del porqué no salen a la luz los ataques a grandes corporaciones.
Las ideas-fuerza que debemos tener en cuenta a la hora de hablar de Ciberseguridad y privacidad de nuestros datos personales son:
- Todos los expertos lo afirman con rotundidad. No existe la invulnerabilidad y conforme el/la internet de las cosas (IoT) avanza –50.000 Millones de aparatos conectados para el 2020- cada vez irá a peor porque los aparatos por defecto estarán “siempre conectados” y porque los Ciberdelincuentes cada vez, como los terroristas, son más sofisticados y burlan hasta las SANDBOX (malware artesanal que reconoce cuando está en un sandbox y se comporta bien y pasado este filtro luego explota). En consecuencia es el grado de preparación frente al incidente o evento de seguridad(por ejemplo violación datos personales) donde debe ponerse el foco y dicho grado de preparación LA PREVENCION es lo que diferenciará a unas organizaciones de otras (caso Tesla vs Chrysler)
- FACTOR HUMANO. Destacadamente, el factor humano lidera las causas de brechas de seguridad (sea dolosa o negligentemente) lo que, necesariamente nos lleva a poner el foco nuevamente en la PREVENCIÓN (concienciación y formación) de las personas que de un modo u otro siempre intervienen en los procesos de comunicación de la información de las organizaciones (Samsung acaba de sacar su SAMSUMG KNOX para terminales de todo tipo intentando suprimir el factor humano al máximo)
- VELOCIDAD CAMBIOS. Decía Jack Welch (GE) que “cuando el ritmo de los cambios dentro de la empresa es superado por los del entorno, el final está cerca”. Una de las características que definen esta llamada 4ª revolución industrial es la velocidad de los cambios que generan las nuevas tecnologías y se define por todos los expertos como EXPONENCIAL.
- FACTOR ECONOMICO. Toda la ciberdelincuencia está asociada, como dijimos al principio, al factor económico: fraude, robo directo (ramsomware), robo información como instrumento de otros delitos, etc,..
- La ciberseguridad, como dicen los expertos, no tiene apellidos afecta a toda la tecnología, a cualquier sector de actividad, a cualquier dispositivo o terminal. Su prevención debe estar en el propio diseño de la tecnología y los dispositivos, cosa que, actualmente no ocurre.
La secuencia de un ciberataque es siempre la misma y actúa sobre una o varias de las capas de la arquitectura de todo dispositivo (hardware, firmware, sistema operativo y aplicaciones o utilidades) siguiendo este esquema:
- Existencia de una vulnerabilidad
- Creación de un programa diseñado para explotar dicha vulnerabilidad, EXPLOIT
- Intrusión en el sistema del EXPLOIT a través de un VECTOR DE INTRUSION (adjuntos, email, navegador, etc,..)
- Infraestructura de explotación para controlar el sistema atacado
La debilidad de los sistemas de información tiene que ver, a su vez, con varios factores, tales como la falta de concienciación (de ahí la privacidad por diseño y por defecto en data protection) de los fabricantes, la falta de concienciación de los usuarios de los sistemas, así como de formación de los mismos, etc, etc,…
Para DEFENDERNOS pues de la ciberdelincuencia debemos atacar esos 4 elementos de la secuencia del ataque:
- Prevención desde el diseño al usuario
- Detectar: vigilar, monitorizar, alertar
- VECTOR INTRUSION. Prevención, Concienciación y Formación usuarios. Buenas prácticas
- Mecanismo de RESPUESTA. Limpiar/desinfectar/mitigar/recuperar
Esta filosofía es la que sustenta la nueva regulación europea de la protección de datos personales GDPR y que se sustenta en los principios de Responsabilidad por Diseño y por defecto. Es decir, los riesgos sobre la privacidad (violación o incidente) deben contemplarse desde el mismo momento del diseño del producto o servicio y una vez en marcha únicamente deben tratarse lo estrictamente necesario para la finalidad que se persigue, o sea, mínima intervención en términos de uso y tiempo de los datos personales. Esta exigencia y rigor en cuanto a la responsabilidad de las organizaciones en relación a los datos personales tiene que ver con la doble vertiente siguiente:
- Dentro de la información a la que se accede a través de un ciberataque, la privacidad está especialmente protegida toda vez que es un derecho fundamental de los ciudadanos de la Unión Europea
- Por regla general, la sustracción de los datos personales que identifican o pueden identificar a una persona, es IRREVERSIBLE. La gravedad de su violación justifica por sí misma esta regulación.
Durante los próximos años veremos cómo los organismos de control de los países miembros UE van definiendo los criterios que sustentan estas normas a base de interpretaciones en los casos concretos que se vayan planteando en el día a día de las organizaciones y distintas administraciones públicas.
Fdo. Juan José Cortés Vélez
Alicante, 11 de diciembre de 2018
Nombre: Juan José Cortés Vélez
Correo electrónico: jcortes-velez@icali.es
Sitio web: https://www.devesaycalvo.es/
Juan José Cortés Vélez es el responsable del Área de Compliance de Devesa & Calvo Abogados y aglutina más de 23 años de experiencia profesional como letrado. Licenciado en Derecho por la UA y MBA, Cortés tiene por formación y actitud una visión transversal y empresarial de su trabajo que le permite conectar perfectamente con las organizaciones empresariales para las que nuestro despacho trabaja. Centra el trabajo del área que dirige en proteger la cuenta de resultados de nuestros clientes a través de una adecuada implementación de procesos para garantizar el cumplimiento normativo, y en especial los relativos a programas de protección de datos y planes de prevención de riesgos penales.
Juan José Cortés ha impartido numerosas jornadas y conferencias en las áreas de su especialidad (protección de datos y compliance penal), habiendo sido docente, entre otras instituciones, en la Escuela de Negocios Germán Bernacer de la Universidad de Alicante, FUNDESEM, UCAM, así como en formaciones “in company” para empresas de diferentes sectores económicos.
Currículum
- Licenciado en Derecho por la Universidad de Alicante.
- Abogado en ejercicio del Ilustre Colegio de Abogados de Alicante.
- Master en Dirección y Administración de Empresas y Título de Experto en Dirección de Empresas Turísticas por la Universidad Politécnica de Madrid.
- Jefe de Asesoría Jurídica de ONO para la Comunidad Valenciana (2000-2002).
- Asociado Senior de PriceWaterHouseCoopers-Landwell (2002-2004).
- Director de Grupo Antalba (Comercio internacional) del 2004 al 2006.
- Fundador de The Sun Farms Company en 2006.
- Director General de Grupo Pepe Botella (moda de alta costura) del 2008 al 2010.
- Socio de Cortés & Asociados, Abogados (2010 a marzo de 2017).
