En los últimos años, los ciberataques se han convertido en algo de lo que el público en general es cada vez más consciente. Sin embargo, sigue existiendo la percepción, especialmente fuera de la industria de las IT, de que los ciberataques son sólo algo que ocurre en Internet.
Es difícil relacionar y equiparar el impacto de la ciberdelincuencia en sus víctimas, ya sea un individuo que ha caído en una estafa online o una empresa que se ha visto obligada a pagar un rescate para restaurar sus sistemas. Por esta razón, no siempre parece que la ciberdelincuencia se vea o se trate como un delito «real».
Aunque reconocemos que la ciberdelincuencia es un delito real, para algunos puede resultar difícil de asumir. Hay que tener en cuenta que la mayoría de los ciberataques son obra de enormes bandas del crimen que están organizados y son adinerados. Se trata de operaciones muy sofisticadas cuyo objetivo es robar dinero a la empresa que paga tu salario y al gobierno que recauda tus impuestos. ¿Le parece un delito?
El hecho es que la ciberdelincuencia es un delito real y las empresas que caen en él son víctimas. Han sufrido un delito cometido contra ellas. Sin embargo, el nivel de empatía hacia las organizaciones que sufren infracciones es muy diferente al que le daríamos a un individuo. Si alguien te dice que ha sido hackeado, que su información personal ha sido comprometida y que le robaron dinero, tu reacción natural probablemente no sea decir que es su culpa.
Sin embargo, las infracciones cibernéticas son una fuente de daños perdurables para la reputación de las empresas. Tendemos a suponer que han hecho algo malo o que actuaron sin cuidado. La gran mayoría de los incidentes cibernéticos son evitables y son el resultado de que las organizaciones no sigan las mejores prácticas, una mala higiene digital y/o un software anticuado o sin parches.
Sin embargo, ¿hay algún otro tipo de delito que se centre casi exclusivamente en culpar a la víctima y no en llevar a los delincuentes ante la justicia? Se considera que las empresas son las culpables en lugar de ser las víctimas y se acepta que los delincuentes son impunes debido a la falta de un marco jurídico y un sistema de justicia mundial acordados.
Si un delincuente de otro país viaja a EE.UU., por ejemplo, y comete un delito contra una empresa en suelo estadounidense, existe todo un proceso diplomático para garantizar que esta persona sea llevada ante la justicia y la víctima sea indemnizada. Este no es el caso cuando se trata de ransomware.
La cooperación internacional e intercontinental es la única manera de crear un entorno en el que los riesgos sean mayores que las recompensas para los ciberatacantes. El aumento del ransomware se aceleró durante la pandemia, aumentando el interés de los líderes gubernamentales y empresariales por romper el “impasse” geopolítico que le permitió a los ciberdelincuentes hacer estragos. Pero no va a ser fácil, y aún faltan años para encontrar una solución integral viable.
A falta de un sistema de justicia que nos proteja completamente de los delincuentes, el instinto básico de supervivencia humana exige que aprendamos a defendernos. En el contexto de la ciberseguridad, eso significa centrarse en algunos aspectos fundamentales. En primer lugar, todas las empresas necesitan contar con un responsable de seguridad informática con acceso a la dirección de la empresa y con autoridad para dirigir la iniciativa de seguridad.
En el caso de las empresas más pequeñas, es absolutamente necesario contar con un recurso con responsabilidad designada para la ciberseguridad y especializado en la protección de datos. En segundo lugar, deben practicar una higiene digital impecable. Esto incluye la formación obligatoria de todos los empleados para que reconozcan los posibles ataques, entiendan a quién deben informar y comprendan por qué es importante. Cuanto más sepa la gente de la necesidad de una buena higiene digital, más alerta estarán.
Está claro que para hacer frente a la incesante y masiva actividad de los ciberdelincuentes contra empresas y particulares es necesario un esfuerzo internacional tanto del sector público como del privado. Si bien es importante que la ciberdelincuencia sea debidamente penalizada y que los autores sean llevados ante la justicia, las empresas deben comprender la responsabilidad que tienen ante sus clientes y empleados de proteger todos los datos dentro de su jurisdicción.
Esto sólo puede hacerse aplicando una estrategia moderna de protección de datos que combine defensas eficaces de ciberseguridad de primera línea con un enfoque integral de los backups de los datos y la recuperación de desastres.
Por Dave Russell, Vicepresidente de Enterprise Strategy de Veeam