Ciberataques que saltan a la luz

Las empresas se resisten a notificar o denunciar los ataques informáticos de las que son víctimas. El riesgo reputacional, el impacto sobre el negocio o la posibilidad de ser sancionada por no haber adoptado medidas suficientes de seguridad empujan a muchas compañías a optar por resolver internamente el incidente. Prueba de ello es que, tal y como revela Elvira Tejada, fiscal coordinadora en materia de criminalidad informática, tras el ataque masivo del virus Wannacry, en mayo del año pasado, la Fiscalía tuvo que archivar la investigación porque ninguna de las muchas empresas afectadas presentó denuncia. “Abrimos diligencias para investigar el hecho e intentar actuar contra sus responsables, pero no fue posible avanzar porque nadie de entre los perjudicados nos dijo con claridad que hubiera sufrido un daño efectivo”, explica Tejada. Para que pueda apreciarse la existencia de un delito de daños informáticos, el Código Penal exige que el ciberataque cause un resultado “grave”, una circunstancia que debe probarse.

Los datos muestran que lo sucedido tras el Wannacry no es la excepción sino la regla. El Instituto Nacional de Ciberseguridad (INCIBE) registró en 2016 cerca de 115.000 incidentes de seguridad. En ese año, en cambio, los procedimientos judiciales iniciados por daños informáticos o descubrimientos de secretos empresariales a través de la red apenas superaron los 150. Es cierto que no todos los incidentes informáticos tienen la gravedad suficiente como para suponer un delito, pero, en opinión de Tejada, la proporción es indicativa de cómo a las grandes compañías “les cuesta” denunciar. La mayoría de quienes recurren a la Fiscalía, explica, son particulares o pequeñas que han sido estafadas en Internet.

El plazo para comunicar situaciones que afecten a datos personales es de 72 horas

Esta resistencia a comunicar y denunciar los ciberataques, sin embargo, tiene los días contados. El Reglamento General de Protección de Datos (RGPD), de plena aplicación desde el 25 de mayo, impone a las compañías la obligación de notificar las brechas de seguridad en las que se vea afectada información de carácter personal en un plazo de 72 horas. Completa esta exigencia la Directiva NIS, norma europea que pretende elevar los estándares de seguridad en la red, y cuya transposición al Derecho español debe aprobarse en los próximos meses. No en todos los ciberataques se ponen en peligro datos de carácter personal; de hecho, el virus Wannacry no robaba información, sino que bloqueaba el acceso a la misma. La Directiva extiende sus efectos sobre sectores de actividad críticos. Su articulado reclama a los Estados que regulen los mecanismos para que los “operadores de servicios esenciales” notifiquen “sin dilación indebida” a una autoridad administrativa competente “los incidentes que tengan efectos significativos en la continuidad” de sus prestaciones. Las organizaciones afectadas por la norma son las dedicadas a la energía, transporte, banca, infraestructuras de mercados financieros, sanidad, suministro de agua e infraestructura digital.

Tejada confía en que la ley que transponga la Directiva fije mecanismos de comunicación entre el órgano encargado de recibir las notificaciones y los jueces y fiscales, para que el primero les traslade los hechos que puedan revestir carácter de delito. “Sería la forma de dar una respuesta completa al problema, porque no se trata solo de hacer prevención, también debe haber reacción penal”, apunta.

La falta de denuncias no sólo representa un problema a efectos de perseguir y castigar a los ciberdelincuentes. También impide que el Estado se dote de unas herramientas y una legislación adecuadas, “porque, si no sabemos lo que está ocurriendo, porque nadie nos lo viene a contar, no podemos ofrecer respuestas legales”, advierte la fiscal.

Sanciones

A la espera de cómo se concrete la Directiva NIS, sí resulta ya de aplicación el RGPD, que eleva las sanciones hasta un máximo de 20 millones de euros o el 4% de la facturación anual de la compañía. La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ya ha advertido que la “ocultación consciente” de una brecha de seguridad será tenida en cuenta como agravante en la cuantificación de las multas.

Ningún afectado por el virus Wannacry puso denuncia y la fiscalía archivó las pesquisas

El problema, en este punto, es que la notificación a la AEPD puede conllevar una sanción a la propia compañía si se comprueba que no adoptó las medidas suficientes de seguridad. ¿Puede este riesgo desincentivar las denuncias? Rafael García del Poyo, socio de Osborne Clarke, recuerda que la comunicación “no conlleva per se” un procedimiento sancionador, sino que solo afectará a quien no haya hecho sus deberes previamente. Idea en la que incide Bartolomé Martín, counsel de CMS Albiñana & Suárez de Lezo, que apuesta por realizar la notificación “como medida de protección” ante una posible multa.

La gestión de un incidente no es sencilla. La reacción debe ser rápida, coordinada y efectiva, por lo que nada puede quedar a la improvisación, porque la presión del momento facilita la adopción de malas decisiones. Además, la planificación debe contemplar las respuestas técnica, legal y de comunicación. “Los procedimientos de gestión de incidentes deben formar parte de las políticas de actuación empresarial para la protección de los datos y de la información sensible de la compañía”, aconseja García del Poyo.

Martín apunta a que una de las mayores dificultades con las que se encuentra una empresa que detecta una brecha de seguridad es la “determinación de su alcance”. Y este aspecto es relevante porque según el tamaño y relevancia del incidente, la normativa impone deberes distintos en relación a la notificación (o incluso excluye su obligatoriedad). “Si no se maneja adecuadamente la información” sobre el ciberataque, remata García del Poyo, esta “puede difundirse de manera intensiva e incontrolada, generando consecuencias indeseadas para la compañía, sus directivos o trabajadores”.