Los ciberdelincuentes son conscientes de ello y usualmente buscan información crítica y sensible en posesión de sus víctimas, para obtener un lucro económico ilegal.
En 1988 Robert T. Morris desató el caos con su virus cibernético “Morris”, el cual atacó aproximadamente el 10% de los computadores de las universidades a quienes se limitaba el acceso a la red en ese entonces.
Con el acceso masivo a la red global a partir de 1993, se incrementaron los riesgos. Algunos recordarán el virus “ILOVEYOU” que utilizando la curiosidad de sus víctimas, logró propagarse por millones de computadores a través de correos electrónicos, causando caos y daños por aproximadamente 15 billones de dólares.
Desde entonces el crecimiento del negocio de la ciberdelincuencia ha sido exponencial. Ya en 2022 el CEO de la empresa Cisco indicaba que si los ingresos de la ciberdelincuencia se midieran como los de un país, esta industria sería la tercera economía del mundo – detrás de E.E.U.U. y China. Se estima que en 2021, generó costos a sus víctimas de aproximadamente 6 trillones de dólares. Según información pública, un ataque cibernético ocurre cada 39 segundos y aproximadamente treinta mil sitios web son vulnerados a diario. En 2024, el incremento de ataques tuvo un crecimiento de 30% en el segundo semestre, el costo promedio de un ciberataque extorsivo fue de 2,8 millones de dólares, según Varonis – una firma especializada en ciberseguridad.
Los objetivos más apetecidos son las infraestructuras digitales que manejan servicios esenciales, como hospitales, acueductos, plantas de generación, aeropuertos. Otro objetivo son las empresas que administran depósitos digitales de datos, como sitios web o repositorios en la nube que almacenen grandes cantidades de información de personas tales como nombres, números de identificación, datos financieros, contraseñas, entre otras.
Personas como usted o como yo, incluso podemos ser víctimas sin saberlo, cuando el objetivo de ciberataques es una empresa a la que le confiamos nuestros datos legítimamente. Es decir, muchas veces su privacidad y la integridad de su información se pudo ver vulnerada muchos días antes de que usted lo perciba o lo sepa.
Los atacantes se valen de diferentes métodos para identificar y tomar provecho de fallas en la seguridad de las redes y de los sistemas para tener acceso a información, a cambio de la cual obtendrán beneficios de diferentes fuentes.
Estas herramientas se vuelven por minutos más y más sofisticadas dañinas.
Los ataques con malware no solamente usan programas con la forma de un virus (que infecta, destruye o interfiere el adecuado funcionamiento de los equipos). También pueden tomar la forma de troyanos (que se esconden dentro del software legítimo para dar acceso no autorizado al atacante), adware malicioso (que a través de publicidad recolecta información no autorizada), spyware, entre otros.
El ransomware – uno de las formas más lucrativos para los ciberdelincuentes, permite a los atacantes lucrarse a través de extorsiones que implementan utilizando un software malicioso para bloquear el acceso a los sistemas de las víctimas, hasta que paguen una recompensa. Según el reporte Zcaler (Zcaler 2024 Ransomware Threat Report), el número de ransomwares ha aumentado significativamente en los dos últimos años. Estos se duplicaron en los E.E.U.U, en Suecia crecieron aproximadamente en un 350% y en países como Brasil y México, las ciber-amenazas extorsivas aumentaron en un 50% y 83% respectivamente.
El negocio es tan rentable que una de las tendencias más preocupantes es el crecimiento de lo que se conoce como ransomware-as-a-service o el servicio de códigos extorsivos maliciosos. Bajo esta modalidad, expertos desarrollan el ransomware no para utilizarlo directamente sino para licenciarlo o venderlo a atacantes para sus propias incursiones delictivas. El desarrollador del malware puede diseñarlo para venderlo a un tercero o puede licenciarlo obteniendo una renta periódica del usuario de esta herramienta para delinquir. A veces, se pactan regalías que se calculan sobre la base de un porcentaje aplicado sobre la ganancia ilegal que haya obtenido el usuario del ransomware.
Cuando estos ataques se dirigen hacia quienes procesan, almacenan o administran los datos personales de terceros, estas empresas pueden ser a la vez víctimas del delito y responsables frente a los titulares de la información por las vulnerabilidades que las ocasionaron. Los riesgos no paran ahí. Estos ataques también generan potenciales riesgos regulatorios, que pueden multiplicarse por el número de jurisdicciones que de una u otra manera tengan relación con los datos vulnerados.
La aproximación que las autoridades tienen respecto al manejo de los datos personales, los estándares de seguridad que deben adoptar quienes los procesan, los tiempos y procedimientos para reportar incidentes o la debida diligencia, están lejos de seguir un mismo estándar global. Por eso, hoy en día resulta tan importante contar con herramientas tecnológicas para protegerse de un ataque cibernético como adoptar las medidas de cumplimiento para cumplir con responsabilidades que desde la perspectiva legal genera el procesamiento de información personal de terceros.
Entre más datos procese su empresa, usted no sólo deberá realizar una mayor inversión en herramientas de seguridad para protegerla sino que además deberá procurar un mejor entendimiento de las obligaciones legales que este procesamiento de información conlleva.
Aún cuando las obligaciones que los diferentes sistemas legales imponen a los responsables por el procesamiento de la información, tienen algunas diferencias prácticas, éstas tienden a coincidir en los principios fundamentales de la protección de datos personales.
Dentro de los principios más relevantes, que además acogió la legislación colombiana, se encuentran los de seguridad y de responsabilidad demostrada.
El principio de seguridad impone la obligación de adoptar medidas técnicas humanas y administrativas que sean necesarias para otorgar seguridad a los registros para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Según la interpretación que la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio ha dado al principio de responsabilidad demostrada o accountability, el responsable por el tratamiento de los datos personales deberá estar en capacidad de demostrar que las medidas de seguridad adoptadas son adecuadas para el tamaño de la organización, la naturaleza jurídica de los datos, el tipo de tratamiento al que se someta la información y los riesgos que se deriven del tratamiento de los mismos en la recolección, uso o circulación de los mismos.
Con base en estos principios, las organizaciones deben contar con estructuras de gobernanza de datos e información que sea proporcional a la estructura del responsable de los datos. Asimismo deben contar con mecanismos internos de implementación y programas de comunicación de las políticas y procedimientos, que incluyan entrenamientos para el personal encargado del manejo de los datos personales. La organización deberá contar con canales de atención de dudas y de reclamos y adoptar medidas de revisión y remediación respecto de las medidas de seguridad y respecto de la idoneidad de los procedimientos para cumplir con las obligaciones de seguridad.
Estos modelos deben estar basados en metodologías de gestión de riesgos. Para esto es recomendable contar con matrices y controles que permitan una medición del éxito de estos últimos, así como herramientas para permitir una pronta y rápida reacción frente a fallas de seguridad y amenazas sobre la integridad de la información.
Es clave que las empresas hagan un mapa de impacto de seguridad frente a todos los actores que pueden estar involucrados en el tratamiento de los datos personales bajo su responsabilidad. Un aspecto que no debe descuidarse es el vínculo contractual que se tiene con terceros a quienes se encargue parte de la gestión del tratamiento de los datos personales. Estas medidas incluyen actividades como las de realizar una debida diligencia sobre quien va a procesar los datos personales bajo su responsabilidad, incluir cláusulas contractuales con compromisos claros y transparentes respecto de las obligaciones de procesamiento y además medidas que permitan auditar y solucionar rápidamente cualquier violación o irregularidad en el tratamiento de estos datos.
Para realizar estas auditorías, las empresas pueden contratar a terceros especializados en detectar fallas en la seguridad informática y en proponer medidas de mitigación y solución.
Dada la rápida evolución de la tecnología y de las amenazas posibles, se recomienda que los procesos sean dinámicos e incorporen revisiones periódicas.
Los riesgos en materia de ciberseguridad son reales y ciertos y algo que debemos aprender a administrar con la misma rapidez con la que incorporamos la tecnología en nuestros procesos.