COVID-19: La ciberseguridad se sitúa entre las primeras posiciones de riesgos de negocio
Comentario Litigación y Arbitraje España
En plena fase de 'desescalada', el virus empieza a remitir, pero hay otras amenazas infecciosas, como los ataques informáticos que, sin embargo, persisten al acecho y de las que las empresas deberán permanecer, y no sólo ahora, muy alerta.
El 14 de marzo de 2020 el Gobierno decretaba el estado de alarma y, el siguiente lunes, muchos trabajadores y directivos ya no volvieron a sus despachos, instalaciones o puestos de trabajo habituales. Empezaron a aprender una modalidad de trabajo con la que no todas las organizaciones estaban familiarizadas y, en el menor de los casos, preparadas; el teletrabajo se imponía por necesidad. Este repentino cambio implicó para algunos el aterrizaje de un gran elenco de dispositivos de la oficina en casa; para otros, la rápida obtención de recursos tecnológicos con los que abordar las necesidades corrientes de la empresa (las de la emergencia o las que hubieran de venir después); y, para los menos agraciados, el uso de los equipos personales que rondaban por las estancias de la casa acondicionados a modo de “oficina de campaña”.
Una situación sobrevenida que planteó efectos inmediatos en la seguridad tecnológica de nuestros entornos digitales tanto en los equipos, sistemas y redes poco blindados que se emplearon en la actividad laboral como en la información almacenada o creada por los mismos. Los riesgos de fuga o el nivel de exposición a ataques externos se incrementaron de forma considerable. Paralelamente, la actividad laboral descrita convivió con la situación de emergencia sanitaria, crisis social y confinamiento que propició el consumo masivo de información, la creación de grandes flujos de contenidos digitales, plataformas de ecommerce y entretenimiento, desarrollándose en el ciberespacio la práctica totalidad de nuestra actividad informativa, comercial y operaciones monetarias.
Inseguridad tecnológica, desorientación, incertidumbre y temor personal que, siendo las vulnerabilidades más codiciadas por los ciberdelincuentes para perpetrar sus acciones, inesperadamente, concurrieron al mismo tiempo generando el escenario perfecto del crimen que permitió reavivar la actividad criminal por parte de los malhechores del mundo cibernético.
El modus operandi de los malos, sin embargo, no se vio muy alterado durante este periodo ya que los canales de llegada de las ciberamenazas fueron los ya conocidos; pese a ello, las nuevas sensibilidades del usuario invitaron a utilizar ciertas sutilezas en la creación de contenidos específicos relacionados con esa concreta situación de crisis. Así, a través del correo electrónico, mensajes SMS, aplicaciones de mensajería instantánea (Whatsapp, Telegram, etc.), redes sociales o incluso plataformas de comunicación (Zoom, Meet, Teams, etc.) proliferaron los avisos de compraventa de productos sanitarios de primera necesidad, la última hora informativa, una bonificación de una administración estatal o el aviso de un nuevo usuario unido a nuestra sesión de videollamada, por mencionar algunos, que invitaban a la descarga de malware, reenvíos a páginas falsas o que permitía el acceso a los sistemas informáticos menos seguros.
En este clima de confusión un inocente clic fue suficiente para comprometer, temporal o definitivamente, la actividad empresarial. Y es que ser víctima de un delito informático no es una cuestión de técnicos, código y bits. Es, con crisis o sin ella, objetivo prioritario del negocio con vocación de ser protegido como uno de los principales activos de la empresa. El elevado nivel de dependencia tecnológica existente, que resultó perfectamente ilustrada en este periodo, nos recuerda que un incidente de seguridad puede dar lugar a importantes responsabilidades legales, tanto internas como frente a terceros, así como generar un importante impacto económico en la cuenta de resultados de la empresa, sea por la propia interrupción del negocio o pérdida de información sea como consecuencia del alcance reputacional.
Entre las consecuencias legales se halla la posible (i) responsabilidad contractual que la empresa debería asumir por falta de cumplimiento de los compromisos asumidos con terceros (clientes, proveedores, trabajadores), llegando incluso a responder de los daños y perjuicios ocasionados; (ii) las responsabilidades ante administraciones públicas por las infracciones a que hubiera lugar en materia de protección de datos, (iii) las responsabilidades laborales en el supuesto de infracción de políticas de empresa relacionadas con el uso de los equipos tecnológicos o, en supuestos muy concretos, alcanzando incluso (iv) a la responsabilidad de los administradores por falta de diligencia debida en la protección de los activos empresariales.
Por ello, la necesidad de adoptar medidas preventivas que permitan dotar de seguridad tecnológica los sistemas, los procesos y, en primer orden, las personas, se ha adelantado a las primeras posiciones de riesgos de negocio para evitar la producción de importantes incidencias legales. Simultáneamente, será preciso que la empresa cuente con un plan de contingencia para el caso de ser víctima de un ciberdelito, conformado en todo caso por acciones y equipos humanos que permitan neutralizar tanto los aspectos de carácter técnico como aquellos que puedan dar lugar a responsabilidad legal.