¿Qué hacer tras el hackeo de datos?
Los casos de Uber, Equifax y Yahoo! muestran las vulnerabilidades a que se enfrentan las compañías, instituciones y personas
Compañías deben comunicar cuanto antes a sus clientes si la información está en peligro para que hagan los ajustes necesarios
El hackeo a las bases de datos de firmas como Uber, Equifax y Yahoo! deja varias lecciones.
Para las firmas, cuando ocurre un incidente informático de este tipo, es su responsabilidad informar de inmediato a sus clientes para que ellos procedan a cambiar sus contraseñas o a verificar si hay movimientos sospechosos en sus cuentas y, si es así, a notificar a sus bancos.
Para los usuarios, es imprescindible fijarse en las condiciones de suscripción a las aplicaciones y servicios, así como monitorear sus cuentas, cambiar y usar contraseñas seguras, y solicitar la intervención de las entidades para la protección de su información.
“Si la empresa (hackeada) tiene sede en Costa Rica se procede por oficio o por denuncia de los usuarios si hay indicios de que fueron afectados”, advirtió Wendy Rivera, directora de la agencia de Protección de Datos de los Habitantes (Prodhab). “Pero hay limitaciones en los casos de empresas que están en otros países”.
En los casos de Uber y Equifax, dedicada a proveer información sobre riesgos crediticios, la agencia Prodhab solicitó a las firmas comunicarle si los respectivos incidentes involucraban las plataformas ubicadas en Costa Rica.
La sede de Equifax respondió a Prodhab que no tiene indicación alguna sobre accesos no autorizados a la información local.
Cuando se dio a conocer que los datos de 57 millones de usuarios de Uber habían sido hackeados hace dos años, la firma estaba en proceso de notificar a autoridades de varios países.
“Hasta que terminemos este proceso no estamos en la posición de dar más detalles sobre esta situación”,
dijo Julie Robinson, gerente de comunicación para Centroamérica y el Caribe de Uber. Por oficio
Es un deber de las empresas e instituciones mantener protegidas sus bases de datos, incluso cuando otra firma –ubicada o no en el país– se encarga de su gestión.
“Cada empresa debe garantizarse que el proveedor del servicio de base de datos, está debidamente protegida”, advirtió Roberto Lemaitre, especialista en delitos informáticos.
En el caso de un incidente, Prodhab puede actuar de oficio o ante la denuncia de un usuario e inicia un proceso que puede culminar con una sanción si la empresa es responsable. k Vea recuadro “Querella”.
Este procedimiento se aplica a empresas locales y a firmas internacionales con sedes en el país.
En los casos de firmas sin sede local, el usuario debe tener claras las condiciones de la suscripción, incluidos cómo y dónde se resuelven las disputas.
Aquí las herramientas son más limitadas, pues Prodhab no tiene jurisdicción en otros países y solo puede hacer lo que la ley autoriza. “Tenemos que ver hasta dónde se puede actuar en uso de nuestras competencias”, recalcó Rivera, de Prodhab.
Hay casos en los que se puede recurrir directamente a las agencias de otros países, como es el caso de las que forman parte de la red de protección de datos de América Latina y España. Responsabilidades
Cada uno debe ser consciente de la responsabilidad de proteger la información y de las medidas por implementar de manera proactiva y preventiva, así como de qué
hacer cuando ocurre un hackeo de los datos.
Los usuarios deben mantener varios cuidados con el manejo de sus cuentas y contraseñas. También debe saber cómo proceder si es víctima de un incidente informático y de un fraude. k Vea recuadro “Usuarios en alerta”.
Las empresas deben entender su responsabilidad para proteger la información de sus clientes, la afectación en la imagen que sufrirá si sus bases de datos son hackeadas y cuál es el procedimiento para actuar cuando ocurre eso.
En el caso de Uber hay coincidencia en que, al ocultar el hackeo de la información, no advirtió a sus clientes y a su propios chóferes para que adoptaran las medidas adecuadas.
La protección de las bases de datos corporativas va más allá de la aplicación de tecnologías de seguridad informática y la reacción ante un incidente no puede ser espontánea. k Vea recuadro “Protocolo”.
“La seguridad de la información no es un problema de tecnología de información”, advirtió Andrés Casas, socio de Risk Advisory de Deloitte. “Es un problema del negocio”.
Los incidentes relacionados con el secuestro de información
(ransomware) se han convertido en una epidemia global que cada vez afecta a más empresas.
Un estudio de la compañía Cybersecurity Ventures indica que cada 40 segundos un negocio es víctima de un ataque de ransomware. Para el 2019 podría ocurrir uno cada 14 segundos.
Los daños para las empresas van desde la destrucción de los datos, fraude financiero, pérdida de productividad, robo de propiedad intelectual, interrupción del negocio y daño a la reputación.■■