Sergey Nivens - stock.adobe.com

Se debe criminalizar el cibercrimen, no a las organizaciones víctimas

Los delitos cibernéticos, como el ransomware, y sus perpetradores deben criminalizarse y perseguirse de forma adecuada, y las empresas también deben comprender su responsabilidad de proteger la información, dice Veeam.

En los últimos años, los ataques cibernéticos se han convertido en una situación sobre la cual el público en general es cada vez más consciente. De igual forma, fuera de la industria de TI se sigue pensando que este tipo de ataques suceden solo en internet. Es difícil relacionar y equiparar el impacto de los delitos cibernéticos con sus víctimas, lo mismo si hablamos de una persona que ha caído en una estafa en línea o de una organización obligada a pagar un rescate para restaurar sus sistemas. Por esto, no siempre parece que el delito cibernético se considere o se vea como un delito real.

Dave Russell

Podemos reconocer que existe, pero para algunos aún es difícil aceptarlo. La idea de que un hacker derribe una corporación multinacional puede parecer un poco descabellada, y esto es porque se sigue estereotipando a los ciberatacantes como niños prodigio de la informática que están descontentos y que no tienen nada mejor que hacer que ponerse de rebeldes. La realidad es que la mayoría de estos ultrajes son obra de un enorme sindicato del crimen, organizado y acaudalado.

Pero el delito cibernético es real, y las empresas que caen son víctimas de un crimen cometido en su contra. Sin embargo, el nivel de simpatía hacia las organizaciones violadas es muy distinto al que le daríamos a una persona: por un lado, si alguien dice que ha sido hackeado, que su información personal está comprometida y que le robaron dinero, probablemente nuestra reacción natural no sería decirle que es su culpa; pero, en el caso de infracciones cibernéticas contra las empresas, que implican un daño duradero para su reputación, solemos suponer que algo hicieron mal o que actuaron sin cuidado.

Como alguien que ha trabajado en la industria de la protección de datos por más de 32 años, tendería a estar de acuerdo con esto. La gran mayoría de los incidentes cibernéticos son evitables, y son resultado de que las empresas no sigan las mejores prácticas, o bien que cuenten con una higiene digital deficiente y software obsoleto o sin parches. Con todo, la atención se está centrando en culpar a la víctima y no en llevar a los delincuentes ante la justicia. Las empresas son vistas como culpables, en lugar de como víctimas, y se acepta que los criminales queden impunes por la falta de un marco legal global y un sistema de justicia acorde. Si un extranjero comete un delito físico en suelo mexicano, existe todo un proceso diplomático para garantizar que sea llevado ante la justicia y la víctima sea indemnizada, pero no es igual cuando se trata de un tema de ransomware, por ejemplo.

La cooperación intercontinental e internacional es la única forma de crear un entorno en el que los atacantes cibernéticos encuentren más riesgos que recompensas. Durante la pandemia, el flagelo del ransomware se aceleró, aumentando el apetito de los líderes gubernamentales y empresariales por romper el estancamiento geopolítico que ha permitido que los hackers se desboquen. Pero no será fácil, y encontrar una solución holística viable es algo que aún está a años de distancia.

Aprenda defensa personal

A falta de un sistema de justicia que nos proteja por completo de los malos, el instinto básico de supervivencia humana exige que aprendamos a defendernos. Esto, en el contexto de la seguridad cibernética, significa centrarnos en algunos aspectos fundamentales:

  • En primer lugar, cada empresa requiere un líder de seguridad de TI dedicado, con acceso al liderazgo de negocio y con autoridad para comandar la iniciativa de seguridad. Para las organizaciones más pequeñas, es absolutamente vital contar con un recurso con responsabilidad designado para la ciberseguridad, y especializado en protección de datos.
  • En segundo lugar, los negocios deben practicar una higiene digital impecable, lo que implica capacitación obligatoria para todo el personal, de manera que puedan reconocer posibles ataques, sepan a quién deben reportarlos y comprendan por qué esto es tan importante. Cuantas más personas entiendan las dimensiones de una buena higiene digital, habrá mayor sentido de alerta y disposición a quitarse la venda de los ojos.
  • Finalmente, nunca se debe pagar el rescate. Las organizaciones que lo hacen alimentan la percepción del “día de pago fácil”, que quiere decir que los delincuentes cibernéticos seguirán llevando a cabo estos ataques. En cuanto las empresas dejan de pagar rescates, se verá una reducción en la popularidad del ransomware como técnica de extorsión.

Si bien las organizaciones que sufren ataques cibernéticos son víctimas, también son responsables de proteger los datos que usan, procesan y almacenan. Pagar a los hackers para que los sistemas vuelvan a estar en línea es una estrategia de defensa insostenible. Conforme los gobiernos se vuelven más activos para prevenir la propagación de ransomware, es posible que veamos empresas que lo hacen, investigadas y reprendidas por reguladores independientes.

Claramente, hacer frente a la escala implacable y masiva de la actividad cibercriminal contra empresas e individuos será un esfuerzo internacional, tanto en el sector público como en el privado. Aunque es importante que el delito cibernético se criminalice de forma adecuada y que los perpetradores sean llevados ante la justicia, las empresas también tienen que comprender la responsabilidad que tienen con sus clientes y empleados para proteger cualquier información dentro de su jurisdicción. Esto solo se logra implementando una estrategia de protección de datos moderna, que combine defensas de seguridad cibernética efectivas de primera línea, con un enfoque integral para el respaldo y la recuperación ante desastres.

Sobre el autor: Dave Russell es vicepresidente de Estrategia Empresarial en Veeam. Cuenta con tres décadas de experiencia, y el último cargo que ocupó antes de ingresar a Veeam fue el de vicepresidente y analista distinguido de Gartner especializado en estrategias y tecnologías de almacenamiento. Antes de trabajar en Gartner, Russell dedicó 15 años en IBM como ingeniero de software en almacenamiento para servidores y como director de equipos de desarrollo, arquitectura y estrategia de producto para soluciones de almacenamiento de sistemas distribuidos.

Investigue más sobre Gestión de la seguridad