por Brenda R. Sharton
Resumen:
En el transcurso de una vigilancia rutinaria, puedes encontrar información confidencial de tu empresa en la red oscura. ¿Deberías intentar recuperarla? La respuesta corta es que, en la mayoría de los casos, los riesgos legales y de reputación superan con creces los beneficios de comprar la información. He aquí ocho de esos riesgos.
___
Un día recibí una llamada de Sarah*, abogada interna de una gran institución financiera. «Nuestro equipo [de seguridad de la información] estaba haciendo una búsqueda rutinaria y encontró una lista de las contraseñas de nuestros empleados a la venta en la web oscura», me dijo. «La gente de la empresa quiere recomprarla. ¿Qué hacemos? ¿La compramos nosotros? ¿Hay algún inconveniente?»
Recibo llamadas como ésta con frecuencia, y la respuesta breve es que, en la mayoría de los casos, los riesgos legales y para la reputación superan con creces los beneficios de comprar la información. Los ciberdelincuentes utilizan con frecuencia la web oscura -un centro de actividad delictiva e ilícita- para vender datos de empresas a los que han obtenido acceso no autorizado mediante ataques de relleno de credenciales, ataques de phishing, piratería informática o incluso filtraciones de información privilegiada de una empresa.
Los riesgos legales y de reputación incluyen:
Aumenta el precio de los datos de tu empresa y te pone una diana en la espalda.
Si compras los datos de tu empresa, no sólo podrías encarecer los datos en sí, sino que también te arriesgas a adquirir la reputación de empresa que paga, lo que te convierte en un objetivo aún más apetecible para futuros ciberataques de extorsión y rescate.
Aunque los ciberdelincuentes no sepan que tu empresa es la compradora, se darán cuenta de que los datos se venden. Si saben que tu empresa es la compradora, pueden darlo a conocer en sus propios círculos, poniendo a tu empresa en mayor riesgo de reputación.
No sabes lo que obtienes con o en esos datos.
Es intrínsecamente arriesgado comprar datos en la web oscura, ya que invariablemente los estás comprando a personajes poco fiables, ya sean actores de amenazas o alguien que los ha comprado ilícitamente a los hackers. Los datos pueden contener código malicioso y/o un troyano que podría proporcionar a los ciberdelincuentes acceso no autorizado a los sistemas de la empresa.
Los datos pueden contener información confidencial o propiedad de otras empresas.
Los vendedores pueden estar ofreciendo los datos de tu empresa en combinación con datos de otras fuentes, incluidos tus competidores o socios comerciales. No lo sabrás hasta que sea demasiado tarde. Los propietarios de esos datos podrían entonces alegar que tu empresa ha incumplido acuerdos de confidencialidad u otras leyes (apropiación indebida de secretos comerciales o, peor aún, recepción de propiedad robada).
Tu compra podría desencadenar obligaciones de notificación y aumentar el riesgo normativo.
La compra de los datos podría proporcionarte pruebas de que tus datos han sido exfiltrados, lo que desencadenaría obligaciones de notificación a consumidores y reguladores, abriéndote al riesgo de litigios y acciones coercitivas. En el mejor de los casos, te ves en la difícil situación de determinar si se activan las notificaciones reguladoras o de correr el riesgo de que un regulador alegue más tarde que debería haber sido notificado.
Tu compra podría incluso violar las sanciones estadounidenses.
Como es difícil estar seguro de la identidad del vendedor, la compra de los datos puede exponer a tu empresa a la responsabilidad de violar las normas del Departamento del Tesoro si los actores de la amenaza están asociados a países sancionados. La Oficina de Control de Activos Extranjeros («OFAC») del Departamento del Tesoro de EE.UU. emprende acciones coercitivas contra las empresas que realizan pagos a actores de amenazas cuando dichos pagos constituyen violaciones de las sanciones estadounidenses.
Incluso si utilizas un comprador externo, tu empresa puede estar expuesta a ello.
Un servicio de terceros tendrá acceso a los datos de clientes, proveedores y empleados de tu empresa, lo que supone un riesgo adicional. Y tú puedes seguir siendo responsable de dirigir el pago.
Podrían demandarte las personas cuyos datos hayan quedado expuestos.
Puedes estar legalmente obligado a notificar a las personas que has encontrado sus datos en la web oscura. Estas personas pueden acusar a tu empresa de no salvaguardar adecuadamente sus datos, quizá suponiendo injustamente que la filtración se produjo en los sistemas de la empresa o por culpa de la empresa. Esto podría provocar una pérdida de negocio y posibles demandas judiciales.
La información puede seguir viviendo en la red oscura.
Dado que estás tratando con ciberdelincuentes o sus asociados, no hay garantía de que la compra lleve a que los datos estén completamente salvaguardados. Es posible que el vendedor no tenga la posesión o el control de todas las copias de tus datos robados y, por tanto, no pueda impedir que se sigan vendiendo o difundiendo. O puede que ellos mismos sigan vendiendo tus datos a otros.
La compra de datos no relacionados con la actividad de tu empresa en la web oscura es desaconsejable por muchas de las mismas razones expuestas anteriormente. Tu empresa se expondría al riesgo de recibir información robada o incluso secretos comerciales de la competencia, lo que supondría un riesgo tanto legal como para su reputación. No hay ningún escenario en el que esto sea aconsejable.
Reconocemos que puede haber ciertas circunstancias en las que tu empresa considere la posibilidad de comprar información en la red oscura. Estas compras deben ser muy raras y realizarse con extrema precaución. En estas circunstancias, también debería realizarse un análisis de la OFAC para disminuir el riesgo de que estés comprando datos de un país o individuo sancionado.