Utilizamos cookies para ofrecer a nuestras visitas una experiencia transparente y cómoda a la hora de navegar por nuestra web. Si continúas navegando, consideramos que aceptas su utilización. Puedes cambiar la configuración y obtener más información. Más información
Reportajes
¿Vacunarse ante el cibercrimen es posible?

¿Vacunarse ante el cibercrimen es posible?

Es ya una obviedad afirmar que vivimos un momento de pronunciada inflexión, de cambio radical de paradigma, ante los nuevos avances tecnológicos que, de forma exponencial, están modificando nuestra forma de vivir e interactuar con los demás, de trabajar, de ver la realidad y concebir el valor de las cosas. La tecnología parece estar transformándolo todo y, sin embargo, apenas somos conscientes de los riesgos que se derivan de un mundo interconectado hasta extremos inimaginables. Cuando empezamos a habituarnos a nuevas realidades, como el denominado Internet of Things (IoT), ya está aquí el Internet of Bodies. Los dilemas que plantea la visión transhumanista de los momentos actuales y de un futuro no lejano, sin duda, no han hecho más que empezar.

 

Los riesgos tecnológicos son cada vez mayores y no se trata, esta vez, de presagios desmedidos propios de un mundo de ciencia ficción. Las cargas de profundidad con que Tom Hanks y Emma Watson nos dejan pensativos y abrumados en El Círculo son reales como la vida misma. Y ante los riesgos de una pérdida del control sobre la propia esfera, los activos personales y los patrimoniales, emerge con fuerza la idea de que los daños que pueden producirse en esta nueva era tecnológica son irreversibles. La moraleja parece clara: el énfasis debe ponerse en la prevención, no en la reacción, que puede llegar tarde y mostrarse incapaz de restaurar lo que ya ha sido profanado o recuperar las pérdidas ocasionadas.

 

Lo decía de forma elocuente Mark Zuckerberg en su reciente discurso a los que se graduaban este final de curso en Harvard: “Hoy en día gastamos cincuenta veces más en tratar a los enfermos que en buscar curas para que la gente no enferme. No tiene sentido. Podemos solucionarlo”.

 

¿Cómo operar el cambio cultural necesario? ¿Basta con prevenir el fallo técnico e invertir en ciberseguridad, o la clave está en el factor humano? ¿O en ambos?

 

Ciertamente, nuestro entorno está cambiando de forma vertiginosa. Se pueden desactivar los frenos de un coche hackeando remotamente su sistema o alterar desde fuera el funcionamiento de un marcapasos. Se puede transportar droga a través de drones. Y estamos asistiendo a nuevos ciberataques que ponen en jaque la seguridad de infraestructuras críticas y no tan críticas, de un país o de importantes empresas que contratan costosos sistemas de seguridad.

 

Esta nueva situación de amenaza es todavía más grave si se tiene en cuenta que, según los expertos, el impacto de los cambios tecnológicos sigue patrones exponenciales. Frente a ello, los individuos, las organizaciones y la sociedad en general operan con una lógica y una velocidad de cambio lineal… hasta que pasa algo.

 

Mayo de 2017: dos hechos clave

 

En este contexto, mayo de 2017 ha supuesto un antes y un después. En efecto, acabamos de asistir a dos hechos de singular relevancia que están teniendo un efecto determinante.

 

Por un lado, como es sabido, el pasado 12 de mayo de 2017 sufrimos de forma repentina una infección de ransomeware (posible recuadro lateral explicativo) a escala planetaria sin precedentes: el virus conocido como Wannacry mostró al mundo la vulnerabilidad sistémica de la red. Por otro lado, también en mayo se ha dado el pistoletazo de salida a la aplicación directa del nuevo Reglamento General (europeo) de Protección de Datos (RGPD), que entró en vigor el pasado 25 de mayo y que será de cumplimiento obligatorio el 25 de mayo de 2018.

 

En la era postwannacry la conciencia de nuestra vulnerabilidad ha aumentado al experimentar de forma palpable que el eslogan “Stop, Think, Connect. Cyber Security is a Shared Responsibility” debe convertirse en un objetivo inaplazable. Está en juego no solo el patrimonio de las grandes empresas, sino la intimidad de las personas y la seguridad de la información de los Estados. Porque lo hemos volcado todo en la red. Internet ha pasado de ser una herramienta útil a un insaciable traficante de datos, por encima de los derechos inalienables de la dignidad humana.

 

Cumplimiento normativo (compliance) y ciberseguridad

 

El RGPD viene a introducir la cultura del compliance en el ámbito de la ciberseguridad. Esto, en pocas palabras, significa que a las empresas ya no solo les va a importar la prevención por los daños que puedan sufrir, sino que las nuevas y muy elevadas sanciones en esta materia a las que van a estar expuestas todas las empresas supone un giro importante. En efecto, la nueva regulación va a poner encima de la mesa de los consejos de administración o de los pequeños administradores el problema de la ciberseguridad.

 

Ciertamente, resulta evidente que a nivel estratégico todos estos nuevos avances tecnológicos están transformando los modelos de negocio en los distintos sectores empresariales, lo que genera situaciones nuevas que requieren respuestas también novedosas. Y ante la complejidad a la que nos enfrentamos, los CEO y directivos de las empresas son plenamente conscientes de que deben resolver importantes preguntas estratégicas (¿cuál es el impacto real de las tecnologías y plataformas digitales y sociales en mi modelo de negocio y mi sistema de organización?). Sin embargo, sería una temeridad menospreciar los nuevos riesgos a la vista, por ejemplo, en materia de ciberseguridad, privacidad o propiedad intelectual e industrial. Y si no, al tiempo.

 

Ante riesgos complejos, equipos multidisciplinares

 

Ante un escenario como el actual, las empresas deberían invertir en equipos multidisciplinares que sepan prevenir, gestionar y reaccionar frente a incidentes de ciberseguridad. No basta con prevenir el fallo técnico, sino que el componente humano es esencial. Los ciberdelitos solo se pueden cometer si la víctima se distrae, baja la guardia o pica el anzuelo. Y, en este sentido, dominar las técnicas de ingeniería social va a resultar determinante.

 

Ha llegado la hora de que haya profesionales que conozcan el entorno tecnológico, pero cuya formación sea eminentemente humana: juristas, criminólogos y psicólogos especializados en cibervictimización y estrategias de prevención. No es que los responsables de TI en una empresa no estén capacitados… Simplemente, la cuestión radica en buscar un enfoque orientado a problemas, desde una óptica multidisciplinar y que sea comprendido por todos. Porque, en materia de ciberseguridad, cualquier empleado puede cometer un fallo que tenga efectos sistémicos. Bienvenidos a la era descrita por Mark Goodman, bienvenidos a la era de los delitos ya no del futuro, sino del presente.

 

* José R. Agustina es profesor de la Facultad de Derecho y director del Máster en Ciberdelincuencia de UIC Barcelona. Abogado-Consultor en Molins & Silva