¿Qué es el GDPR?
De un tiempo a esta parte están proliferando en las redes sociales, revistas especializadas y medios de comunicación, numerosas noticias en torno a la inminente aplicación de la nueva reglamentación europea GDPR y el impacto que tendrá en las organizaciones que posean datos personales o profesionales de los usuarios. Gran parte de estas noticias, quizás por sensacionalismo -o porque a menudo es lo único que “entendemos”- inciden en los aspectos pecuniarios sancionadores que la entrada en vigor de la normativa tendrá como consecuencia para las empresas.
A pocas personas se les escapa, a estas alturas, algunas cifras como el 4% de la facturación de la compañía o 20 millones de euros como posibles multas que sobrevuelan como espada de Damocles para los más irresponsables o incautos. Y eso causa pavor.
Precisamente hace pocos días, un conocido fabricante de productos de ciberseguridad se hacía eco del impacto que la entrada en vigor del nuevo reglamento puede tener en la proliferación de nuevos intentos de extorsión basados en esa amenaza. Y es que el campo se encuentra abonado para ello. Si hay una palabra que se ha hecho viral durante 2017 ha sido la de “ransomware”.
¿Quién no ha oído hablar de WannaCry o de NotPetya? Parece evidente que muy pocos responderían encogiéndose de hombros. La proliferación de mensajes de extorsión ha inundado los medios de comunicación especializados. Últimamente aparecen unidos al nuevo reglamento de protección de datos europeo. Pero ¿realmente este nuevo reglamento de GDPR abre la posibilidad a nuevas formas de extorsión? Esto es, quizás, lo que debemos analizar.
Amenazas amparadas en el GDPR
¡No se asusten! No trataremos a revisar uno por uno los artículos del reglamento. Estamos seguros de que muchas cosas se nos escaparían. Por el contrario, intentaremos centrarnos en aquellos aspectos del GDPR que se podrían añadir como fórmulas de extorsión. Porque lo primero que debemos preguntarnos es por qué una compañía se mostraría a ser víctima participativa de una extorsión bajo la excusa de la aplicación del GDPR . En principio se nos ocurren dos razones: económicas y reputacionales.
Respecto a la primera la amenaza resulta evidente. El GDPR es muy claro al imponer las mayores sanciones cuando se producen violaciones de (a) los principios básicos del procesamiento de datos, (b) los derechos de los usuarios, (c) la transferencia de los datos, (d) las leyes sobre derechos de fundamentales o (e) el incumplimiento de una orden dada por la autoridad supervisora. A estas sanciones hay que unir otras de menor impacto, pero no por ello exentas de relevancia como (f) la obligación de obtener el consentimiento de los usuarios menores de edad, (g) la notificación en tiempo y forma de una brecha de seguridad, (h) la designación de un responsable de protección de datos, o (i) la disponibilidad de protocolos y estructuras para la certificación y monitorización de los procedimientos.
Con relación a las amenazas reputacionales, el GDPR tiene un efecto colateral, aunque no menos importante. Un incumplimiento de la normativa se convertirá en una cuestión de “dominio público” si es lo suficientemente relevante. Y la confianza es el principal activo de una organización. Así pues, no es un daño que se pueda ignorar, aunque la normativa directamente no lo sancione.
Amenazas como el robo de datos, su inutilización (cifrándola, modificándola o alterando su contenido para hacerla inconsistente) o la inhabilitación de un servicio de acceso para los propietarios de los datos (o como es habitualmente conocido por las siglas DDoS – Distributed Denial of Service) resultan ser las extorsiones económicas más comunes. A ellas se unen otras como la divulgación de incumplimientos normativos basados, por ejemplo, en el envío de información (incluyendo ofertas, propuestas o promociones) no solicitada, la segmentación de la información (cara a su explotación para usos sociológicos y por supuestos económicos) o la compartición con terceros (sin, por supuesto, la autorización del propietario de los datos).
Extorsión
Todas ellas llevan consigo daños -unas veces en forma de sanciones en el reglamento y otras en forma de atentados contra la reputación- que las víctimas tendrán que poner en una balanza cuando se enfrenten a un intento de extorsión. Una extorsión que puede presentarse de muchas maneras. Desde simples llamadas telefónicas hasta la instalación de aplicaciones de ransomware en servidores y puestos de trabajo, pasando por campañas de phishing dirigidas a los empleados de una compañía o campañas difamatorias en redes sociales.
Y es que cuando uno analiza cuál puede ser el coste de informar sobre un problema de seguridad en el que se han visto afectados datos personales, el pagar una extorsión puede resultar una alternativa a la que algunos pueden verse tentados.
Llegados a este punto, sería importante explicar que tratar de ocultar una fuga de información solo traerá más problemas – eso sin considerar los delitos a los que se expondrá cualquier compañía en caso de ser descubierta pagando una extorsión. Nadie garantiza que la fuga no pueda volver a producirse y que la extorsión continúe – y eso sin tener en cuenta la componente incentivadora que supondrá para los delincuentes.
No dejemos que el GDPR se convierta en un bumerang. El GDPR está concebido para que las organizaciones se tomen en serio el tratamiento de los datos. Un robo no tiene por qué significar que no se le ha prestado atención. Podrían haberse tomado medidas, haber reaccionado con diligencia y pese a todo haber sido víctima de un incidente de seguridad. En ese caso, el reglamento no tendría por qué sancionarle (al menos ese debería ser el espíritu). Como bien se insiste entre los profesionales de la ciberseguridad: “la seguridad total no existe”. Así pues, parece evidente que el objetivo debería ser otro: mejorar la capacidad de reacción de la sociedad ante una eventualidad que puede poner en riesgo la seguridad colectiva.
En la medida en la que los que nos dedicamos a este sector entendamos en toda su dimensión ese mensaje y lo transmitamos a la sociedad podremos combatir estas nuevas amenazas.