Criminalizar el cibercrimen: mayor riesgo para los atacantes cibernético

En los últimos años, los ataques cibernéticos se han convertido  en una situación sobre la cual el público en general es cada vez más consciente. De igual forma, fuera de la industria de TI se sigue pensando que este tipo de ataques suceden sólo en Internet. Es difícil relacionar y equiparar el impacto de los delitos cibernéticos en sus víctimas, lo mismo si hablamos de una persona que ha caído en una estafa en línea o de una organización obligada a pagar un rescate para restaurar sus sistemas. Por esto, no siempre parece que el delito cibernético se considere o se vea como un delito real.

Podemos reconocer que existe, pero para algunos aún es difícil aceptarlo. La idea de que un hacker derribe una corporación multinacional puede parecer un poco descabellada, y esto es porque se sigue estereotipando a los ciber-atacantes como niños prodigio de la informática que están descontentos y que no tienen nada mejor que hacer que ponerse de rebeldes. La realidad es que la mayoría de estos ultrajes son obra de un enorme sindicato del crimen, organizado y acaudalado.

El punto es que el delito cibernético es real, y las empresas que caen son víctimas de un crimen cometido en su contra. Sin embargo, el nivel de simpatía hacia las organizaciones violadas es muy distinto al que le daríamos a una persona: por un lado, si alguien dice que ha sido hackeado, que su información personal está comprometida y que le robaron dinero, probablemente nuestra reacción natural no sería decirle que es su culpa, pero, por otro lado, en el caso de infracciones cibernéticas contra las empresas, que implican un daño duradero para su reputación, solemos suponer que algo hicieron mal, o que actuaron sin cuidado.

Como alguien que ha trabajado en la industria de la protección de datos por más de 32 años, tendería a estar de acuerdo con esto. La gran mayoría de los incidentes cibernéticos son evitables, y son resultado de que las empresas no sigan las mejores prácticas, o bien que cuenten con una higiene digital deficiente y software obsoleto o sin parches. Con todo, ¿hay algún otro tipo de delito centrado casi exclusivamente en culpar a la víctima y tan poco en llevar a los delincuentes ante la justicia? Las empresas son vistas como culpables, en lugar de como víctimas, y se acepta que los criminales queden impunes por la falta de un marco legal global y un sistema de justicia acorde. Si un extranjero comete un delito físico en suelo mexicano, existe todo un proceso diplomático para garantizar que sea llevado ante la justicia y la víctima sea indemnizada, pero no es igual cuando se trata de un tema de ransomware, por ejemplo.

La cooperación intercontinental e internacional es la única forma de crear un entorno en el que los atacantes cibernéticos encuentren más riesgos que recompensas. Durante la pandemia, el flagelo del ransomware se aceleró, aumentando el apetito de los líderes gubernamentales y empresariales por romper el estancamiento geopolítico que ha permitido que los hackers se desboquen. Pero no será fácil, y encontrar una solución holística viable es algo que aún está a años de distancia.

Aprenda defensa personal

A falta de un sistema de justicia que nos proteja por completo de los malos, el instinto básico de supervivencia humana exige que aprendamos a defendernos. Esto, en el contexto de la seguridad cibernética, significa centrarnos en algunos aspectos fundamentales:

En primer lugar, cada empresa requiere un líder de seguridad de TI dedicado, con acceso al liderazgo de negocio y con autoridad para comandar la iniciativa de seguridad. Para las organizaciones más pequeñas, es absolutamente vital contar con un recurso con responsabilidad designada para la ciberseguridad, y especializado en protección de datos.

En segundo lugar, los negocios deben practicar una higiene digital impecable, lo que implica capacitación obligatoria para todo el personal, de manera que puedan reconocer posibles ataques, sepan a quién deben reportarlos y comprendan por qué esto es tan importante. Cuantas más personas entiendan las dimensiones de una buena higiene digital, habrá mayor sentido de alerta y disposición a quitarse la venda de los ojos.

Finalmente, nunca se debe pagar el rescate. Las organizaciones que lo hacen alimentan la percepción de “día de pago fácil”, que quiere decir que los delincuentes cibernéticos seguirán llevando a cabo estos ataques. En cuanto las empresas dejan de pagar rescates, se verá una reducción en la popularidad del ransomware como técnica de extorsión.

Si bien las organizaciones que sufren ataques cibernéticos son víctimas, son responsables de proteger los datos que usan, procesan y almacenan. Pagar a los hackers para que los sistemas vuelvan a estar online es una estrategia de defensa insostenible. Conforme los gobiernos se vuelven más activos en la búsqueda de prevenir la propagación de ransomware, es posible que veamos empresas que lo hacen, investigadas y reprendidas por reguladores independientes.

Claramente, hacer frente a la escala implacable y masiva de la actividad cibercriminal contra empresas e individuos será un esfuerzo internacional, tanto en el sector público como en el privado. Aunque es importante que el delito cibernético se criminalice de forma adecuada y que los perpetradores sean llevados ante la justicia, las empresas también tienen que comprender la responsabilidad que tienen con sus clientes y empleados para proteger cualquier información dentro de su jurisdicción. Esto sólo se logra implementando una estrategia de Protección de Datos Moderna que combine defensas de seguridad cibernética efectivas de primera línea, con un enfoque integral para el respaldo y la recuperación ante desastres.