Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR) el próximo mayo de 2018, las exigencias para empresas que manejen datos de consumidores europeos aumentan.
Ocurre lo mismo con organizaciones e instituciones públicas que almacenen datos de ciudadanos de la UE. Recientemente, hemos explicado los cambios fundamentales que trae consigo la aplicación del GDPR y los mitos más populares que se han difundido en los medios de comunicación. En esta ocasión, analizaremos cómo podrían beneficiarse los ciberatacantes con esta nueva normativa.
Recurriendo al ciberchantaje
Según una encuesta de Crowd Research Partners, el 30% de las organizaciones no están listas para cumplir con el GDPR y deberán realizar cambios sustanciales en sus políticas y tecnologías de seguridad. Las empresas deben tener en cuenta que esta regulación supone prestar especial atención a la gestión de datos dentro de la compañía, requiriendo un tratamiento muy concienzudo de la información del cliente. Asimismo, no respetar la obligatoriedad de notificar los incidentes de seguridad podría acarrear multas cuantiosas. Además de prepararse para cumplir con el GDPR, las organizaciones deben ser conscientes de que los cibercriminales podrían ver esta nueva regulación como una oportunidad para sacar mayor provecho de sus ataques. ¿Cómo? Exigiendo un rescate.
El GDPR obliga a las organizaciones a mantener en regla la información de sus empleados y clientes. Esta información personal adquiere el nombre de PII (Personally Identifiable Information), y las violaciones a dicha privacidad son especialmente relevantes en el nuevo reglamento. Los cibercriminales, al darse cuenta del valor de la PII, pueden tomarla de rehén para luego amenazar con reportar la brecha de seguridad a las autoridades responsables del cumplimiento del GDPR. En caso de que los ciberatacantes no reciban el dinero exigido y procedan a filtrar la información, las empresas se enfrentarán a graves problemas. Por una parte, a las sanciones derivadas del incumplimiento de esta nueva normativa y a las posibles indemnizaciones reclamadas por las personas que hayan visto vulnerada la seguridad de sus datos personales. Por otro lado, al daño reputacional para el propio negocio, tras salir a la luz que la empresa pretendía encubrir una brecha de seguridad, como ha ocurrido recientemente con Uber. Resulta lógico pensar que las compañías recurrirán al pago del rescate, pues la presión de una multa que puede ascender a millones de euros puede ser más de lo que la empresa pueda permitirse. Sin embargo, como ya hemos explicado anteriormente, con exigencias de rescate como esta y los ataques de ransomware, no existe garantía de que la información será devuelta ni de que no serás chantajeado en el futuro.
Esta estrategia de presión por parte de cibercriminales, también puede ser empleada por ciberactivistas para que se atiendan sus demandas. En vez de recurrir a una extorsión económica, los hacktivistas que descubran una brecha de seguridad en una empresa que no refleja los ideales que defienden podrían aprovecharla para chantajear a esa compañía, exigiendo cambios en sus políticas empresariales. Y lo mismo ocurre con instituciones gubernamentales, que podrían ser extorsionadas por hacktivistas para exigir cambios sociales o para dar visibilidad a su ideología.
El derecho al olvido y la obligación de notificar
El nuevo reglamento otorga a los ciudadanos europeos el derecho al olvido. Esto supone que, en cualquier momento, un consumidor podrá solicitar que su información sea borrada, eliminada de la base de datos empresarial o de cualquier otro soporte de información perteneciente a una empresa. No cumplir con esta demanda del consumidor entraña riesgos muy severos. Por ejemplo, un ciberatacante podría exigir una contraprestación económica si logra acceder a una base con datos que debieron ser eliminados por la empresa.
A pesar de que la obligación de notificar un incidente de seguridad en menos de 72 horas no empieza cuando ocurre el incidente sino cuando la empresa es consciente de que ha sufrido una violación de datos personales, la notificación podría funcionar como una bomba de relojería para la empresa. En caso de filtración de datos personales, las organizaciones deberán escoger entre pagar el rescate o la multa… y, si se descuidan, con la urgencia, podrían acabar enfrentándose a ambos.
La preparación como estrategia de defensa
Tal y como hemos destacado en nuestro informe de tendencias de ciberseguridad, 2018 será el año de los ataques a empresas. Y uno de los causantes será el GDPR. Esto no solo quiere decir que vayamos a ver un mayor número de ataques, sino que muchas empresas que hoy en día encubren sus brechas de seguridad, van a tener la obligación de notificarlas.
La mejor respuesta a esta situación es estar adecuadamente preparado y protegido. Por ello, hemos preparado la Guía de anticipación al Nuevo Reglamento General de Protección de Datos Europeo para facilitar la transición y comprender tanto las oportunidades como las amenazas. Además, las empresas que confían en Adaptive Defense cuentan con ventaja, ya que dispone de todas las herramientas necesarias para prevenir y proteger a la compañía, especialmente gracias a su nuevo módulo Data Control.
El GDPR marcará un antes y un después en las políticas de protección de datos. A partir de mayo de 2018, defender los datos de los clientes de tu empresa pasará de ser un deber ético a una obligación legal. No dejes que los ciberatacantes aprovechen las oportunidades que ofrecerá esta nueva situación.