La respuesta es corta: tranquilidad y contar con profesionales que sepan gestionar este tipo de situaciones. Hay mucho que perder y, sin embargo, los delincuentes se juegan más bien poco.
El día de ayer, 27 de junio de 2023, nos despertamos con un titular que, desde luego, a mí no me sorprendió: “Euskaltel advierte a sus trabajadores de que sus DNI y números de cuenta están en la internet oscura”. Digo que no me sorprendió por el siguiente motivo: el medio Genbeta publicó el 15 de mayo de 2023 el siguiente titular: “Un grupo de hackers afirma que Euskaltel ha sufrido un ataque por ransomware: datos de clientes y empleados se publicarán si no pagan”.
La pregunta del millón es, una vez se ha producido la brecha: ¿Qué narices hago ahora? Seguramente, un policía, un compañero o un informático, quizás con la mejor de las voluntades, pero no acostumbrado a estas situaciones, pudo llegar a decir: “ni se te ocurra pagar”. Mi punto de vista es sinceramente otro: “pues depende de la situación”.
¿De qué depende? El hacker en este tipo de situaciones no se mueve por un ideal político, sino por un precio. Lo que nosotros hacemos en primer lugar es identificar a ese hacker o grupo de ciberdelincuentes. En el "Zoco de la Deep Web” no es complicado identificarlos, lo que es cuasi imposible (de momento) es ponerles cara o detenerlos. Pero digamos que siempre se deja una firma o vía de contacto, una marca (sí, hasta los hackers adoran el marketing). Una vez que los hemos identificado, vemos si existe posibilidad real de negociación. ¿Por qué negociar? Porque merece la pena y mucho. Una vez establecida la comunicación, hay diferentes maneras de asegurar la operación.
Euskaltel no solo tendrá que enfrentarse seguramente a una sanción de la AEPD, que son importantes. Por ejemplo, las infracciones leves conllevan una multa de hasta 40.000 euros. Para infracciones graves: multa entre 40.001 euros y 300.000 euros. Para infracciones muy graves: multa entre 300.001 euros y 20 millones de euros (o el 4% de la facturación anual, la cuantía que sea mayor). Bueno, te dejo toser tranquilo. Por si fuera poco, también puede que sean condenados a indemnizar a los clientes y trabajadores que hayan visto sus datos personales expuestos debido a la brecha de seguridad (cuantías que van desde los 1.000 hasta los 6.000 euros o más por cada cliente/trabajador, que es poco, habida cuenta del perjuicio que puede ocasionar la filtración de esos datos en manos de un ciberdelincuente).
Con cierta malicia, he puesto también ya a los clientes. Lo desconozco, ya que no se puede asegurar, por lo que no lo afirmo con este artículo, pero me dice el sentido común que si han accedido a los datos de los trabajadores… bueno, solo el tiempo dirá. También es habitual en este tipo de ciberdelincuentes, perfectos conocedores de nuestra legislación, el filtrar parte de los datos con el objetivo de presionar a las empresas afectadas.
Repito la frase de casi todos mis artículos: es listo quien soluciona el problema, pero es un genio el que los evita. Las empresas deben invertir en ciberseguridad de calidad, con profesionales que puedan afrontar este tipo de situaciones y saber que, como empresarios, estáis totalmente expuestos e indefensos en esta nueva jungla digital, en la que sale muy rentable delinquir debido, entre otros factores, a una burocracia lenta y colapsada, una escasez de medios y la falta de formación específica. Que cada uno proteja su rancho, pero después no digáis que no se os advirtió. Sale mucho más barato prevenir que curar.