Consecuencias legales de un ciberataque

Todos somos víctimas potenciales de un ciberataque. El sencillo hecho de hacer clic en un enlace insertado entre el contenido de un correo electrónico malicioso puede producirnos daños propios y a terceros.

Imaginemos que, de pronto, aparece una ventana en nuestra pantalla que nos dice que todos nuestros archivos han sido cifrados y que, para poder acceder a la clave para su recuperación, debemos pagar como rescate una cantidad en Bitcoins lo suficientemente elevada como para desestabilizarnos. Primera consecuencia: estamos siendo víctimas de extorsión.

Consecuencias legales de un ciberataqueDe entrada, no podemos acceder a la información de nuestra empresa con lo que la consecuencia es que nos vemos imposibilitados para el normal funcionamiento de nuestra actividad, para cumplir con las obligaciones contractuales, laborales y fiscales. Esta situación deriva en un escenario de retrasos, gastos añadidos seguramente no previstos y generación de desconfianza en nuestros clientes y proveedores quienes podrían exigirnos responsabilidad ante posibles incumplimientos de nuestras obligaciones contractuales, e incluso por no haber tomado las medidas de seguridad legalmente previstas o no haber actuado con la debida diligencia o agilidad que haya podido llevar a que su información haya quedado expuesta y accesible.

A su vez, el acceso a información de cuyo tratamiento somos titulares responsables o que se encuentra bajo nuestra custodia, puede derivar en posibles delitos de estafa y coacciones; o como modo para acceder a la venta de datos en el mercado ilegal de datos; o como base para el blanqueo de capitales sirviendo para la compra artículos a bajo coste con cargo a tarjetas de crédito cuyos datos han sido robados para después revenderlos, y un largo etcétera de supuestos.

Un ataque informático no sólo puede suponer una pérdida de eficacia y competitividad para nuestra empresa, la aplicación de cuantiosas sanciones, posibles demandas por responsabilidad, y gastos añadidos sino que también puede implicar su paralización, siendo éste muchas veces el objetivo del ataque.

¿Qué medidas podemos tomar?

Medidas de tipo preventivo:

Evaluar nuestros riesgos, así como el grado de cumplimiento de la normativa aplicable, en especial, de la normativa de protección de datos personales, mediante la implementación de planes de seguridad de la información es una de las medidas preventivas de mayor eficacia.

El proceso de estudio e implementación de estos planes nos llevará a revisar y proponer mejoras en nuestra política de seguridad de la información y seguridad informática; revisar la eficacia real de las medidas de protección de la información corporativa o personal que tratamos y, a llevar a la práctica, de forma coordinada, medidas de seguridad adecuadas al tipo de información que tratamos, previendo protocolos de actuación y reacción adecuados frente a la producción de incidencias, brechas o contingencias de seguridad.

Estas medidas preventivas, no sólo garantizan a nuestra empresa tener prevista una actuación ordenada sino que también colaboran a minimizar el riesgo, las responsabilidades y, por tanto, a permitir la graduación de las posibles sanciones que pudieran resultar aplicables, facilitando igualmente la recabación de las pruebas necesarias de cara a las posibles denuncias que se formulen.

Medidas de tipo reactivo:

Partimos del ejemplo de ransomware a través de correo electrónico o phising, como hemos comentado al principio.

¿Qué acciones debemos poner en marcha en caso de detectar que se ha producido una brecha de seguridad o fuga de datos para superar una situación en la que los recursos de la organización puedan verse comprometidos?.

1. Determinar el alcance de la infección, mediante el asesoramiento técnico experto en seguridad informática que valorarán, mediante una auditoría analítica, el verdadero impacto de la infección, recopilando indicios o evidencias que nos aporten respuestas adecuadas respecto de qué sistemas se han visto comprometidos y hasta qué punto (un único equipo o toda la red, con o sin repercusión en cuanto al robo de datos, con o sin repercusión a terceros a quienes debamos avisar del suceso, con o sin filtración de datos sensibles de empleados y/o clientes o corporativos, etc.).

2. Asegurar la continuidad del servicio poniendo en marcha los procesos de activación de recursos de respaldo y recuperación de archivos definidos en nuestro documento de seguridad y plan de seguridad de la información.

Entre las tareas establecidas en tales procedimientos se encuentra la generación de alertas a empleados, clientes y/o proveedores en la medida que haya resultado comprometida su información y/o datos personales. Dicha alerta no sólo deberá ser informativa del suceso sino que deberá contener el consejo de que estén al tanto de posibles correos maliciosos que puedan ser enviados utilizando nuestras listas de contactos o base de datos, así como que mantengan actualizados sus firewall, antivirus y copias de seguridad.

3. Contener la infección mediante el aislamiento de los equipos comprometidos interrumpiendo su conexión con el atacante y suspendiendo los segmentos de red de los que dichos equipos formen parte, para evitar que la infección continúe propagándose a través de la red corporativa.

Todo este análisis suele llevarnos a descubrir nuevos equipos infectados, lo que a su vez servirá para establecer nuevas reglas de firewall que sirvan de barrera de defensa.

Es recomendable ejecutar un cambio de contraseñas de cuentas y de la red corporativa para evitar que el atacante pueda utilizar la información robada suplantando nuestra identidad mediante el uso de las que hubiera podido obtener.

4. Mitigar la infección y eliminar el vector de ataque que haya permitido la entrada de malware.

En caso de que el malware no hubiera sido detectado por el antivirus, o éste no hubiera estado actualizado debidamente, los técnicos analizarán al detalle el código con el fin de comprender el funcionamiento del malware. Asimismo, se procederá a eliminar del sistema el vector de ataque o fallo.

Es por esto que resulta de vital importancia mantener los sistemas de respaldo actualizados en nuestros planes de mantenimiento activo de la seguridad de nuestra información, ya que esto nos permite una recuperación de la información y una desinfección más rápida y automática en el tiempo de respuesta.

5. Denunciar. Si sufrimos un ataque con robo, fraude o extorsión debemos denunciarlo en la Comisaría más próxima. La denuncia es el único modo que habilita a los equipos de investigación de delitos tecnológicos a iniciar sus protocolos de investigación, de modo que si no denunciamos poco podrán hacer no sólo para perseguir este concreto supuesto, sino otros muchos que vayan en cadena.

Donde nada es seguro, todo es posible. Protegernos más y tener articulados nuestros planes de prevención y acción nos proporcionará cumplimiento, eficacia y competitividad, a la par que nos ahorrará ingratas y graves sorpresas.

About the Author:

Servicios de asesoramiento legal tecnológico - El soporte legal que aporta valor a su empresa - Cumplimiento legal y seguridad de la información es confianza, tranquilidad y reputación para su empresa - Corporate Compliance - Seguridad - Protección de Datos - SGSI - LOPD - GDPR - DPO Service - Ciberdelitos - Legal Web Compliance

Leave A Comment