Blog
Los hackers de la reputación
La violación de los mecanismos de seguridad informática y el secuestro de información en el Ministerio de Hacienda y otras entidades públicas costarricenses, por parte del grupo de piratería cibernética denominado Conti, tiene implicaciones más allá del costo de recuperar la información, restablecer los sistemas y protegerlos contra futuros ataques.
Desde el punto de vista operativo, estos ataques cibernéticos representan un daño económico para las instituciones por la paralización de actividades, la implementación de planes de contingencia, los costos asociados a la recuperación de los sistemas o la información -en la medida en que eso sea posible- y costos no previstos por mejoras inmediatas en los sistemas de seguridad informática.
Pero aunado a esto, el secuestro de esta información sensible y la posterior divulgación de esos datos, tal como lo ha hecho Conti, genera además un daño reputacional a las instituciones, entendido como el surgimiento de un clima de desconfianza y de la percepción pública negativa sobre las buenas prácticas de seguridad de la información. Las instituciones que trabajan con datos sensibles o datos de acceso restringido de los ciudadanos, tal como los define la “Ley de Protección de la Persona frente al tratamiento de sus datos personales”, sean de índole financiera, tributaria, de salud o de condiciones socioeconómicas, lo hacen sobre la base de la confianza de las personas en que sus datos están adecuadamente protegidos y no se harán públicos sin su consentimiento.
Tienen además estas instituciones, la obligación legal de “adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta ley”, según expresa
textualmente la norma antes citada.
El rompimiento de esa confidencialidad -por piratería informática u otras causas- también puede generar un daño a la reputación de la persona y a su derecho a su autodeterminación informativa, por la exposición de sus datos sensibles o de uso restringido, sin contar que los deja en condición de vulnerabilidad ante otro tipo de amenazas o extorsiones que se traduzcan en un riesgo a su integridad física o en una afectación económica. De hecho, tras la liberación en sus redes de más del 50% de la información secuestrada, en la mañana del viernes 22, el grupo de hackers de Conti ha hecho una instancia a otras organizaciones similares, para que utilicen esa información con el propósito de cometer otras actividades delictivas. A diferencia de los hackers que actúan en el sistema financiero, a quienes el robo de cuentas les provee una ganancia económica directa, estos piratas cibernéticos saben que el valor de la información secuestrada radica en el potencial de causar un daño reputacional y económico si es liberada, tanto a la organización y como los dueños de la información. Es esta carácter de confidencial el que tiene un precio y el que genera la posibilidad de extorsionar económicamente a las instituciones o los gobiernos para no divulgarla.
Siempre en la dimensión reputacional, este secuestro de información podría acarrear costos económicos adicionales a las instituciones, si eventualmente deben enfrentar reclamos o litigios de parte de los afectados por la violación a la privacidad de sus datos. La afectación a la reputación de las instituciones cuya seguridad ha sido vulnerada puede aumentar o disminuir de acuerdo con la capacidad de respuesta que tenga para enfrentar la situación. Los expertos en manejo de crisis coinciden en que el binomio acción-comunicación es crucial para lograr reducir las afectaciones, tranquilizar a la ciudadanía y, finalmente, tomar el control necesario para volver a la normalidad.
Cuando las organizaciones no actúan con prontitud, o no logran comunicar adecuada y oportunamente las acciones que están ejecutando para controlar una situación crítica, solo posibilitan que aumente el grado de confusión e incertidumbre entre los afectados, así como la percepción de desconfianza entre la opinión pública. En este caso de secuestro de información sensible, inédito en Costa Rica, el control de la información estuvo inicialmente en manos de los piratas informáticos, quienes alertaron sobre la situación que estaba ocurriendo. Por el contrario, la reacción de las autoridades de Gobierno fue lenta, tanto para reconocer la afectación que estaban sufriendo sus sistemas, como para comunicar las medidas que estaban tomando ante la situación. Una línea de comunicación opaca, o con mensajes difusos, es también contraproducente para la recuperación de la confianza pública.
La tarea que queda por delante, y que será el “pastel de bienvenida” para el nuevo gobierno, es ardua. No solo deberá trabajar en la recuperación de la información secuestrada -en la medida en que sea posible- y en el fortalecimiento de sus sistemas de seguridad informática, sino que enfrentará el reto de recuperar la confianza de los ciudadanos en el manejo de los datos en las instituciones afectadas. Ese es, quizá, el principal daño causado por los hackers de la reputación.
José Francisco Araya, Gerente de grupo
