Panda SecurityAparentar siempre fue una mala estrategia. Más aún en términos de ciberseguridad. Porque fingir seguridad genera una falsa sensación de protección que debilita a todos: a la empresa, a sus clientes y al propio ecosistema. Y, además, se puede pagar caro.
Un producto 100% seguro, impenetrable, a prueba de hackers… Estos claims son muy usados, y también son mentira. Garantizar la seguridad total de una empresa no es posible, porque siempre puede aparecer una vulnerabilidad. Y asegurar lo contrario es síntoma de inmadurez o de postureo para hacer marketing.
Ejemplos de malas prácticas o sistemas de seguridad mediocres que se intentan hacer pasar por buenos, podemos encontrar en todos los sectores. “Normalmente salen a la luz cuando la empresa que se ha vendido como segura ha sufrido una brecha. Y, debido a esta brecha, se han filtrado datos sensibles de clientes o de proveedores”. Aclara Hervé Lambert, Global Consumer Operation Manager de Panda Security.
Recuerda algunos casos llamativos. “Como el de una gran compañía de seguros que se presentaba ante el público como ejemplo en la protección de datos. Y tuvo que hacer frente a una multa millonaria interpuesta por la Asociación Española de Protección de Datos (AEPD). Debido a una filtración masiva de información sensible de sus clientes derivada de fallos estructurales en su arquitectura de seguridad. O como el de una empresa dedicada a la venta de productos tecnológicos y servicios de conectividad que se había posicionado como un intermediario digital seguro. Se convirtió en víctima de un hackeo que expuso millones de datos personales de clientes y usuarios”.
Cyberwashing: los riesgos de aparentar seguridad
El cyberwashing es un concepto relativamente reciente. Describe la práctica engañosa de esas organizaciones que exageran, distorsionan o falsifican su compromiso con la ciberseguridad o la protección de datos. Su objetivo de proyectar una imagen de fiabilidad y confianza que no se corresponde con su realidad técnica. “En otras palabras, el cyberwashing sucede cuando el discurso de seguridad que usa una empresa para venderse o para legitimarse no lleva aparejado un compromiso ni una inversión real en ciberseguridad”, explica Lambert.
Señales y consecuencias del false claim o ética aparente
“Cuando esto pasa”, continua, “nos encontramos con una técnica conocida como false claim o ética aparente, que sucede cuando se busca ganar confianza entre los posibles clientes o una ventaja competitiva sin invertir en controles, procesos, ni personal cualificado”, explica el experto de Panda Security. Pasa, habitualmente, cuando empresas quieren ganar cartera usando el gancho de la protección de los datos sin contar con una arquitectura de seguridad a la altura de esa promesa o que sirva para el volumen de la información tratada.
Aunque no hay datos oficiales ni un índice que indique si esta práctica está muy extendida, “lo cierto es que hay señales que apuntan a que ésta es una táctica que se usa más de lo que nos gustaría”, se lamenta Lambert. “Lo vemos, por ejemplo, en todas esas empresas que presumen de sus políticas y protocolos de seguridad y que luego sufren brechas por fallos básicos, como contraseñas débiles, falta de segmentación o parches sin aplicar”, dice el experto, “pero también en esas organizaciones que se venden como cumplidoras estrictas del reglamento y no tienen a su personal formado ni se someten a pentest ni auditorías externas de forma seria”.
Cumplimiento cosmético y marketing de seguridad
Es el cumplimiento cosmético que, “cada vez más lo vemos en el marketing de productos y servicios, que se venden como imposibles de vulnerar y prometen, además, el cumplimiento normativo sin intervención humana real”, apunta Lambert. “Son”, señala, “proveedores cloud o SaaS que usan el término ‘seguro’ como etiqueta sin dar detalles técnicos ni certificaciones claras”. Una manera de ‘venderse’ que da beneficios económicos casi inmediatos, porque la promoción confiere a estos productos un atractivo casi irresistible. Un encanto efímero, “que puede durar lo que esa compañía tarde en cometer un error que le cueste los datos de sus clientes”, advierte el directivo de Panda Security.
La falsa seguridad puede salir cara
Siempre ha sido más barato (y rápido) simular que hacer. Por eso, el cyberwashing, “y prácticamente cualquier lavado de cara empresarial, se entiende como una fórmula tentadora y, no nos engañemos, eficaz, porque vende mucho”, se lamenta Lambert, quien recuerda que “ahora más que nunca la seguridad genera confianza”. Además, prometer protección, “es sencillo, porque el usuario no tiene forma de verificar que lo que se dice es cierto, ni tampoco puede auditar la infraestructura, los códigos fuente o los procesos internos de esas compañías o productos que afirman tales garantías”, y es más asequible, “porque invertir en un buen CISO o en un equipo sólido de seguridad, en auditorías y en el rediseño de arquitecturas cuesta más dinero que lanzar un par de campañas de marketing o poner un sello genérico que indique que algo es seguro”.
Impacto legal, económico y técnico
Cuando la realidad sale a la luz, “ya sea por una brecha o por una auditoría, las empresas que han vendido garantías de seguridad inexistentes pueden enfrentarse a consecuencias económicas, reputaciones y legales”.
Si se demuestra que las medidas de seguridad que se venden son inadecuadas o mentira “las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación anual global de la compañía”. Avisa el experto de Panda Security. “Que puede doler menos que la pérdida de credibilidad que lleva consigo, normalmente, la fuga de clientes, la cancelación de contratos B2B, la pérdida de valor bursátil y la desconfianza de partners o aseguradoras”.
Por no hablar de que, cuando una empresa asegura a un cliente o a un socio que sus sistemas son seguros y luego se demuestra que no es así, “puede haber incumplimiento contractual, reclamaciones por daños y perjuicios o incluso demandas colectivas”. Subraya el experto. Además, recuerda que, “si se demuestra que hubo engaño intencionado, por ejemplo, si se prueba que se han falsificado informes de seguridad o se han manipulado auditorías, se puede llegar a acusar a la empresa de un delito contra el mercado y los consumidores”.
Hackers y la explotación del cyberwashing
Por si esto fuera poco, el cyberwashing también puede ser uno de los mejores aliados de los hackers. “Que saben detectar las falsas promesas de seguridad y explotarlas con facilidad”, asegura Lambert. Así, si una empresa aparenta tener una protección sólida y proyecta una imagen de fortaleza digital. Pero a la vez deja entrever tecnologías obsoletas, configuraciones inseguras o falta de controles.“Se convierte en una presa fácil para los atacantes que han estado observando sus publicaciones y se han topado con una seguridad de cartón piedra”. Señala el directivo de Panda Security que advierte de que cuanto mayor sea la distancia entre el discurso y la realidad mayor será la oportunidad para un ataque exitoso.
Además, si una organización presume de tener sistemas a prueba de hackers, sus empleados y sus clientes suelen bajar la guardia. “Esa falsa confianza hace que las personas sean más propensas a abrir correos maliciosos o a introducir credenciales en sitios falsos. Y creen que sus defensas corporativas los protegerán”, avisa Lambert. Pero el phishing no es la única amenaza para las compañías que venden falsa seguridad. Otro de sus puntos críticos es el uso de configuraciones deficientes o mal vigiladas. “Los delincuentes saben que muchas compañías, pese a sus promesas de seguridad, no aplican parches de software, mantienen servicios expuestos en Internet o no segmentan correctamente sus redes. Por eso, cuando detectan estos errores los explotan para infiltrarse en sus sistemas y moverse lateralmente sin ser detectados. También aprovechan que los controles de monitorización suelen ser débiles o inexistentes”.
Detección, backups y resiliencia ante ataques
A esto se suma la ausencia de detección eficaz. “Las organizaciones que practican cyberwashing tienden a tener un enfoque superficial. Invierten en marketing de seguridad, pero no en centros de operaciones (SOC), sistemas de detección y respuesta (EDR/XDR) o auditorías técnicas periódicas. Esto permite a los atacantes permanecer dentro de las redes durante semanas o meses sin ser descubiertos. Pueden extraer información, manipular datos o desplegar ransomware cuando el daño ya es irreversible”, asegura Lambert.
El cyberwashing también afecta a la gestión de copias de seguridad. Muchas empresas dicen contar con planes de recuperación ante desastres. Pero, en realidad no prueban sus backups o los almacenan sin separación de los sistemas principales. Los atacantes lo saben y una vez dentro, eliminan esas copia. Asegurándose siempre de que la víctima no tenga forma de restaurar su información sin pagar un rescate.
En resumen, los hackers explotan el autoengaño corporativo. Saben que la seguridad superficial genera complacencia, y la complacencia es la puerta de entrada a cualquier sistema. Allí donde una organización prefiere aparentar antes que mejorar, los atacantes encuentran terreno fértil para sus campañas.
