Ya abordamos hace un par de meses los puntos básicos que debía contemplar una respuesta adecuada ante un un ciberataque. Pero la teoría pocas veces coincide con la actuación real de empresas e instituciones: por el contrario, las ‘pifias’ en la gestión de filtraciones de datos son muy habituales… os presentamos algunos ejemplos de las más habituales:
No reaccionar con la rapidez esperada (TRICARE)
TRICARE Management Activity es el nombre de la compañía que gestionaba, en octubre de 2011, la asistencia sanitaria de millones de estadounidenses, todos ellos personal militar y miembros del Departamento de Defensa. Cuando se descubrió que cinco millones de registros de usuarios se vieron comprometidos, TRICARE esperó dos semanas para hacerlo público, con la excusa de que no querían “generar una alarma indebida” entre los clientes.
Tras esto, fue objeto de fuertes (y comprensibles) críticas: lo que genera confianza entre los clientes es conocer rápidamente la situación y qué se está haciendo para solventarla. De nada sirve retrasar el anuncio del problema si la gente termina descubriendo que sus datos personales llevan semanas recorriendo la Red.
No dar información completa (Sony)
En abril de 2012, un par de años antes de que Sony se enfrentara a su mayor brecha de seguridad, la compañía japonesa se vio implicada en otra gran filtración, en este caso de los datos de las tarjetas de crédito de un centenar de millones de usuarios de la PlayStation Network. Sony reaccionó con rapidez en este caso, pero anunciando que la cifra de usuarios afectados ascendía a 77 millones. Así, cuando la situación comenzaba a encauzarse, tanto a nivel técnico como de reputación, saltaba la noticia: la cifra había ascendido en otros 25 millones de usuarios, no detectados en un primer momento.
La rectificación transmitió la imagen de que Sony ‘no sabía por dónde se andaba’, haciendo sospechar que en cualquier momento podía sumarse alguna otra información negativa que ampliara el impacto de la filtración. Como en el caso anterior, un intento erróneo de transmitir seguridad no hizo sino generar el efecto contrario: para Sony, habría sido más positivo apostar por la cautela y reconocer que aún no disponía de todos los datos.
No disponer de una estrategia coherente (Sony)
Cuando, tras la gran filtración de Sony en 2014, ‘los Guardianes de la Paz‘ -el grupo presumiblemente vinculado a Corea del Norte que se atribuyó el mérito del ataque- anunció nuevas represalias si la película “The Interview” (una comedia centrada en un intento de asesinato contra el líder norcoreano Kim Jong-Un) veía la luz y era estrenada en cines, la multinacional aceptó, en un primer momento, renunciar a sus planes para estrenarla.
Como explicó el experto en seguridad Bruce Schneier en su blog: “Renunciar a The Interview es exactamente la clase de error que no hay que cometer, ya que no había sobre la mesa ninguna amenaza increíble, y sólo logra envalentonar a los hackers. Es exactamente el tipo de reacción que se da cuando no tienes un plan (…) La reacción de Sony tiene todas las características de ser la de una empresa sin ningún tipo de plan coherente. Hasta donde yo sé, todos sus directivos se encuentran en modo de pánico total”.
Un pánico total que les condujo a encadenar errores. Y es que antes de esa exhibición pública de debilidad frente a los ‘Guardianes de la Paz’, Sony había hecho gala de una actitud muy distinta pero igualmente injustificada, cargando contra los medios de comunicación. De hecho, el estudio optó por contratar a un reconocido abogado que se dedicó a amenazar con demandar a todos los medios que se hacían eco de los datos robados que los hackers iban filtrando. Una estrategia de ‘matar al mensajero’ tan dañina como insostenible.
No plantear soluciones reales a los problemas generados (Target)
Después de que, en diciembre de 2013, la cadena de grandes almacenes Target sufriera un robo de datos que implicó a 40 millones de números de tarjetas de crédito (y otros datos personales de un número aún mayor de clientes), ésta cometió varios de los errores aquí relatados: no informaron con rapidez a los clientes de lo ocurrido, ni dieron toda la información desde el principio. Pero a eso, Target sumó un nuevo gran error: no dar solución a los problemas.
Por un lado, intentó congraciarse con sus clientes (no sólo con los directamente afectados por la filtración) ofreciendo gratuitamente un servicio de vigilancia de crédito que las organizaciones de consumidores denunciaron por “proporcionar una falsa sensación de seguridad”, al no ser de utilidad para evitar parte de los fraudes que podían derivarse de la filtración de datos.
Por otra parte, su gestión no fue mucho mejor a la hora de plantear soluciones a los problemas internos que facilitaron en primera instancia la filtración. Es importante señalar que Target contaba con todos los sistemas y protocolos necesarios para evitar la brecha de datos… sencillamente sus empleados no habían sido formados para responder a las alertas: las ignoraron porque desconocían el papel que les otorgaba el protocolo.
Target optó, sin embargo, por dejar las labores de formación a un lado: su reacción inmediata fue proceder al despido del CIO de la compañía, además de anunciar a bombo y platillo la creación de dos nuevos puestos directivos responsables de la seguridad (el ‘Chief Information Security Officer‘ y el ‘Chief Compliance Officer’). Los 3 puestos permanecieron vacantes durante medio año después de la filtración.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
