¿Qué responsabilidades tiene una organización víctima de un ciberataque?

Los expertos en ciberseguridad siempre dicen que las empresas no se deben preguntar si van a sufrir un ciberataque, sino cuándo.

Y no hace falta que se trate de grandes corporaciones, sino que cualquier compañía, por pequeña que sea, está expuesta a este riesgo. De hecho, las pymes son el objetivo favorito de los ciberdelincuentes, puesto que 70% de los ciberataques se dirigen a a empresa de este tamaño, de acuerdo con datos del estudio ‘Panorama actual de la ciberseguridad en España: retos y oportunidades para el sector público y privado’ de Google.

Así pues, todas las organizaciones deberían estar preparadas para responder en caso de sufrir un incidente de este tipo, puesto que no sólo ellas se convierten en víctimas, sino que el ciberataque también puede afectar a sus clientes, proveedores, socios, trabajadores, etc., ante los que tienen ciertas responsabilidades.

Panda pone el ejemplo del ciberataque que sufrió el sindicato CC.OO. a principios de este mes. Aunque no se trate de una empresa, nos sirve para ver las responsabilidades que tiene cualquier organización en estas circunstancias.

En este caso, CC.OO. se vio involucrado en un ataque ransomware que conllevó la encriptación y filtración de parte de los datos personales que manejaba, dejando expuesta información relevante de casi 700.000 archivos en la Darkweb. El sindicato no ha podido recuperarlos, al negarse a pagar el rescate exigido por los hackers.

“Es un riesgo con el que todas las empresas y entidades conviven a diario, y que deben afrontar con ciertas medidas establecidas desde las normativas vigentes para paliar, en todo lo posible, los graves perjuicios de estos incidentes. De no cumplirse con las reglas de ciberseguridad, pueden enfrentarse a sanciones económicas importantes y a reclamaciones de indemnizaciones por parte de aquellos particulares cuyos datos se hayan filtrado”, advierte la empresa de ciberseguridad.

En este caso, CC.OO. dice haber cumplido con todas las directrices que marcan las normativas actuales y que ha abierto una investigación interna para aclarar lo sucedido. “Según el sindicato, está trabajando desde el primer momento para resolver la vulnerabilidad que provocó este incidente y ha informado a todas las personas afectadas por correo electrónico”, apunta Panda.

“Al margen del golpe que haya supuesto para su prestigio y de las consecuencias reputacionales que deriven de este ataque, la entidad asegura haber cumplido con las responsabilidades que marca la directiva NIS2, que obliga a las empresas de servicios esenciales y a las entidades importantes a establecer medidas para prevenir y minimizar el impacto de los incidentes en caso de producirse; y a notificar en un plazo de entre 24 y 72 horas sobre incidentes graves que hayan sufrido”, añade.

Además, recuerda que esta norma “también influye en los proveedores de ciberseguridad de estas organizaciones, que deben de cumplir con sus reglas”.

Asimismo, la compañía de ciberseguridad recuerda que la NIS2 contempla otras obligaciones, como el uso de cifrado de extremo a extremo o la asistencia a formación por parte de los empleados y los miembros de dirección de las compañías en sectores esenciales.

“CC.OO., en su caso y según cuenta, ha cumplido con las directrices de la norma y dispone de una persona delegada de Protección de Datos en cada una de sus organizaciones confederadas, y de un equipo de expertos en ciberseguridad. Además, y según han informado, también han notificado la brecha de seguridad sufrida a la Agencia Española de Protección de Datos y al Instituto de Ciberseguridad (INCIBE)”, puntualiza Panda.

La empresa de ciberseguridad hace hincapié en la importancia de dar cumplida respuesta a dichas exigencias, puesto que las organizaciones víctimas de un ciberataque están expuestas a unas sanciones que pueden llegar hasta los 7 millones de euros o el 1,4% del volumen del negocio anual total a nivel mundial del ejercicio financiero anterior si se trata de entidades importantes; y hasta los 10 millones de euros o un máximo de un 2% de su volumen de negocio si se trata de entidades esenciales.

Igualmente, recalca que “es tan importante contar con medidas de seguridad que prevengan de un posible ciberataque o que minimicen sus consecuencias como adoptar una política adecuada para el uso de los datos que una organización posee”, con el fin de evitar posibles reclamaciones por parte de los particulares afectados por un mal uso de sus datos o por una filtración de su información.

“Los ciberdelincuentes pueden utilizar esta información para realizar compras fraudulentas o solicitar créditos a su nombre, por poner sólo un par de ejemplos. Por eso mismo, estos usuarios tienen derecho a reclamar indemnizaciones por daños y perjuicios. Y deben conocer todo lo que pueden hacer cuando se les informa de que sus datos han quedado expuestos en la Darkweb”, subraya.

En cualquier caso, explica que no todas las reclamaciones derivarán en indemnizaciones. “Este tipo de compensaciones sólo se darán cuando la brecha de seguridad que haya sufrido una empresa se haya producido como consecuencia de una infracción por parte de la compañía, o que los datos del usuario ya estén siendo utilizados por ciberdelincuentes”, apunta.