Alejandro Raposo.
Ha pasado el tiempo en que la estrategia principal del cibercrimen se basaba en obtener los datos financieros de las entidades para robar dinero sin que las personas o las empresas tuviesen conocimiento. Estos datos son fácilmente destruidos o sustituidos, por lo que a veces ni siquiera se genera una pérdida directa para el usuario, considerando además que las sumas desviadas, normalmente, son restituidas por el banco, al cliente.
Hemos llegado al punto en el cual el poder de los hackers para realizar fraudes es mucho más grande y destructivo, sobre todo cuando se trata de información confidencial que tiene que ver con la identidad de las personas, principalmente su salud; afectando así no solo a individuos, sino también a empresas. ¿Qué hacer cuando datos altamente personales, intransferibles e imposibles de sustituir caen en las manos del cibercrimen? Imagine que el líder de una empresa de capital abierto se encuentra gravemente enfermo y esta información es interceptada por hackers. ¿Cómo se puede gestionar una situación de chantaje, donde la confidencialidad del caso depende del pago de una comisión? ¿Cómo reaccionaría el mercado de acciones, alianzas, acreedores, inversores, empleados, competencia, y el público ante la noticia de que los negocios son conducidos por alguien en una situación delicada de salud? ¿Y cuál sería el impacto que la presión y el estrés tendrían en la recuperación del ejecutivo? Estas preguntas llaman la atención no como una teoría de la conspiración infundada, sino como un escenario cada vez más común, tema regular en reuniones de directores de diversas compañías, especialmente ante números tan sorprendentes. Por ejemplo: más de medio billón de información personal fue robada o perdida en 2015, según el ISTR 2016, informe anual de Symantec sobre amenazas de Internet.
Un precio demasiado alto
La encuesta muestra que la exposición de registros médicos superó a la de información financiera en el listado de datos más expuestos entre 2014 y 2015 (ver tabla).
Observando todas las categorías, “servicios” fue impactado por más violaciones de datos que cualquier otro sector, tanto en número de incidentes o ataques, como de identidades o registros expuestos. La cantidad más grande de violaciones ocurrió dentro del sub-sector de “servicios de salud”, concentrando un 39% de las violaciones en 2015.
Sin embargo, el número de identidades expuestas es relativamente pequeño en este sector. El elevado volumen de violaciones con bajos números de identidades muestra que los datos en sí son bastante valiosos para justificar tantas pequeñas violaciones. Es en este contexto que la innovación, la seguridad y el alcance de objetivos, no son ahora las únicas preocupaciones para los CEOs de entidades de salud. Debido a la exposición al cibercrimen, los registros médicos personales son parte de la estrategia de negocio de una empresa y, por consecuencia, pueden sufrir o exponer un gran número de violaciones de datos o identidades. Estas, en muchos de los casos, fueron expuestas por una empresa compartiendo datos con las personas equivocadas o en un sitio mal configurado que, inadvertidamente, hizo que los registros privados se transformasen en públicos.
La responsabilidad ahora es no ser tomado por sorpresa: use soluciones avanzadas e inteligentes para ayudar a encontrar indicadores de riesgo y responder rápidamente ante cualquier incidente. Porque, cuanto más tarde venga la prevención o la respuesta a un incidente, más caro costará. Y el precio a ser pagado, ahora, es demasiado alto.
Fuente: “Internet Threat Security Report 2016” (ISTR 2016).