Antivirus

Un resquicio en la ley de protección de datos

Aunque parezca una paradoja, el nuevo reglamento europeo podría beneficiar a los cibercriminales en ciertos casos

Un ordenador afectado por el virus «WannaCry»/Efe
Un ordenador afectado por el virus «WannaCry»/Efelarazon

Dirección, teléfono, tarjetas y todo dato que identifique a una persona tratado por una empresa deberá estar más diligentemente custodiado con el nuevo reglamento europeo, algo que mejorará la seguridad informática, pero que paradójicamente también podría beneficiar a los cibercriminales en ciertos casos.

El nuevo reglamento de protección de datos o RGPD que entrará en vigor el 25 de mayo obligará a los responsables de su tratamiento en empresas que presten servicios en la UE a notificar en 72 horas a las autoridades de control las brechas o violaciones de seguridad que afecten a esa información que identifica a personas, y también a los usuarios cuando el riesgo pueda ser alto. Su incumplimiento las expondrá a cuantiosas sanciones de hasta 20 millones de euros o hasta el 4 por ciento de la facturación anual.

Según varios expertos consultados por Efefuturo, al tradicional robo de datos personales por los cibercriminales por ejemplo contraseñas y cuentas de correo de usuarios en bloque para su posterior monetización con campañas de extorsión como el «phishing», podría añadirse ahora un nuevo atractivo para el criminal: lucrarse con el acceso a esa información privada que deben custodiar más diligentemente las empresas bajo el amparo del nuevo reglamento europeo, para chantajearlas a cambio de dinero.

La motivación económica es lo que inspira al cibercriminal: si alguien vendiera historiales clínicos de cien millones de personas en Europa, con datos sobre problemas cardíacos o respiratorios de cada una de ellas, «hay aseguradoras que pagarían mucho dinero», porque sabrían el riesgo de cada póliza, explica a Efefuturo Adolfo Hernández, miembro fundador del Thiber, un «think tank» o centro de reflexión de referencia en lengua castellana sobre seguridad y defensa en el ciberespacio.

Por su parte, Udo Schneider, evangelista de seguridad de Trend Micro, ha adelantado a Efefuturo que el valor añadido que supone la protección del dato personal podría hacer surgir «un nuevo modelo económico» para el cibercriminal basado en la extorsión de esta información que el nuevo reglamento exige tener custodiada.

En casos, añade el responsable de Trend Micro, a las empresas les saldrá más económico pagar el chantaje del cibercriminal cuando les amenace con divulgarla que afrontar la multa que les podrían imponer las autoridades por carecer de las medidas de seguridad adecuadas para proteger los datos personales tratados.

«En un entorno de miedo a las multas y al posible impacto tan negativo reputacional» de las empresas ante una brecha de seguridad, los cibercriminales aprovecharán «la vía» de la extorsión con el robo de datos personales, «cuyo retorno de inversión es muy alto y el riesgo muy bajo», para pedir rescates a empresas que deberían haber protegido más eficientemente la información, asegura Rosa Díaz, directora general Panda Security Iberia.

Hasta ahora, algunas organizaciones no comunicaban incidentes de seguridad por miedo a que el problema fuera aún más grave si se hacía público y afectaba a su reputación, pero la obligatoriedad del reglamento de notificar las brechas de seguridad tras ser descubiertas permitirá a las autoridades perseguir el cibercrimen de forma más eficaz, dice José Luis Laguna, director técnico de Fortinet.

Por el contrario, Adolfo Hernández, de Thiber, argumenta que podría darse «la paradoja» de que en ciertos casos y situaciones las compañías dejarán de compartir información sobre ciberseguridad o incidentes por miedo a exponerse jurídicamente a las sanciones millonarias recogidas en el reglamento.

Si por ejemplo, un banco está viendo que desde cierta dirección IP asociada a un usuario concreto le están haciendo daño, por ejemplo con una cuenta mula para blanquear dinero, la entidad debería informar a otros bancos, pero este intercambio de datos no se vislumbra sencillo bajo el amparo del nuevo reglamento europeo de protección de datos.

Algunas empresas podrían tener miedo de comunicar a las autoridades competentes algún problema potencial de seguridad por si les pudiera suponer una sanción.

Se protegerán así los datos personales, pero estos dejarán de estar disponibles para quienes más allá de la Policía también luchan contra el cibercrimen, como las empresas privadas que recurren mucho a ese tipo de servicios para ver quién comete «phishing» u otros ciberataques, explica el responsable del Thiber.