.jpg)
El Internet, y junto a éste el desarrollo de las tecnologías de la información y la comunicación (TICs), han revolucionado la forma en que interactuamos, estimándose hoy día que más del cincuenta por ciento (50%) de la población mundial se encuentra conectada en el llamado ciberespacio, siendo común el realizar transacciones, compras y solicitudes de servicios en línea. Hoy en día hablamos de comercio electrónico, banca en línea, gobierno digital, del uso de big data, redes sociales y de perfiles en línea, como parte de nuestra cotidianidad, sin olvidarnos de que cada vez va tomando más campo la inteligencia artificial y el Internet de las cosas (IoT), con los dispositivos inteligentes e interconectados. Las personas se encuentran representadas a través de sus datos en el mundo digital, coexistiendo con nuestra realidad “física” una realidad “virtual” que no está exenta de riesgos.
Dentro del contexto actual resulta relevante la protección de los datos, y muy particularmente de los datos personales, los que se han vuelto un blanco codiciado y casi primario de la ciberdelincuencia. No es vano el Reporte de Riesgo Global de 2019 realizado por el Foro Económico Mundial, muestra como el riesgo a sufrir ciber-ataques, así como al fraude y robo masivo de la información se encuentra en la lista de los cinco principales riesgos globales por probabilidad de ocurrencia y los ciber-ataques y la avería de la infraestructura de información crítica dentro de los diez de mayor impacto, transformándose en una preocupación de carácter mundial junto a los desastres naturales y el cambio climático.
En una investigación realizada por Verizon se revela que tan sólo en 2017 se reportaron más de 53,000 incidentes de seguridad de los cuales 2,216 fueron exitosos, siendo la tendencia el sufrir ciberataques de denegación de servicios (DoS), marcados por la ingeniería social y programas maliciosos como los ransomware, donde ya no se habla del secuestro de personas sino de datos, estando a la cabeza los ataques realizados por hackers y los resultantes de descarga de archivos y/o programas maliciosos.
La cibercriminalidad no para de evolucionar, enfrentándonos no a aficionados que intentan probar sus habilidades técnicas, sino a bandas de crimen organizado las que llevan a cabo el 50% de los ciberataques y al cibercrimen ofrecido como “un servicio” en línea (CaaS), poniendo disponibles herramientas y plataformas a personas sin conocimiento técnico especializado para fines delictivos, siendo la motivación principal el obtener beneficios económicos y estimándose el costo de la misma en unos seiscientos mil millones de dólares.
Igualmente, vemos cada vez más la monetización de la información y como los casos de robo masivo de data se han multiplicado, sumándose al ya conocido caso de Yahoo donde se vieron expuesto datos de miles de millones de sus usuarios, tales como nombres, números de teléfono, fechas de nacimiento, contraseñas cifradas y preguntas de seguridad, sucesos como el de Ticketfly, una empresa de distribución de tickets, que en 2018 fue víctima de un ciberataque siendo accedida información personal de más de 26 millones usuarios, incluyendo nombres, direcciones y correos electrónicos; o el del Banco de Montreal y Simplii Financial, dos bancos canadienses, que vieron comprometida información financiera de aproximadamente 90 mil de sus clientes; en 2017, Equifax, un buró de crédito vio expuestos datos crediticios e información personal de más de 143 millones de sus usuarios; o en 2016 el 21st Century Oncology, donde el proveedor de servicios de salud vio accedida información personal y de salud de más de 2 millones de sus pacientes, incluyendo los números de seguro social, los nombres de los médicos, los diagnósticos, el tratamiento y la información del seguro; en 2015 el caso de Athem, el segundo asegurador de Estados Unidos, vio comprometida información de 80 millones de sus clientes, incluyendo nombres, fechas de nacimiento, números de seguridad social, direcciones, teléfonos, correos electrónicos, información laboral, o en 2012 donde se descubrió que había sido orquestado un ataque masivo obteniendo informaciones de tarjetas de crédito, debito y cuentas bancarias de más de 160 millones de compradores. La lista parece interminable apareciendo casos relacionados con empresas como Ebay, Target, Home Depot, Heartland, Adobe, Uber, Sony's PlayStation Network hasta con la Agencias de Trasporte Sueca y con la Milicia, la Fuerza Armada, el Departamento de Defensa y la Oficina de Gestión del Personal estadounidense, siendo preocupante no solo la cantidad de personas afectadas, sino la sensibilidad de los datos involucrados y la capacidad de los individuos de tener conocimiento de que sus datos han sido expuestos y la pérdida de control sobre ellos.
El robo masivo de información se ha convertido en una preocupación de todos, yendo de la mano con la necesidad de salvaguardar los datos personales y la privacidad en línea, frente a una cibercriminalidad creciente. Datos que tienen un valor en el mercado negro y en la dark web, viabilizando la comisión de otros ciberdelitos, como la suplantación de identidad, el fraude informático, el acceso no autorizado y la transferencia de fondos, entre otros. Como bien señala el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos “Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.”
La ciberseguridad se vuelve así un tópico de especial relevancia, siendo necesario tomar en consideración la misma a fin de garantizar el correcto funcionamiento de toda organización y en pro de la continuidad de su existencia, buscando proteger la confidencialidad, integridad y disponibilidad de sus datos y sistemas, asumiendo la responsabilidad de su custodia.
Dra. Désirée Barinas Ubiñas, JD, MD, Ph.D, PMP