Cada vez que una empresa importante sufre una infracción, parece pasar una cantidad de tiempo incómoda (semanas, a veces meses o incluso un año) hasta que se informa a las víctimas de que sus datos personales podrían estar en manos de un grupo de malhechores.
Para proporcionar algo de contexto, Uber, una empresa que ofrece una alternativa a los taxis en todo el mundo, ha sabido de una infracción ¡desde octubre de 2016 que no se reveló hasta que Bloomberg lo informó en noviembre de 2017! Peor aún, incluso pagaron un rescate a los piratas informáticos que lo atacaron, con la esperanza de que no llegara a la primera plana de las noticias (un plan que aparentemente fracasó terriblemente).
¿Cual es el problema? ¿Por qué empresas como Uber, Equifax y Yahoo ocultan sus infracciones durante tanto tiempo?
No quieren que sus clientes pierdan la confianza
Esto suena un poco contraproducente, pero algunos ejecutivos imaginan que si esconden sus infracciones debajo de la alfombra, sus clientes de alguna manera seguirán confiando en ellos. Sus dedos están cruzados, con la esperanza de que la brecha no sea tan dañina para todos. Una vez que se asiente el polvo, podrían hacer un anuncio sin tanto impacto.
De alguna manera, es como un niño que obtiene malas calificaciones y duda en mostrarle a su madre su boleta de calificaciones. Ella sabe que tiene que llegar, pero él espera que ella lo olvide, que obtendrá mejores notas en el próximo semestre, y luego podrá mostrarle las mejores notas junto a las peores. «¡Mira, en realidad no es tan malo!» él diría.
Desafortunadamente, esta práctica es tan contraproducente como parece. Los clientes tienden a sentirse traicionados cuando descubren que sus datos personales se han vuelto locos durante meses sin su conocimiento. Esto es especialmente cierto cuando se trata de números de seguridad social, números de tarjetas de crédito u otros datos confidenciales.
No quiero que sus acciones caigan
Siguiendo la misma lógica, las empresas cuyas acciones se negocian en una bolsa de valores importante podrían ocultar sus violaciones de datos exactamente por la misma razón. La diferencia aquí es que no quieren que sus accionistas se alarmen. Si la brecha no se considera extraordinariamente dañina, los precios de sus acciones no se desplomarán hasta el fondo de un abismo.
Los accionistas podrían ser un poco más indulgentes. Por ejemplo, cuando Equifax anunció su incumplimiento el 7 de septiembre de 2017, cotizaba a alrededor de $464 por acción. Inmediatamente después, el 11 de septiembre, el precio de las acciones alcanzó los $474. Equifax no se vio afectado. A medida que avanzaba el mes, experimentó una pendiente descendente, cotizando finalmente a $434 el 26 de septiembre.
Luego, cuando el ciclo de noticias se calmó un poco, nunca más alcanzó ese número bajo. En noviembre cotizaba por encima de la cifra del 11 de septiembre, alcanzando un máximo de 492 dólares por acción.
Además, vergüenza
Imagínese en la posición de un CEO: está liderando una empresa con n-mil empleados, miles de millones de dólares en activos, decenas de millones de usuarios/clientes, los nueve metros completos. De repente, un hacker perezoso encuentra una vulnerabilidad en sus servidores que su departamento de TI olvidó parchear hace meses. Solo se necesitó un abandono de la universidad en su estudio para ponerte de rodillas.
¡Eso es todo un golpe para el ego! ¿Qué crees que haría la mayoría de las personas con un sentido de autoestima un poco inflado?
A veces, incluso los ejecutivos con el mejor sentido de la integridad optarán por capear la tormenta y ver si todo desaparece. Luego viene a morderlos, y resultan arrepentirse de esta decisión, ya que ahora es demasiado tarde. Tenían una responsabilidad y no lograron reunir el coraje para admitir que cometieron un error ante las mismas personas victimizadas por el ataque.
Soluciones
En la mayor parte del mundo desarrollado, existen leyes de seguridad cibernética dentro de los códigos de comercio que no permiten que pase demasiado tiempo entre el descubrimiento de una infracción y su anuncio. Los encubrimientos como el de Uber en noviembre de 2017 conllevan fuertes sanciones por parte de la Comisión Federal de Comercio (FTC) de los Estados Unidos, por nombrar un ejemplo.
Incluso hay un proyecto de ley en el Congreso de los EE.UU. que dar penas de prisión a los ejecutivos que ocultan infracciones durante un período de tiempo prolongado e irrazonable.
En este punto, no hay nada que usted personalmente pueda hacer sobre estas infracciones, excepto ser prudente con sus datos personales, pero los gobiernos tienen leyes vigentes que penalizan a estas empresas. Estados Unidos está dando un paso más allá al agregar tiempo en la cárcel a las posibles sanciones.
Vale la pena repetir una vez más que no debe poner demasiado de su material confidencial en Internet, independientemente de cuán confiable sea la entidad a la que se lo está confiando, a menos que sea absolutamente necesario hacerlo.
¿Qué piensas? ¿Deberían los ejecutivos ir a prisión por ocultar violaciones de datos que afectan a los clientes de las empresas que representan? ¡Cuéntanos lo que piensas en un comentario!