Los ciber riesgos constituyen una realidad inevitable en el mundo de la información y los sistemas informáticos. Se trata de un problema que ya afecta y afectará aún más a todo tipo de empresas. La proliferación del uso de Internet y las redes sociales, como sistema de comunicación, tanto por parte de empresas como de usuarios individuales, esconde peligros difíciles de reconocer a simple vista.
Una prospección llevada a cabo por Chartis España durante los tres últimos meses ha puesto de manifiesto que la mayoría de las empresas españolas con importantes bases de datos, de los sectores de las telecomunicaciones, financiero, educativo, sanitario, energía y gran consumo, no están convenientemente preparadas para hacer frente a los riesgos, derivados de los fallos o ataques cibernéticos, ya que no disponen de sistemas de protección adecuados, de capacidad legal para afrontar las denuncias o multas, de herramientas para recomponer la reputación que se puede ver seriamente dañada, ni de seguros que cubran este tipo de riesgos.
La Comisión Europea estima que más de un millón de personas en todo el mundo son víctimas del ciber crimen a diario; lo que supone un coste de 750.000 millones de euros al año, según el presidente de Interpool.
Eugene Kaspersky, ingeniero matemático fundador de la empresa que lleva su nombre, declaró que en el mundo podría haber entre 1.500 y 3.000 mafias desarrollando códigos maliciosos o virus para infectar equipos y robar todo cuanto sea convertible en dinero. Señaló, además, que para aquellos que no tienen capacidad para programar, toda esa munición cibernética puede ser adquirida en el mercado.
Por su parte, la compañía Panda Security estima que un 35,5% de los ordenadores mundiales están infectados por software malicioso. En España, casi cuatro de cada diez ordenadores estarían envenenados, siendo el séptimo país en el ranking mundial.
Según un informe llevado a cabo por la consultora PwC, el sector de la ciber seguridad genera una actividad económica de 48.000 millones de euros al año y se prevé que aumente a un ritmo anual del 10%.
La amenaza que entrañan los ciber riesgos es tan tangible como las amenazas a los activos materiales de una empresa y conlleva graves efectos en cadena. Un ejemplo de ello, es el ataque que sufrió PlayStation en el año 2010, que tuvo que hacer frente a un importante robo de los datos de sus clientes. Fueron robados más de 3,1 millones de nombres de cuenta con preguntas de seguridad encriptadas y más de 90.000 nombres de usuarios con sus datos bancarios.
Una investigación elaborada por la consultora KPMG confirma que los países más expuestos a recibir ataques cibernéticos son Suiza (40%), Japón (22%) y España (9%). Además, países emergentes como Brasil, China, Tailandia y Arabia Saudí, también están en el punto de mira.
Otro ejemplo de ciber ataque es el que sufrió la multinacional Google en el año 2010, quien anunció que dejaba de filtrar las búsquedas en su portal chino (Google.cn) como consecuencia de una serie de ataques lanzados desde el país asiático contra sus sistemas. No se sabe con exactitud los motivos que forzaron a Google a llevar a cabo esta acción, pero es evidente que fue un ataque personalizado a una veintena de ejecutivos de la compañía y que uno de ellos cayó en la trampa. De esta forma, los orquestadores de la Operación Aurora lograron robar parte del ADN de la empresa más poderosa de Internet a finales del 2009.
Por qué son tan relevantes los ciber riesgos en las “Telecoms”
Las compañías de telecomunicaciones procesan y tramitan grandes cantidades de información personal y de crédito a través de sus servidores y, por tanto, son responsables de la seguridad de esa información.
En la Unión Europea existe una directiva con respecto a las empresas de telecomunicaciones en la que se establece que estas compañías deben notificar cualquier “brecha” a sus clientes. Este requisito no sólo supone costes significativos de notificación, sino que también aumenta la probabilidad de recibir reclamaciones, multas y sanciones reglamentarias, y por tanto generan costes reputacionales y pretensiones de terceros.
Además, las empresas de telecomunicaciones recopilan y procesan las transacciones de tarjetas de crédito y, por ello, deben asegurarse de que cumplen el Payment Card Industry Data Security Standard (PCI DSS), es decir, el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago.
La introducción de virus informáticos sofisticados diseñados con el propósito de atacar la infraestructura pública de telecomunicaciones pone en riesgo el funcionamiento y la pérdida de ingresos asociada a la interrupción del negocio.
Por poner un ejemplo, una empresa americana sufrió el robo de los datos bancarios de sus clientes a cargo de un grupo de individuos no identificados que obtuvieron el acceso no autorizado a los sistemas operativos de la compañía, lo que les permitió robar la información de las cuentas de los usuarios. El resultado, negligencia por el uso fraudulento de más de 400 tarjetas de débito que se habían utilizado en los cajeros automáticos de Nueva York.
Federico Shaw, responsable del departamento de Líneas Financieras de Chartis Europa
