Hackers y ciberataques

Hackers y ciberataques ya no son ciencia ficción

FORBES- 30 de marzo de 2018

Reaccionar rápidamente para mitigar el impacto de un ciberataque es crucial para minimizar los costos inmediatos y de largo plazo. Pero no debe hacerse apresuradamente sin una estrategia.

Imagina por un momento que estás sentado frente a la pantalla de tu computadora, a punto de terminar un informe confidencial que te ha tomado varios días. Justo cuando le das el último vistazo antes de enviarlo, la pantalla se queda en azul y, posteriormente, aparece un mensaje exigiendo el pago de una importante cantidad de dólares por el “secuestro” de tus archivos y que únicamente se podrán recuperar una vez efectuado el pago a una cuenta de un banco de las Islas Caimán.

Además, si no realizas la transferencia en el curso de la próxima hora, esos datos se harán públicos, lo que afectará las finanzas y la seguridad de tu compañía, más los costos a largo plazo, como el daño reputacional, los litigios y la pérdida de la ventaja competitiva.

Parece una película de ciencia ficción, pero este caso es más común de lo que creemos. Tan sólo en República Dominicana, durante 2017, se recibieron más de 26 millones de ataques cibernéticos, según Hans Fermin, director regional de Fortinet. Estos delitos afectan a las empresas e instituciones públicas, pero también pueden perjudicar a las personas.

En el Fortinet Cybersecurity Summit República Dominicana 2017, celebrado en Santo Domingo (un evento que se realiza cada año por diferentes ciudades del mundo y que pretende preparar a ejecutivos y organizaciones locales para afrontar retos de ciberseguridad en el contexto de la economía digital), se destacó, sobre todo, la importancia de invertir en soluciones tecnológicas que puedan adaptarse fácilmente y responder a los ataques cibernéticos.

Pero ¿qué hacemos frente a una amenaza de estas características, en términos de reputación?

Según Inga Beale, CEO del reconocido mercado de seguros Lloyd’s of London, las consecuencias reputacionales de un ciberataque son uno de los principales motivos de crisis en las empresas modernas: “En un mundo en el que la amenaza del cibercrimen es ‘cuándo’ y no ‘si’, la simple idea de esperar a que no te pase no es factible. […] Para que las empresas puedan protegerse, deberían invertir tiempo en entender a qué amenazas específicas pueden estar expuestas y hablar con los expertos que pueden ayudarles a gestionar un ataque y minimizar el daño reputacional”.

Reaccionar rápidamente para mitigar el impacto de un ciberataque una vez que se produjo es crucial para minimizar los costos inmediatos y de largo plazo. Pero esa respuesta no debe tomarse apresuradamente sin una estrategia, ya que el efecto podría empeorar más la situación. Es lo que le sucedió a Sony Pictures, la división dedicada a la industria del entretenimiento del gigante tecnológico, a finales de 2014, catalogada por sus ejecutivos como una de sus peores crisis reputacionales.

Durante el mes de diciembre de ese año, un grupo de hackeo llamado inicialmente Guardians of Peace y, posteriormente, Lazarus Group (presumiblemente, contratados por Corea del Norte), empezó a circular filtraciones confidenciales de la compañía que ponían en jaque varios proyectos. La respuesta de Sony no se hizo esperar, al enviar una carta a los principales medios de comunicación pidiendo la destrucción del material filtrado.

Los problemas de comunicación se acentuaron al cancelar al jefe de Comunicación, presuntamente, por la mala gestión de la crisis con los medios. No debemos olvidar que la torpe gestión de una crisis suele ser más dañina para una empresa que la crisis en sí.

Llegados a este punto, y teniendo en cuenta que todos podemos ser víctimas de un ciberataque pese a todas las precauciones tecnológicas tomadas, la recomendación para mantener la reputación pasaría por tener en cuenta tres principios: prevención, preparando un plan de contingencias frente a posibles efectos por un ciberataque y formando a los empleados para que sepan cómo actuar; rapidez, para impedir la propagación del ciberataque; y transparencia, mediante el apoyo profesional de un gabinete de crisis que pueda gestionar adecuadamente la comunicación en esos momentos difíciles, de cara a las autoridades, clientes y/o medios de comunicación.

*Director de Llorente y Cuenca en República Dominicana.