Las empresas no quieren reconocer que han sido víctimas de fugas de datos

Un tesoro en forma de datos. La información que las empresas recaban es uno de sus bienes más preciados, por lo que su “fuga” constituye un problema de indudable calado. Ya sea mediante robos, o por negligencia de los empleados, pymes y grandes multinacionales se encuentran en riesgo de sufrir pérdidas. Las cifras que se manejan en las entrañas empresariales suponen un valor muy cotizado en los mercados.

El 43% de las compañías españolas ha sufrido algún tipo de fuga de datos debido a las acciones de sus empleados, según un estudio de Kaspersky Lab , especialistas en productos para la seguridad informática. La información sobre los clientes de la empresa y las cifras financieras, con un 36%, son los datos que más pierden. Esta fuga, independientemente de la causa, afecta a todos los niveles (empresa, trabajadores y clientes).

“Cualquier incidente de este tipo siempre tendrá un impacto negativo sobre la víctima”, afirma Vicente Díaz, analista senior de malware de Kaspersky Lab. “Es difícil conocer muchos detalles sobre el robo de datos, ya que las empresas afectadas no publican este tipo de problemas a no ser que se vean obligadas por la legislación. Nadie quiere admitir que ha sido víctima, aunque los movimientos hacktivistas muchas veces se encargan de hacer públicos estos datos sin ningún tipo de consideración”, continúa.

Principales motivos de la pérdida de datos

Los ciberdelincuentes representan la principal amenaza aunque, en ocasiones, la culpa recae en los propios trabajadores. “Los motivos de fuga de información no lucrativos se deben principalmente a descuidos humanos en la gestión de la información sensible”, sostiene Luis Javier García Villalba, director del grupo de Análisis, Seguridad y Sistemas (GASS) de la Universidad Complutense de Madrid. “Estos descuidos se gestan en la falta de formación del personal que manipula dicha información o en la fatiga acumulada tras largas jornadas laborales”, prosigue. Pero la pérdida de datos también puede obedecer a motivos económicos. Según García, “las causas lucrativas suelen producirse a través de empleados descontentos con su situación laboral, por grandes incentivos económicos ofrecidos por la competencia o por atacantes anónimos que persiguen un beneficio a posteriori”.

El malware es protagonista de estas pérdidas de información. La mayoría de las veces se introduce en la empresa a través del correo electrónico de los empleados, de dispositivos externos (memorias USB y discos duros), de la utilización de redes sociales o de determinados programas (p2p, por ejemplo) por parte de los trabajadores o, últimamente, mediante los smartphones conectados a la red corporativa. “Es fundamental que las compañías establezcan unas directrices al respecto y que incluyan este aspecto en su política de seguridad, pues la pérdida de datos puede tener consecuencias negativas en la productividad, la reputación e imagen de la empresa o, incluso, consecuencias legales”, declara Ignacio Heras, responsable de Comunicación de la compañía de seguridad G DATA. “Se debe proteger la infraestructura de la red y los propios datos asignándoles un nivel de acceso en función del contenido. Habrá datos públicos cuya publicación fuera de la empresa no tenga ninguna consecuencia y otros más sensibles y de acceso restringido (información financiera, por ejemplo) que deban estar fuertemente protegidos”, asegura Heras.

Muchas empresas, por su actividad o tamaño, no son conscientes del gran problema al que se enfrentan. Invierten más tiempo en optimizar la producción que en protegerse contra estas amenazas, pero la fuga de información no sólo procede del exterior. “La contratación y subcontratación de empleados con escasa formación, la extensión de las jornadas laborales y la falta de valoración por parte de la compañía son un riesgo potencial de fuga de información desde el seno de la propia empresa”, expone García.

El uso de artilugios tecnológicos por parte de los empleados favorece la actividad de los hackers. “Además de no hacer copias de seguridad, los trabajadores tienen comportamientos arriesgados con sus dispositivos personales. No tener protección antivirus, dejar sin supervisión los ordenadores portátiles, usar computadoras públicas para acceder a las redes de empresas y transferir datos sin cifrar son algunas amenazas”, revela Jonas Borgh, CTO de My Mobile Security, compañía que hace aplicaciones de seguridad para smartphones. La forma en que muchas empresas, sobre todo las pymes, manejan la seguridad de sus datos presenta graves ineficiencias. Para Borgh, “hace falta  información y concienciación porque muchos directivos piensan que su empresa es demasiado pequeña para tomar medidas o que eso cuesta un ojo de la cara, lo que no es cierto”.

Los ciberdelitos mueven una enorme cantidad de dinero. La información y los datos robados suponen un suculento botín para los estafadores. Muchos cibercriminales actúan para enriquecerse en los mercados negros de internet. Sin embargo, otros sólo persiguen la fama y el respeto dentro del ámbito de los hackers.