Acciones ante una violación de datos que resultan contraproducentes
Recientemente se realizó una publicación en un foro de la Deep Web, donde un ciberactor vendía supuestos datos robados de “Grupo Financiero Banorte”, una de las instituciones más grandes de México. En dicha publicación el ciberactor indicó que la información contenía datos personales de alrededor de 10 millones de clientes de esta organización, entre los que incluía nombres completos, números de teléfono, RFC, direcciones de correo electrónico y saldos.
Derivado de esta publicación, la organización realizó acciones a través de una firma de seguridad para el apoyo con la violación de datos. Optaron por enviar una carta al administrador del foro, solicitando eliminar la publicación y argumentando un incumplimiento legal, lo que provocó que el administrador hiciera pública esta petición, así como la información financiera de Banorte.
Si bien no hay un manual que describa cómo manejar estas situaciones, se debe tener claro lo que sí funciona y lo que no, a la hora de una crisis. Estas acciones pueden ser contraproducentes y no garantizan que los ciberdelincuentes cumplan con lo solicitado, provocando que los subestimen o intimiden, logrando una respuesta que fortalece innecesariamente la imagen de los ciberdelincuentes y debilitando la percepción de seguridad de las organizaciones afectadas.
Un caso similar sucedió recientemente con el exdirector de seguridad de Uber, quien fue condenando por cargos federales después de ocultar una violación de datos ocurrida en el año 2016. Los ciberdelincuentes informaron por correo electrónico directamente a Uber que habían robado una gran cantidad de datos de usuarios y exigiendo un pago por el rescate a cambio del borrado de los datos. Después de una verificación, la organización confirmó que la información incluía aproximadamente 57 millones de datos de usuario y números de licencias de conducir.
Ante esa filtración, la organización decidió ocultarlo a las autoridades y negociar directamente con los ciberdelincuentes, realizando un pago de $ 100,000 bitcoins a cambio de que firmaran un acuerdo de confidencialidad en el que se comprometían a no revelar la información. Después de realizar investigaciones, Uber logró identificar a los ciberdelincuentes y les pidió que aceptaran nuevos acuerdos de confidencialidad con sus verdaderos nombres para garantizar que no se revelara la información.
No obstante, la verdad sobre la violación fue descubierta por la nueva gerencia de Uber, quien acusó al exdirector de seguridad por ocultar el incidente, argumentando que ayudó a cubrir el hackeo a pesar de saber que los ciberdelincuentes estaban afectando y extorsionando a otras empresas, así como de tomar medidas para evitar que los atraparan.
Por lo que, la recomendación derivada de este tipo de incidentes es que los lideres de la ciberseguridad en las organizaciones, así como los directivos encargados de tomar decisiones, conozcan las obligaciones legales que deben cumplir de acuerdo con el país o entidad a la que corresponde, e identifiquen cuáles son las mejores acciones a seguir, ya que este tipo de decisiones corporativas pueden llevar responsabilidades personales.
Referencias:
• https://www.washingtonpost.com/technology/2022/10/05/uber-obstruction-sullivan-hacking/
• https://www.justice.gov/usao-ndca/pr/former-chief-security-officer-uber-convicted-federal-charges-covering-data-breach
• https://krebsonsecurity.com/2022/08/when-efforts-to-contain-a-data-breach-backfire/