Armas de irrupción masiva

Hace unas semanas Sony Pictures, filial de la empresa multinacional de origen japonés, sufrió la mayor intrusión ilegal en sus servidores. Los hackers robaron información  de contratos confidenciales, contenido creativo, correos electrónicos, acuerdos de compensación de actores y ejecutivos, y obligaron la semana pasada a su principal ejecutiva (Amy Pascal) a renunciar a su cargo.

Este evento se suma a varios de empresas de Estados Unidos y México que se han develado en los últimos dos años. Entre las empresas afectadas está El Puerto de Liverpool, la cadena de tiendas departamentales en México; The New York Times, el renombrado diario estadunidense; Target, una tienda departamental en EU; Home Depot, Anthem (aseguradora de EU), el servicio de nube de Apple (Apple iCloud) y otras. En México otro de los ejemplos más significativos es la venta de bases de datos de los electores, resguardas por el antiguo Instituto Federal Electoral (ahora Instituto Nacional Electoral) en el centro de la Ciudad de México.

Los costos son, sin duda, altos en reputación, costos monetarios y seguridad al interior de las empresas y gobiernos. Tan sólo la intrusión de los sistemas de Sony Pictures se estima que costó alrededor de 100 millones de dólares. De acuerdo con un estudio en 24 países de Norton, una empresa de software antivirus, el cibercrimen cuesta a los gobiernos y ciudadanos alrededor de 114 mil mdd al año en pérdidas. Este estudio estima que ataques de esta naturaleza u otras modalidades de cibercrimen son más grandes que el mercado negro de drogas en los 24 países estudiados. Lo cierto es que con la difusión y adopción de tecnología en empresas y gobiernos es cada día más fácil para los hackers entrar hasta la cocina de entidades conectadas.

Quizás es importante distinguir entre las razones de estas intrusiones y la consecuente extracción de información: las hay económicas, políticas y hasta de mero sabotaje. En el caso de Liverpool, Target y Home Depot, todas tiendas de autoservicio, los hackers ingresaron a los sistemas para extraer datos de los usuarios como sus números de tarjeta de crédito e información necesaria para hacer cargos no autorizados o suplantar su identidad para obtener beneficios ilegales en créditos y otras modalidades. El objetivo principal fue obtener bases de datos de los clientes de estas cadenas para cometer fraude y suplantación de identidad. En el caso de Sony, el motivo fue el sabotaje de esta empresa a raíz de la producción de una película que satirizaba al gobierno de Corea del Norte y la dictadura dinástica encabezada por Kim Jong-Un. De acuerdo con el gobierno de EU y sus agencias de inteligencia, el gobierno de Corea del Norte usó la intrusión de Sony Pictures como un arma para exhibir a esa empresa en venganza por la ridiculización de su Presidente; es decir, sabotaje con motivos políticos.

Como lo demuestra el reciente caso de Liverpool y los casos en EU, México no es inmune a esta amenaza. ¿Será necesario establecer mejores lineamientos de protección de datos? Corresponderá al IFAI y el gobierno federal determinarlo antes de que tus datos y los míos sean expuestos ante estas armas de irrupción masiva.