Reciba actualizaciones gratuitas de seguridad cibernética

Le enviaremos un correo electrónico myFT Daily Digest con las últimas noticias sobre seguridad cibernética todas las mañanas.

El mes pasado, decenas de miles de empleados de algunas de las empresas más grandes de Gran Bretaña se enteraron de que sus datos personales habían sido comprometidos por una banda criminal de habla rusa, en el último caso de un ciberataque a gran escala.

Ese anuncio siguió a una advertencia del gigante del software Microsoft en mayo de que un grupo de piratería chino patrocinado por el estado había comprometido la infraestructura «crítica» en los EE. UU., apuntando a organizaciones que abarcan comunicaciones, fabricación, servicios públicos y construcción.

Y el frenético trabajo requerido para responder a estos incidentes está recayendo en ejércitos de abogados, que se encuentran cada vez más a la vanguardia de una batalla contra el chantaje corporativo y el robo de datos personales.

“Si observa cualquier encuesta de abogados generales (o, de hecho, pregunta una), la seguridad cibernética siempre será uno de los temas que los mantendrá despiertos por la noche”, dice Lawson Caisley, presidente del comité de riesgo cibernético de la firma de abogados. Blanco y estuche.

“Un gran incidente cibernético es una pesadilla corporativa debido a todas las partes horribles que abarca. [The company has] potencial responsabilidad masiva, PR adverso inmediato, suponiendo que tengas que declararlo. . . escrutinio regulatorio, una posible caída del precio de las acciones, la necesidad de una acción legal inmediata. . . Así que es una de esas cosas que realmente cruza todas las disciplinas”.

El riesgo de seguridad cibernética se ha disparado al tope de las agendas de los asesores generales a medida que ha crecido la sofisticación y la frecuencia de los ataques. Según el informe State of Ransomware 2023 de la compañía de seguridad Sophos, el 44 % de las empresas del Reino Unido encuestadas dijeron que habían sido atacadas con ransomware el año pasado. De los afectados, el 33 por ciento dijo que sus datos fueron encriptados y robados y otro 6 por ciento dijo que sus datos no estaban encriptados pero que sufrieron extorsión.

La empresa de seguridad cibernética CrowdStrike dice que ha habido un «aumento significativo en la cantidad de adversarios que realizan campañas de extorsión y robo de datos». El riesgo “ya no es el de un evento cibernético singular sino, en cambio, una campaña cibernética, por la cual una víctima puede enfrentar daños repetidos”.

Drew Bagley, vicepresidente y asesor de privacidad y política cibernética de CrowdStrike, dice que los delincuentes ya no necesitan habilidades técnicas avanzadas, ya que pueden «comprar el acceso a las víctimas y las herramientas sofisticadas para violarlas en los mercados de la web oscura».

La forma en que operan estas pandillas es un modelo de negocio, por lo que se vuelve muy transaccional.

La piratería cibernética es un gran negocio: según Sophos, el pago de rescate promedio casi se duplicó de $ 812,380 en 2022 a $ 1,5 millones en 2023. Y, según los abogados que lo combaten, el sector opera como un ecosistema bien engrasado. “[The] Los malos actores son delincuentes, pero delincuentes con un modelo de negocios”, explica Eduardo Ustaran, quien ayuda a las empresas a lidiar con los ataques cibernéticos en su rol como codirector global de la práctica de privacidad y seguridad cibernética en la firma de abogados Hogan Lovells.

“Están diciendo, ‘tenemos sus datos y, si quieren obtenerlos, esto es lo que costará’. Hay empresas con las que trabajamos cuyo trabajo es negociar un descuento en el rescate y continúa una negociación puramente financiera”.

Una vez que se ha acordado un precio, las empresas inician un proceso para recuperar sus datos e incluso pagarán más en algunos casos, por ejemplo, si los piratas informáticos aceptan devolver los datos a donde los encontraron.

“La forma en que operan estas pandillas es un modelo comercial, por lo que se vuelve muy transaccional”, dice Caisley. “Una de las preguntas que he visto crear las discusiones más acaloradas en las mesas de juntas es: ¿debería pagar el rescate? A menudo la gente se divide en líneas ideológicas. . . Y no hay una respuesta correcta”.

Un informe del Centro Nacional de Seguridad Cibernética del Reino Unido sobre los riesgos para el sector legal dijo que «cada vez más se ven ‘hackers a sueldo’, que ganan dinero a través de comisiones para llevar a cabo actividades cibernéticas maliciosas para clientes de terceros, que a menudo involucran el robo de información para ganar ventaja en negocios o disputas legales”.

«Si [your systems] son asaltados, es muy emotivo”, dice Ustaran. Pero hay una serie de «flujos de trabajo» que se activan de inmediato: «Primero, debe detener lo que sea que esté sucediendo. . . Es como una herida: necesitas detener el sangrado. Luego, debe investigar lo que realmente sucedió, para que pueda comprender las implicaciones. Luego, necesitas restaurar los sistemas”.

Los abogados dicen que el trabajo de seguridad cibernética es similar a la gestión de crisis, con abogados internos que coordinan investigadores forenses, profesionales de relaciones públicas y abogados externos para abordar un ataque.

Lo mismo ocurre con la práctica privada. “Mucho de esto es lo que yo llamaría gestión de crisis”, dice Ustaran. “Hay un gran componente en esto donde se trata de tranquilizar al cliente y ayudarlo a tomar las decisiones comerciales correctas que no tienen nada que ver con tener una ley estática y aplicar la ley”.

Caisley dice que los abogados internos «tienen un papel clave en la mesa de la sala de juntas cuando se trata de una violación», incluidos los juegos de guerra y la discusión de casos en los que una empresa pagará un rescate.

El advenimiento de la legislación del Reglamento General de Protección de Datos (GDPR) en Europa, que exige que las empresas afectadas por una violación de datos notifiquen a un regulador y a las personas cuyos datos fueron robados, o a ambos, según ciertos factores, ha llevado a una exposición mucho mayor de incidentes cibernéticos. Anteriormente, las empresas podrían haber tratado de tratar con ellos de forma privada.

Es posible que las empresas pronto se vean obligadas a hacer divulgaciones aún más detalladas. En los EE. UU., la Comisión de Bolsa y Valores está introduciendo reglas que requieren que las empresas describan su preparación para ataques cibernéticos y revelen cualquier incidente.

Caisley dice: “No me sorprendería si viéramos un movimiento similar en otros países. . . Como la mayoría de los reguladores de todo el mundo, la SEC ha estado insistiendo en que este es un problema de la sala de juntas, no solo un problema de TI”.

Read More: Los abogados asumen un papel de primera línea en la respuesta empresarial a los ataques cibernéticos