¿Alguna vez ha revisado su historial bancario y encontrado movimientos que no identifica? Recientemente en Guatemala, una mujer reportó que, al revisar su banca en línea, había perdido más de Q100 mil (US$12,800) en menos de una hora. Con tan solo seis transacciones, una presunta banda de ladrones logró vaciar su cuenta bancaria.
Los ciberdelitos como este no solo han afectado a las finanzas personales de sus víctimas, sino también de negocios, entidades gubernamentales, organismos internacionales, entre otros. En el transcurso de dos días, unos ciberdelincuentes lograron acceder a la cuenta bancaria de una empresa e hicieron más de 30 transacciones sin que nadie se percatara a tiempo. La organización perdió Q3.6 millones (US$461 mil).
Una tendencia global
Las conductas ilícitas por dispositivos electrónicos o ciberdelitos han aumentado en Guatemala en el último año. Tan solo en 2023, la Superintendencia de Bancos (SIB) reveló que las estafas reportadas se cuantifican en Q319.52 millones (US$40.9 millones). Las autoridades afirman que una red criminal transnacional está detrás de estos actos.
Sin embargo, el principal objetivo de los ciberdelitos no siempre es obtener dinero directamente, sino obtener información de alto valor para luego venderla, extorsionar a la empresa y/o usuarios o utilizar esa información para sus propios fines.
La firma tecnológica IBM publicó un informe que presenta proyecciones de costos provenientes de estos actos. Reportaron que, en América Latina, el coste promedio de una filtración de datos ascendió a US$2.46 millones en 2023. Dichas pérdidas provienen de la paralización de las actividades de la organización, así como gastos en la recuperación del sistema.
Su organización se puede ver afectada por un ciberdelito, ya sea por falta de medidas de ciberseguridad, por medidas débiles de seguridad o porque una persona a lo interno de la compañía cometa un error humano o sea cómplice de un ataque que vulnere al sistema. Por ello, es importante prever escenarios riesgosos identificando las responsabilidades que su organización pueden tener ante distintos grupos de interés.
Las responsabilidades legales y la ciberseguridad
Cuando una empresa se convierte en víctima de un ciberdelito en el que se extrae información sensible o sufre pérdidas monetarias, debe tomar en cuenta las responsabilidades que tiene hacia los stakeholders o grupos de interés de su organización. Estos se refieren a aquellas personas u entidades que pueden verse afectadas por las actividades de su compañía. Entre ellos, podemos mencionar a los accionistas, clientes, colaboradores, proveedores, reguladores, entre otros.
Las consecuencias legales de perder información confidencial debido a un ciberataque pueden variar según el grupo de interés del que se trate, la jurisdicción en la que se encuentre y las circunstancias específicas del incidente. Las siguientes tablas describen algunas responsabilidades y sugerencias para mitigar riesgos:
Descripción
Si la organización tenía acuerdos contractuales con terceros que requerían la protección de cierta información confidencial, podría enfrentar acciones legales por incumplimiento de contrato si no se cumplen esas obligaciones.
Mitigación
Se puede establecer en los contratos ciertos protocolos de ciberseguridad y definir cuáles escenarios de ciberataques se considerarán de “fuerza mayor”. El propósito es que su organización esté protegida en caso de que sea víctima, a pesar de haber tomado todas las medidas posibles.
Descripción
Si la información perdida incluye PI, como secretos comerciales, patentes, o derechos de autor, podrían haber violaciones de PI que pudieran dar lugar a demandas civiles o denuncias penales por daños y perjuicios.
Mitigación
Sumadas a las recomendaciones anteriores, se debe presentar una denuncia a la Fiscalía de Delitos contra la PI, así como monitorear las imitaciones en el mercado y reportarlas. Recientemente, han aparecido nuevos seguros de responsabilidad cibernética que pueden ayudarle a mitigar posibles costos.
Descripción
Las personas afectadas por la pérdida de información confidencial podrían presentar demandas civiles o penales por daños y perjuicios, alegando que la organización o individuo fue negligente en la protección de sus datos.
Mitigación
Es recomendable comunicarse con las personas cuya información personal fue vulnerada y extenderles recomendaciones para protegerse. Por ejemplo, si se trata de su información financiera, puede recomendar que cambien sus tarjetas de crédito y las contraseñas de sus cuentas.
Descripción
El delincuente podría cometer delitos como destrucción de registros informáticos, alteración de programas, manipulación de información, entre otros. Adicionalmente, es posible que las autoridades en la Fiscalía inicien investigaciones y presenten cargos criminales contra individuos o la organización si se considera que hubo negligencia o mala conducta intencional.
Mitigación
Se sugiere mantener un protocolo o reglamento interno de ciberseguridad que contemple capacitaciones del personal, licencias de cualquier software adquirido y cualquier otra información relevante. El objetivo es mitigar posibles incidentes, así como demostrar en caso de uno que su organización no ha sido negligente.
Descripción
Si un accionista de la organización considera que hubo negligencia en la protección de su información o el valor de sus acciones, podría actuar tanto por la vía civil como la penal.
Mitigación
Además ser transparentes, es recomendable tener protocolos de respuesta ante ciberataques, así como elaborar reportes que detallen cómo dichos protocolos han mitigado costos.
Estas recomendaciones son generales y no toman en cuenta la situación de industrias reguladas como la financiera, servicios de salud, aseguradoras, servicios profesionales (especialmente legales), entre otros. En ellas, la ley contempla disposiciones más específicas sobre el resguardo de información.
Si desea más información para proteger sus operaciones, no dude en contactarnos.
