El caso Guillaume y la gestión de las fugas de información

Víctor Deutsch    30 marzo, 2016

En los últimos años hemos conocido un flujo constante de noticias referidas a fugas de información de grandes empresas, particularmente centradas en la exposición pública de datos personales (tarjetas de crédito, emails, datos de afiliación). Basta con recordar algunos casos emblemáticos como los de Home Depot (65 millones de tarjetas) o Target (40 millones).

Algunas corporaciones multinacionales, como Sony, han sufrido estas situaciones de forma reiterada, como cuando, por ejemplo, un ataque en 2011 expuso 77 millones de cuentas de usuario de Playstation (con 12 millones de tarjetas no encriptadas) o el “pirateo” en 2014 de una película no estrenada (por un grupo afín a la dictadura norcoreana).

Son la punta del iceberg, y es que los medios de comunicación sólo publican los hechos más espectaculares por el número de personas afectadas o por la importancia de las empresas víctimas de dichos ataques. Muchos de ellos ni siquiera se detectan, o lo son mucho tiempo después de haber sido realizados. Además, los que son identificados, muchas veces ni siquiera son denunciados a las autoridades.

El impacto de un incidente grave de fuga de información en una empresa tiene muchas derivadas. Puede implicar el pago de demandas civiles, multas de los organismos reguladores, gastos adicionales (imprevistos) en consultoría y servicios informáticos y muchos otros, como las consecuencias sobre los inversores. Los casos que he mencionado generalmente se han resuelto después de decenas de millones de dólares por todos esos conceptos (a veces, parcialmente cubiertos por los seguros). Y hay que añadir el daño a la reputación e imagen de marca de la compañía.

A esta altura lo sorprendente es que esas compañías afectadas hayan podido recuperarse de dichos incidentes y continuar operando. El gráfico inferior publicado por la revista CSO muestra la evolución de la capitalización bursátil de esas firmas afectadas por graves situaciones de fuga de información y sometidas a grandes demandas de indemnización por los afectados.

gráfico revista CSO

Como se aprecia, un año después del incidente la capitalización de la compañía no se ve fundamentalmente afectada; es más, mejora. ¿Es que el público no valora la seguridad o la pérdida de sus datos? Como señala el mismo artículo, no mezclemos el impacto financiero a corto plazo, que es medible y recuperable, con la pérdida del valor intangible de la marca a largo plazo (mucho más difícil de cuantificar).

Es posible que las grandes compañías no puedan evitar, estadísticamente, alguna brecha de seguridad informática cada cierto tiempo. Al fin y al cabo, los delincuentes realizan un enorme esfuerzo para identificar vulnerabilidades e idear formas originales de ataque y fraude. A pesar de las mejoras en inteligencia y prevención, el atacante siempre tiene la ventaja de la iniciativa sobre el centinela.

Pero en general las grandes organizaciones están muy bien preparadas y tienen mucha experiencia en la gestión de riesgos. Es decir, en la forma de mitigar las posibles consecuencias de un incidente no deseado. A lo largo de muchos años han aprendido formas de gestionar la comunicación con la opinión pública, mostrar diligencia con las autoridades, proteger legalmente sus actos y, muy importante, provisionar dinero o contratar seguros para afrontar posibles contingencias legales y de gestión. Como hacen con cualquier otro tipo de evento catastrófico.

Por eso, a corto plazo, las organizaciones más afectadas por una fuga de información grave son las más pequeñas. Éstas, además de ser objetivos más “fáciles” para los delincuentes, tienen menos capacidad de reacción, no pueden hacer grandes provisiones y cuentan con menos mecanismos de defensa ante problemas legales o sanciones.

Hay varios ejemplos de organizaciones desaparecidas por incidentes de este tipo. En EE.UU. un estudio de la National Security Alliance estima que el 60 por ciento de los pequeños negocios que reciben un ciberataque quiebra en los seis meses posteriores. Con esta preocupación, en España, el INCIBE ha lanzado una campaña de concientización dirigida a las PYMEs.

Un buen ejemplo de una mala gestión del riesgo ante una fuga de información es lo que le sucedió a Willy Brandt, el canciller de la República Federal Alemana (RFA).

En 1973, Brandt estaba en la cumbre de su popularidad. Antiguo miembro de la resistencia antinazi, después de la guerra había sido alcalde de Berlín Occidental durante diez años. En 1969 llegaba a la cancillería con una nueva política de apertura hacia los países del Este, para cerrar las heridas de la II Guerra Mundial con Polonia y la Unión Soviética. Un símbolo de esa política fue el famoso gesto de ponerse de rodillas ante el monumento al Levantamiento del Ghetto de Varsovia.

Su prestigio nacional e internacional era enorme. En 1971 se le había concedido el Premio Nobel de la Paz. Al año siguiente había ganado las elecciones con el 55 por ciento de los votos a favor de su coalición socialdemócrata-liberal y disponía de mayoría absoluta en el Bundestag. Con 60 años y buena salud, podía gobernar con comodidad hasta 1976 e incluso aspirar a la reelección.

Pero el 29 de mayo de 1973, el servicio de Inteligencia Federal (BND) descubrió que uno de sus asistentes personales, Günter Guillaume, era un espía de la República Democrática Alemana (RDA). En el contexto de la guerra fría era un asunto muy grave: desde octubre de 1972 Guillaume había tenido acceso a la agenda personal de Brandt, sabía con quién se veía, de qué hablaba y cómo se gestaban sus políticas.

Según los oficiales de la RDA, la información suministrada por Guillaume era de un extraordinario valor. Se refería a política exterior de la RFA, informes secretos de la OTAN e incluso a relaciones extramaritales de Brandt, información que podía ser utilizada para una futura extorsión. Los datos eran enviados inmediatamente a Moscú donde el Director del KGB, Yuri Andropov, los entregaba personalmente al Ministro de Asuntos Exteriores de la URSS, Andrei Gromyko. Aunque ahora sabemos que se obtuvo escaso beneficio de este material.

Curiosamente, Brandt reaccionó con parsimonia a la revelación, sin darle gran importancia al asunto y mantuvo a Guillaume en su cargo mientras se le vigilaba. El Ministerio dio parte a la Fiscalía en marzo de 1974 en un proceso secreto y Guillaume fue arrestado el 24 de abril, casi un año después de haber sido descubierto. Ese mismo día la información se dio a conocer en radio y televisión. Al día siguiente, la prensa opositora, encabezada por el periódico Die Welt y su grupo mediático se le echó encima.

Brandt presentó una disculpa, en la que decía que no debía haber entregado documentos de la OTAN a Guillaume y negó que pudiese ser chantajeado. Pero al no haber planificado una reacción a un acontecimiento así, todo sonó a falso e improvisado, lo que generó aún más desconfianza. Confrontado ante una carpeta preparada por el BND, servicio de inteligencia exterior de Alemania, con la fuga de información de Guillaume, tuvo que admitir que estaba ante un gran problema: todos sus asuntos extramatrimoniales aparecían allí retratados. Ante la pérdida de apoyo entre los barones de su partido, Brandt dimitió el 7 de mayo de 1974, apenas doce días después de estallar el escándalo.

La caída de Brandt es un caso típico de una mala gestión de riesgos. En la época de la guerra fría un evento así no era para nada descartable (sólo hay que recordar el caso Profumo en Gran Bretaña) y el canciller debió haber estado preparado. Incluso después de descubierto, Guillaume tuvo al menos un año para mitigar los daños y planificar la forma de comunicarlo.

En primer lugar, no depuró responsabilidades en el BND, que había dado el visto bueno a su colaborador, y cargó con toda la responsabilidad. En segundo término aceptó mantener a Guillaume en su puesto un tiempo demasiado largo para evaluar sus actividades (e incluso lo invitó a él y a su esposa a… ¡acompañarlo en sus vacaciones!). Finalmente, no comunicó el hecho a ningún otro colaborador ni preparó ninguna política de comunicación o defensa para gestionar el escándalo.

Cualquier empresa debe estar hoy preparada para gestionar el riesgo de una fuga de información particularmente cuando maneja datos de terceros (clientes o proveedores). En la actualidad existen herramientas accesibles para compañías de cualquier tamaño para gestionar bien estas crisis: metodologías, seguros, servicios de respuesta a eventos, instituciones públicas de apoyo. Como decía un hombre sabio: “uno puede hacer las cosas bien o depender de la suerte”.

Imagen: Pelz

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *