Cuando se filtran datos, no se vulneran números, se exponen personas

De -




Cada vez con más frecuencia vemos titulares sobre vulneraciones como si fuera la primera plana del Alarma: “se vulneraron 2 millones”, “se filtraron 30 millones”, “es la base de datos más grande del país”. Y sí, el volumen importa para dimensionar el problema. Pero si la conversación se queda en la cifra, en los datos del portal que dio a conocer el “hackeo”, en la atribución (quién fue) o en la carrera por ser el primero en publicarlo, perdemos de vista lo más importante: la seguridad y privacidad de las personas y en remediar las causas de esas vulneraciones.

Una vulneración de datos no es un evento abstracto que impacta solo la tecnología, los bits y los bytes. Es un episodio que puede terminar en suplantación de identidad, fraude, extorsión, acoso, discriminación o amenazas físicas. Para una persona, que se exponga su domicilio, teléfono, historial de compras, trámites públicos o datos sensibles. No es solo “una nota”, es un riesgo que se mete a su vida sin pedir permiso. En administración pública y en empresas privadas, el activo crítico no es la base de datos, es la confianza de millones de ciudadanos y clientes. Esa confianza se construye con tiempo y se rompe con un solo evento.

Conviene distinguir, sin tecnicismos, tres conceptos que a menudo se mezclan. Una vulnerabilidad es una debilidad que permite un abuso (por ejemplo, una mala configuración o un error en el sistema). Una intrusión es cuando alguien ya aprovechó esa debilidad y entró sin autorización. Y una filtración es cuando los datos salen del control de la organización y circulan fuera de ella. No todas las vulnerabilidades terminan en intrusiones, ni todas las intrusiones terminan en una filtración, pero casi todas las filtraciones graves tienen detrás vulnerabilidades no atendidas y controles insuficientes.

El periodismo cumple un rol indispensable: exhibir fallas, exigir rendición de cuentas y presionar para que se corrijan. Pero cuando la cobertura se convierte en carrera por la primicia y en fábrica de clics, a veces, sin querer, se termina amplificando justo lo que hace daño. Se repiten capturas de pantalla, se publican “muestras” con datos reales, se describen foros clandestinos como si fueran una curiosidad, y se normaliza el mercado de datos robados.

El resultado es una paradoja donde se denuncia una vulneración, pero al mismo tiempo se incrementa su impacto. Cualquier fragmento de información personal puede ayudar a reidentificar a alguien; incluso datos anonimizados pueden cruzarse con otras fuentes y completar el rompecabezas. Pero sobre todo, se desplaza el foco, pues el costo humano queda relegado detrás del morbo técnico.

Algo similar ocurre con la atribución. En ciberseguridad, atribuir con certeza es difícil y muchas veces se convierte en un juego de especulación. Poner el reflector en “quién lo hizo”, cuando los actores son anónimos, distrae de lo urgente, o sea, cerrar la puerta, reparar el sistema, notificar a las personas afectadas y prevenir que vuelva a ocurrir. Al mismo tiempo hace apología del crimen, dándole publicidad a estos grupos, que muchas veces es lo que buscan.

No hay una solución única ni permanente; y no se trata de restar responsabilidad a los administradores de plataformas, sitios y de bases de datos. Debemos implementar una cultura de seguridad basada en la prevención, monitoreo, contención, respuesta y recuperación de los incidentes.

En seguridad existe un principio de divulgación responsable de vulnerabilidades que ha operado ya desde hace varios años para contrarrestar los mercados clandestinos de vulnerabilidades y datos robados. Cuando alguien descubre una vulnerabilidad, la forma en que se comunica puede reducir o aumentar el riesgo. La divulgación coordinada o responsable busca precisamente eso. Reducir daño, acelerar corrección y permitir que usuarios y organizaciones se protejan.

Aquí entran algunos estándares poco conocidos fuera del gremio, pero muy útiles para ordenar la conversación pública: ISO/IEC 29147 e ISO/IEC 30111. Estos documentos definen requisitos y recomendaciones para que proveedores y organizaciones gestionen vulnerabilidades en sus productos y servicios, así como mecanismos asociados con su divulgación, con el objetivo de disminuir el riesgo de explotación y ayudar a que los usuarios y desarrolladores prioricen defensas. 

La idea central es simple: antes de hacer pública una falla, se notifica al responsable (desarrollador, proveedor, operador del sistema) y se acuerda un periodo razonable para corregir. Pero “razonable” no significa “indefinido”. La divulgación responsable incluye plazos que evitan que el tema se congele por burocracia o negligencia.

En la práctica, distintas comunidades han adoptado referencias temporales, que principalmente están ligadas a vulnerabilidades de día cero. Por ejemplo el programa Project Zero, opera con una política “90+30” (90 días para que exista un parche disponible; y, si el parche sale dentro de ese plazo, 30 días adicionales antes de la divulgación completa, para favorecer la implementación). Por otro lado, CERT/CC sostiene una política de divulgación a 45 días en los casos que gestiona, con excepciones según circunstancias. Y en el ámbito gubernamental estadounidense, CISA ha señalado que muchos en la comunidad consideran apropiado un rango de 45 a 90 días, dependiendo del caso.

Esta práctica se podría aplicar en nuestro contexto a vulneraciones provocadas por vulnerabilidades conocidas, pero con un tiempo menor, pues en la mayoría de los casos ya se cuenta con la solución, pero hay que implementarla. Se trata de adoptar un mecanismo de comunicación temprana, cooperación, y un límite de tiempo que incentiva y al mismo tiempo obliga a la remediación. Ese equilibrio, que consiste en dar tiempo para corregir, pero que no permitir la inacción, puede ser la clave para crear una postura de ciberseguridad cada vez mejor.

Divulgar super es importante. Atender bien es indispensable, para eso estándares como ISO/IEC 27001 y el resto de la familia 27000, en particular ISO/IEC 27031e ISO/IEC 27035 complementan el enfoque al establecer requisitos y recomendaciones para procesar y remediar vulnerabilidades reportadas en un producto o servicio y en general para la respuesta a incidentes, o sea, cómo recibir, validar, priorizar, corregir y comunicar el estado de una vulnerabilidad sin improvisar cada vez.

Para muchas organizaciones, tanto públicas como privadas, este es el talón de Aquiles. Se enteran “porque salió en redes” o porque un medio les pregunta. Eso no es gestión: es reacción. Un proceso maduro requiere un canal claro de reporte (correo o formulario), un equipo responsable (una función tipo Equipo de Respuesta a Incidentes de Seguridad de Producto, PSIRT por sus siglas en inglés, aunque sea pequeña), un flujo de evaluación previa (triage) con prioridades, y una forma de informar avances sin filtrar detalles que faciliten ataques. La divulgación responsable no es un “favor” a nadie: es gestión de riesgos con el ciudadano al centro. Definitivamente no hay que quitar la responsabilidad de quien debe responder y proteger los sistemas.

Si el objetivo es proteger a la gente, la cobertura de vulneraciones puede evolucionar hacia una cultura de seguridad. Algunas recomendaciones desde mi punto de vista:
  • No convertir la nota en click bait por ser el primero. Ser el primero en publicar no es sinónimo de informar mejor. Una nota puede dominar la conversación del día y, al mismo tiempo, aumentar el daño si expone datos personales, “pruebas” innecesarias o contexto que facilite ataques.
  • Crear cultura de seguridad con la publicación. La cobertura puede enseñar (sin dar manuales): qué es una vulnerabilidad, por qué importa el parchado, cómo identificar phishing, por qué el “reuso de contraseñas” multiplica el daño, cómo se implementa el segundo factor de autenticación (MFA) y qué significa la mejora continua en ciberseguridad.
  • No ser un canal de promoción de foros clandestinos y de cibercriminales. Aunque no se compartan enlaces, describir “dónde se vende”, “cómo se oferta” o “qué reputación tiene el foro” funciona como publicidad. Es predecible que mencionar los nombres de los actores maliciosos, nombre del foro o de los grupos relacionas provoca que la curiosidad haga el resto. En vez de narrar el folklore del mercado negro, conviene explicar el impacto y el camino de corrección.
  • Centrarse en usuarios y ciudadanos, las afectaciones y la protección. ¿Qué fraudes aumentan (phishing, suplantación, fraude)? ¿Qué señales de alerta vigilar? ¿Qué pasos inmediatos pueden reducir riesgo (cambiar contraseñas, activar MFA, desconfiar de llamadas/correos urgentes, monitorear movimientos)? Esto me parece más de “utilidad pública”, no tanto batalla por los clicks.
  • No publicar “pruebas” que puedan vulnerar a gente inocente. Mostrar registros reales, aunque estén “censurados”, puede permitir reidentificación. Una vulneración se puede documentar con evidencia técnica validada sin exponer víctimas.

Es tentador decir “si ya se sabe cómo entraron, todo ataque es prevenible”. Es cierto que la repetición de patrones es enorme, y muchas intrusiones exitosas se apoyan en fallas conocidas (credenciales expuestas, parches atrasados, configuraciones débiles, accesos excesivos). Pero también hay que considerar que la ciberseguridad no es un estado; es un proceso permanente. No existe seguridad 100%. Lo que existe es una organización que, día con día, mantiene y mejora su postura, reduciendo su superficie de ataque, detectando antes, respondiendo mejor y aprendiendo más rápido.

Aquí la conversación debería cambiar de “culpa y vergüenza” a “corrección y evidencia”. No para minimizar responsabilidades, sino para exigir lo que de verdad protege: controles, presupuesto, métricas, auditoría, y continuidad.

Otra trampa común es pensar que la ciberseguridad se resuelve “tapando el hoyo” del día. Parchar y actualizar es necesario, pero no suficiente. Lo que reduce el riesgo de forma sostenible es tener un sistema de gestión con políticas, controles, roles, auditoría y mejora continua. ISO/IEC 27001 es el estándar más conocido para un Sistema de Gestión de Seguridad de la Información (SGSI), con requisitos para establecer, implementar, mantener y mejorar continuamente la seguridad en cualquier tipo de organización.

Cuando hay datos personales involucrados (y casi siempre los hay) la disciplina de privacidad debe integrarse. ISO/IEC 27701 se orienta a un Sistema de Gestión de Información de Privacidad (PIMS) como complemento de 27001/27002, que por cierto ha sido recientemente actualizado.

¿Para qué sirve hablar de auditoría y certificación en todo esto? Para aterrizar la idea de que la seguridad no puede depender del heroísmo aislado de un equipo técnico ni de una reacción improvisada ante la crisis. La auditoría externa y la certificación, cuando se usan con seriedad y no como “checklist de marketing”, obligan a documentar procesos, demostrar evidencia, corregir hallazgos y sostener un ciclo de mejora. No eliminan incidentes, pero sí reducen probabilidad e impacto, y mejoran la capacidad de respuesta.

Hay acciones prácticas, relativamente asequibles, que pueden marcar la diferencia antes de la siguiente vulneración:
  • Publicar una Política de Divulgación de Vulnerabilidades (VDP) y un canal de contacto. La existencia de este punto de entrada oficial reduce el incentivo de “publicar primero” y facilita la coordinación. Organizaciones en otros países, como CISA en EEUU mantiene una plantilla para estructurar una VDP con reglas de reporte, alcance, buenas prácticas y compromisos para investigadores de seguridad (white hats).
  • Implementar mecanismos simples como “security.txt”. Este documento sirve para que investigadores y usuarios sepan a quién reportar vulnerabilidades de forma rápida y estandarizada; guías nacionales lo recomiendan como parte de la operación diaria.
  • Reducir superficie de ataque con disciplina. Realizando un inventario de activos, parches, actualizaciones, configuración segura, control de accesos, registros, monitoreo y pruebas de vulneración a los sistemas de manera frecuente. No es glamoroso, pero es lo que cambia el resultado.
  • Preparar respuesta a incidentes orientada a usuarios. Teniendo listos mensajes claros, pasos concretos, fechas y apoyo real. “Estamos investigando” sin medidas y sin tiempos deja a la gente sola frente al riesgo.
  • Medir y aprender qué falló, por qué falló, qué control faltó, qué proveedor quedó expuesto, qué decisión de negocio aumentó el riesgo. La memoria institucional documentada es parte de la seguridad.

Los medios pueden convertirse en aliados de una cultura de seguridad si ajustan la perspectiva:
Verificar antes de amplificar. Una “filtración” puede ser exageración, reciclaje o datos viejos. Publicar sin validar daña a usuarios y erosiona confianza.
Contextualizar impacto sin regalar detalles operativos. Se puede explicar gravedad y riesgos sin dar un manual que facilite explotación.
Coordinar con un criterio claro para reducir daño y exigir plazos. Coordinación no es encubrimiento. Es reportar la existencia del problema, exigir una fecha de corrección y evitar información que aumente el daño, alineado con la lógica de la divulgación coordinada.
Hacer seguimiento fomentando la rendición de cuentas que ocurre en las semanas posteriores al incidente, para saber qué se corrigió, qué controles cambiaron y qué apoyo recibieron las personas afectadas.

Finalmente, el centro, que es la seguridad de las personas. Detrás de cada “millón de registros” hay gente con nombre, familia, empleo, historial y rutina. La seguridad digital ya no es un tema exclusivo de especialistas; es una capa de seguridad personal comparable a la salud pública o a la seguridad vial. Por eso, la manera en que divulgamos vulnerabilidades y reportamos filtraciones importa tanto como la vulnerabilidad misma.

La ISO/IEC 29147 e ISO/IEC 30111 establecen las bases para que la gestión de vulnerabilidades y su divulgación pueden ser una herramienta para reducir el riesgo, no para incrementarlo. Así las prácticas de divulgación coordinada con plazos límite, muestran que la transparencia debe ir acompañada de responsabilidad.

Si el periodismo, las instituciones públicas y las empresas cambian el foco del “quién lo filtró” al “cómo protegemos a la gente y corregimos rápido”, habremos dado un paso enorme. No hacia la falacia de la seguridad perfecta, sino hacia algo más realista y valioso: un proceso constante de elevar la seguridad, con reglas claras, incentivos correctos y, sobre todo, con las personas en el centro.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más