Gestión de crisis de compliance ante un ciberincidente. Estudio de diferentes estrategias de comunicación para reducir el impacto reputacional

• Author: María Cumbreras Amaro y Pedro López Sáez
• Profession: Senior Associate en PwC, especialista en Cybersecurity, Risk & Compliance Management/Profesor Titular de Organización de Empresas en la Universidad Complutense de Madrid (UCM)
• Pages: 103-125

GESTIÓN DE CRISIS DE COMPLIANCE ANTE UN

CIBERINCIDENTE. ESTUDIO DE DIFERENTES ESTRATEGIAS

DE COMUNICACIÓN PARA REDUCIR EL IMPACTO

REPUTACIONAL

GESTIÓN DE CRISIS DE COMPLIANCE ANTE UN CIBERINCIDENTE. ESTUDIO DE DIFERENTES ESTRATEGIAS...

M C A

Senior Associate en PwC, especialista en Cybersecurity, Risk & Compliance

Management

P L S

Profesor Titular de Organización de Empresas en la Universidad Complutense de

Madrid (UCM)

M C A  P L S

I. INTRODUCCIÓN

El Informe de Ciberamenazas y Tendencias 20201, elaborado por el Centro Crip-

tológico Nacional (CCN-CERT) realiza un análisis de las ciberamenazas, nacionales

e internacionales, su evolución y tendencias a futuro. En los últimos años, destaca el

incremento de los ataques contra los datos personales, y no solo por parte de ciber-

delincuentes o grupos hacktivistas, sino también por Estados2. El objetivo perseguido

generalmente suele ser la comisión de determinados delitos, el robo de identidad (cre-

denciales), la suplantación o el espionaje, siendo los métodos de ataque más usados la

propagación de código dañino, el uso de malware criptojacking, el phising o ingeniería

social, innovación en plataformas ofreciendo el ciberdelito como servicio (Crime as a

Service3) explotando las vulnerabilidades de la víctima.

La pérdida de la con dencialidad de los datos suele ser el resultado más frecuente

de los ataques, hecho que se evidencia en los ataques dirigidos (APT), en relación con

acciones de ciberespionaje. Según estimaciones de McAfee4, el ciberdelito representaría

1 CCN-CERT (CENTRO CRIPTOLÓGICO NACIONAL) (septiembre 2020), Informe de

Ciberamenazas y Tendencias 2020. Disponible en: https://www.ccn-cert.cni.es/informes/informes-ccn-

cert-publicos/5377-ccn-cert-ia-13-20-ciberamenazas-y-tendencias-edicion-2020/file.html

2 Un incremento en el uso de código dañino por parte de los Estados, dirigido a explotar

vulnerabilidades de los sistemas de información de las Infraestructuras Críticas.

3 Véase la evaluación de la amenaza de la delincuencia organizada en internet por Europol: https://

www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-

iocta-2018

4 MCAFEE – CENTER FOR STRATEGIC AND INTERNATIONAL STUDIES (CSIS), Economic

Impact of Cybercrime-No Slowing Down’, febrero 2018. Disponible en: https://www.mcafee.com/enterprise/

en-us/assets/reports/restricted/rp-economic-impact-cybercrime.pdf

María Cumbreras Amaro y Pedro López Sáez

104

un coste mundial cercano a los 600.000 millones de dólares (o el 0,8% del PIB mundial),

aunque es importante indicar que la actividad delictiva en internet es mucho más

amplia, ya que, esencialmente, todos los elementos de la actividad delictiva humana

se han trasladado al ciberespacio.

En el presente capítulo se pretende dar a conocer las responsabilidades que nacen

como consecuencia de un ciberataque, y cómo gestionar la posible crisis derivada,

prestando atención especial a las estrategias de comunicación que una organización

puede utilizar como respuesta a la misma. El uso de tecnologías de la información

implica riesgos y, por ende, la posibilidad de generar daños de los cuales habrá que

responder dirimiendo las oportunas responsabilidades. Así, una buena gestión del

ciberataque a través de un comité de crisis, la evaluación de la continuidad de negocio,

y la elección de una buena estrategia de comunicación para infor mar a los stakeholders

de lo que está sucediendo y de cómo se está gestionando la situación, puede mitigar

los impactos negativos que este tipo de incidentes pueden producir las organizaciones.

Por ello, las conclusiones del capítulo adoptan la forma de buenas prácticas sugeridas

para su adopción en la práctica.

II. ANÁLISIS DE LAS RESPONSABILIDADES DERIVADAS DE UN CIBERIN

CIDENTE: ESTUDIO DE CASO “WANNACRY RAMSONWARE”

El estudio realizado en el presente artículo parte de un supuesto de hecho real que

marcó un antes y un después en el ámbito de la seguridad de la información, representó

el mayor ataque que se haya hecho antes, representativo de las ciberamenazas actuales

que pueden afectar a las organizaciones. El WannaCry Ramsonware5(en adelante,

Wan na Cr y ) consistió en un ciberataque global que comenzó el 12 de mayo de 2017,

y su escala no tiene precedentes, impactó rápidamente a más de 360.000 equipos a

nivel mundial –en más de 180 países–. En España, aunque no afecto a ningún servicio

esencial, sí que se con rmó la infección de una decena de operadores estratégicos

nacionales6. El virus Wan na Cr y explotó una vulnerabilidad en Microso Windows que

fue originalmente desarrollada por la Agencia de Seguridad Nacional de los Estados

5 El virus es conocido por una variedad de apodos como: “WannaCr ypt”, MISNER, P., “Customer

Guidance for WannaCr ypt Attacks”, MICROSOFT SECURITY RESPONSE CTR. (12 de mayo de

2017), Disponible en: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-

for-wannacrypt-attacks/; “WanaCrypt0r 2.0”, véase BREWSTER, T., “An NSA Cyber Weapon Might

Be Behind a Massive Global Ransomware Outbreak”, FORBES (12 de mayo de 2017), https://www.

forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-g lobal-

explosion/#452ff67be599 https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-

by-wannacry-ransomware-in-global-explosion/; y “Wanna Decryptor”, WOOLLASTON, V., “Wanna

Decryptor Ransomware appears to be spawning and this time it may not have a Kill Switch”, WIRED (16

de mayo de 2017), http://www.wired.co.uk/article/wanna-decryptor-ransomware.

6 INCIBE (INSTITUTO NACIONAL DE CIBERSEGURIDAD) (19 de mayo de 2017). Ransomware

WannaCr y responsable de un ciberataque mundial. INCIBE-CERT. Disponible en: https://www.incibe-cert.

es/blog/ransomware-wannacry-responsable-ciberataque-mundial