Las empresas ocultan información sobre problemas de seguridad y hackeos

[Constantine]

Prácticamente ninguno de estos hechos se ven más tarde reflejados en los informes, normalmente trimestrales, que deben cumplimentar las compañías y corporaciones con el estado de los negocios de las mismas. Reuters ha querido indagar más al respecto, y surgen interesantes (a la par que preocupantes) datos que hablan de un estudio de más de 2.000 informes en los que apenas se menciona información sobre ataques informáticos, y cuando se hace, se hace de forma genérica.

 

 

Un claro ejemplo de esto es el del caso VeriSign, una de las mayores autoridades certificadoras a nivel mundial, la cual emite certificados oficiales no sólo para corporaciones sino para entidades, y de la cual acaba de descubrirse que habría sido víctima de un ataque informático hace aproximadamente dos años, estando en juego y potencialmente en manos de los hackers información valiosísima sobre compañías, sitios web, etc.

 

El alcance aún no se conoce, pero el impacto podría ser brutal, ya que Verisign emite la gran mayoría de certificados SSL de Internet, y a su vez es la encargada de gestionar un abundante número de dominios a través de sus servidores DNS. Hablamos de dominios .com y .net, pero también .gov, centrados en albergar sitios gubernamentales.

 

En cierto modo es comprensible que las empresas de seguridad traten de ocultar los ataques informáticos a sus inversores, pero… ¿es legal? Estamos hablando de un tema difícil de tratar. Por un lado, seguramente dichas compañías estén en la obligación de informar sobre cualquier problema o intrusión a sus inversores. Por otro, el caos que se podría formar al respecto, con espantada de clientes y efectos bursátiles o incluso afectando a los mercados financieros. Otro ejemplo, el de Sony.

 

La compañía nipona se vió obligada a admitir que habían sufrido varios ataques y que valiosísima información había sido comprometida debido a que los atacantes filtraron la misma a través de Internet. ¿Lo habrían admitido de no haberse visto en esta situación?

 

¿Por qué no informan las compañías a sus inversores de los problemas de seguridad? Bueno, aparte de para no alarmar, para evitar posibles pleitos o multas de la SEC (Securities and Exchange Commission), organismo estadounidense que trata de hacer cumplir las leyes federales y obligaciones de las empresas que operan en territorio norteamericano.

 

Se trata de un problema, sin embargo, que afecta a todas las compañías a nivel mundial, y es que cualquiera esta expuesto a un posible ataque informático provocado, tal vez, por una brecha de seguridad que podría dar muchos quebraderos de cabeza.

 

 

Bitelia