“Un tercero no identificado publicó datos de un grupo de clientes con la intención de extorsionar al banco”. Con esta inédita revelación, el gerente general de uno de los bancos más grandes del país hizo lo impensable: reconocer públicamente, y en medio de una crisis, que el Interbank había sido blanco de extorsión cibernética. Reveló un secreto a voces que las grandes corporaciones se esfuerzan en ocultar, por el impacto negativo en su reputación.
El caso de Interbank no es el único en el mundo corporativo que recibe ataques cibernéticos, el llamado ranson ware, una modalidad de intrusión digital que secuestra datos sensibles de la empresa y bloquea el acceso al sistema para que el delincuente cibernético exija sumas millonarias a modo de rescate informático.
En el mundo corporativo la ola de ciberataques es creciente y eleva la preocupación por la amenaza que supone a la privacidad de millones de personas. Sin embargo, la confesión del CEO de Interbank sobre la extorsión marca un punto de inflexión, porque el riesgo informático no es exclusivo de las empresas privadas, sino también del sector público. Entonces, ¿cuál es la estrategia del Gobierno para enfrentar el cibercrimen?
Perú es uno de los pocos países de la región que no cuenta con una ley marco de ciberseguridad. Estados Unidos y los países de la Unión Europea tienen protocolos de acción que obliga a las compañías a notificar, en 48 horas, a las autoridades y a los usuarios privados y públicos, cualquier incidente sobre vulneración de datos personales.
El reciente ataque a Interbank reveló que el ‘perpetrador’, también llamado ‘hacker’, habría negociado con el banco la devolución de datos sensibles a cambio de cuatro millones de dólares; sin embargo, los clientes fueron avisados recién dos semanas después, olvidando que una rápida notificación ayuda a la transparencia y la protección de los clientes.
En el Perú, el reglamento de la Ley de Protección de Datos Personales duerme en el Ministerio de Justicia. Un limbo administrativo que no establece mecanismos, especialmente para dar aviso sobre sistemas vulnerados. Por eso, al no haber sanción, se prefiere no comunicar por temor a la mala prensa.
La aprobación de este reglamento es fundamental para garantizar la privacidad de los usuarios. Las empresas y los organismos estatales deben estar obligados a notificar en el menor tiempo posible cualquier ciberataque, más aún, si se compromete la seguridad de millones de personas. Urgen reglas y protocolos claros que incluyan sanciones para las empresas o instituciones que omitan información a tiempo sobre ciberataques.
Si bien el sector financiero invierte en ciberseguridad, acabamos de ver que es insuficiente, porque las modalidades delictivas son cada vez más sofisticadas. El panorama es peor en el vulnerable sector público, como ocurrió con la Municipalidad de Miraflores.
Urge la implementación de políticas claras en cibercrimen. No hacerlo equivale a cerrar los ojos ante un mundo cada vez más digitalizado.
Aprovecha la NUEVA EXPERIENCIA, recibe por correo y por Whatsapp nuestro periódico digital enriquecido. Perú21 ePaper.
¡Ahora disponible en Yape! Búscanos en YAPE Promos.
