El próximo 25 de Mayo entrará en vigor la Regulación General de Protección de Datos 2016/679 de la Unión Europea. Se cumplirá el plazo de dos años que se estableció para que todos los países de la Unión Europea incorporen las medidas necesarias para cumplir con la normativa obligatoria.
Los ciberataques a todo tipo de empresas aumentan en número cada año, y es necesario que la sociedad se conciencie de que la situación empeorará con el tiempo, ya que el robo de datos es un negocio muy lucrativo, y los ciberdelincuentes no están dispuestos a renunciar a estos ingresos.
La cifras son demoledoras: en el año 2014 se produjeron alrededor de 11.000 ataques informáticos a empresas españolas. La cifra se multiplicó por cinco al año siguiente, 2015. En el año 2016 se contabilizaron 105.ooo ciberataques, 70.000 de ellos a pymes. Los datos correspondientes a 2017 todavía no han sido publicados, pero la tendencia es creciente, como puede verse.
Cuando una empresa sufre una intrusión en sus sistemas las consecuencias son diversas, pero todas negativas. Por una parte se puede producir el robo de datos de todo tipo: datos de clientes, números de tarjetas bancarias, listado de precios, estrategias empresariales, proyectos, diseños, etc.
El atacante puede vender la información robada a la competencia, o a otros delincuentes que sabrán sacar provecho de los datos robados. También pueden «secuestrar» las bases de datos y/o los equipos informáticos de la empresa, exigiendo el pago de una cantidad económica para «desbloquear» los equipos. Lamentablemente hay empresas que pagan para recuperar el control de sus datos, aunque es frecuente que el delincuente se vaya con el dinero sin cumplir su parte del trato. Al realizarse los pagos en criptomonedas, como pueda ser el bitcoin, el rastreo de las operaciones es prácticamente imposible.
En un segundo escenario encontramos los establecimientos que ofrecen conexión Wi-Fi gratuita o de pago a sus clientes, como puedan ser los hoteles, restaurantes, bares, tiendas, etc.
Cada vez con más frecuencia los hoteles están ofreciendo dos tipos de conexión wifi a sus clientes: una gratuita abierta y otra disponible de manera individualizada para cada habitación con sus protocolos de autenticación y securización. Estas últimas, por las que el cliente habitualmente paga una cantidad adicional, proporcionan una calidad de señal muy superior a la red wifi abierta, así como un nivel de seguridad óptimo si está bien configurada.
El Código Penal, en su artículo 31 bis, que regula la responsabilidad penal de la persona jurídica, incluye el descubrimiento y revelación de secretos y el allanamiento informático. La amenaza de un ciberataque es real y cada vez más frecuente. Las empresas tienen que poner todos los medios a su alcance para evitar la intrusión en sus redes informáticas, porque las sanciones por no haber cumplido con la normativa son muy cuantiosas.
No sólo se pueden ver comprometidos los datos internos de la empresa, sino los de los clientes que se conectan a las redes inalámbricas proporcionadas de manera gratuita o de pago. Entre estos datos están el nombre y apellidos, dirección postal y electrónica, teléfono, NIF, datos de tarjetas de crédito o débito, o cualquier otro que el cliente haya proporcionado en el hotel para utilizar alguno de sus servicios, por ejemplo datos de salud.
Los establecimientos, en este caso hablamos de un hotel, deben asegurarse de que el cliente conoce y acepta el servicio y sus condiciones, y el tratamiento de sus datos por parte del hotel.
En ocasiones, la conexión a la red wifi puede efectuarse a través de las redes sociales, como pueda ser Facebook, Twitter, u otras. En ese caso la empresa tiene obligación de comprobar que dichas redes cumplen con la normativa referente a la protección de datos de los clientes. Además los servidores de todas las empresas que manejen datos deberán encontrarse en un país de la Unión Europea.
Los delitos informáticos son frecuentes. España, junto a Estados Unidos y Reino Unido, es uno de los tres países del mundo donde más ciberataques se producen. Muchos de estos ataques no se comunican, porque suponen para la empresa una pérdida de credibilidad frente al consumidor que puede perjudicar gravemente su negocio e imagen.
Ahora la normativa es muy estricta al respecto: la empresa que haya sido atacada y le hayan sustraído datos de sus clientes tiene un plazo de 72 horas para comunicárselo, para que puedan adoptar las medidas oportunas, por ejemplo cambio de contraseñas, entre otras acciones. Se pretende de este modo proteger la privacidad de los datos de los clientes.
La auditoría de seguridad de redes wifi evalúa en profundidad el cumplimiento de la normativa europea. Analiza la fortaleza de las medidas preventivas para evitar ataques maliciosos utilizando la red inalámbrica de la empresa y sugiere contramedidas para fortificar la seguridad de la red wireless.
Para ello, entre otras acciones, simula las mismas acciones y procedimientos que utilizan los ciberdelincuentes para acceder a los datos confidenciales transmitidos a través de las comunicaciones inalámbricas.
