¿Que puedo hacer si alguien roba los datos de mi empresa?
En este artículo vamos a abordar la problemática que se desencadena cuando un empresario descubre que alguien roba datos de su empresa y la información confidencial y/o estratégica de su empresa ha llegado a manos inadecuadas. Quiero enfocar el tema desde un punto de vista totalmente práctico, y no desde el punto de vista de la protección de datos personales o GPDR, dado que creo que ya existen muchos artículos publicados sobre este tema por profesionales mucho más cualificados de lo que puedo estarlo yo.
Contenidos
¿En qué consiste una fuga de datos de una empresa?
Como bien explican desde el INCIBE en este artículo, la información es uno de los activos más importantes de una empresa. Listados de clientes, tarifas, datos de proyectos en curso, patentes comerciales o definición de procesos, sistemas o know-how resultan fundamentales en la operativa de cualquier empresa hoy en día. El hecho de que estos datos puedan llegar a manos indeseadas, o ser publicados en la red con un objetivo difamatorio puede llegar a tener unas consecuencias legales y unas pérdidas económicas para la empresa dificiles de valorar.
¿Cómo se puede producir esta fuga de datos de mi empresa?
Existen algunas formas en las que habitualmente la información se “fuga” de una empresa:
- Mediante dispositivos de almacenamiento externo.
Los famosos “pendrive” o “pinchos” USB. Si no se tiene una política adecuada de control, un empleado puede fácilmente copiar cualquier archivo sensible a un dispositivo y llevarselo a casa (y después hacer con el lo que considere oportuno) - Mediante correo electrónico
Envíando a través de cuentas de correo gratuitas (o de la propia cuenta de correo de la empresa) ficheros adjuntos que pueden contener información sensible. - Utilizando redes inalámbricas no seguras
El uso de redes públicas inalámbricas es también un posible foco de fuga de información, dado que el tráfico puede estar siendo espiado o controlado sin que el usuario lo sepa, y siempre es recomendable el uso de redes cifradas VPN para el acceso a los datos empresariales desde el exterior. - Servicios de almacenamiento en la nube (Dropbox, Google Drive, Mega, etc…)
Estos servicios, fácilmente accesibles, permiten filtrar información desde los ordenadores corporativos de una forma sencilla y rápida. Incluso en muchos casos aplicaciones de mensajería instantanea como Skype o Telegram, pueden ser la fuente de exfiltración de la información. - Publicación en redes sociales
En muchas ocasiones las publicaciones en redes sociales sin control dan lugar a fugas de información no deseada. - Instalación de malware
La instalación de malware en algún equipo de la empresa puede ser la fuente de la fuga de información.
¿Qué hacer cuando la fuga ya se ha producido?
En estos casos, aparte de las acciones a realizar por cuestiones legales cuando se trata de fuga de datos personales, lo más importante suele ser poder responder a las 5 preguntas claves de cualquier investigación: ¿Qué? ¿Cómo? ¿Cuándo? ¿Quién? y ¿Por qué?
Habrá casos en los que la fuga de información se haya producido por un error, pero en otros casos, podemos tener un posible delito entre manos: Empleados o ex-empleados enfadados o que han sido despedidos y que venden los secretos de la empresa a la competencia, hackers que chantajean a la empresa a cambio de no publicar o devolver la información secuestrada, empresas externas que intentan hacerse con datos sensibles para el negocio, etc…
Si nos vemos involucrados en uno de estos casos, el poder responder a las preguntas que anteriormente comentábamos cobra un mayor sentido, dado que en función de la respuesta obtenida, el resultado puede ser una denuncia, que en la mayoría de los casos deberá sustentarse con un informe pericial técnico, en el que un profesional de la informática forense detallará qué evidencias ha podido obtener sobre el incidente.
Lo más importante ante una fuga de datos es ponerse en contacto lo antes posible (si no se tiene en plantilla) con un profesional con experiencia en DFIR.
DFIR: La respuesta ante incidentes de seguridad informática.
Las siglas “DFIR” corresponden a “Digital Forensics Incident Response”, que en castellano sería algo así como “Respuesta forense ante incidentes de seguridad”.
Los profesionales que tienen formación y competencia en este campo, están especializados en analizar incidentes de seguridad, realizando todos los pasos necesarios para responder a las preguntas básicas sobre el incidente. Si además el profesional es un perito informático, podrá realizar un informe que servirá como prueba judicial ante cualquier posible denuncia.
Los profesionales del DFIR utilizan una metodología analítica para investigar los incidentes de seguridad: A partir de los datos iniciales que la empresa puede aportar sobre el incidente, el analista forense analiza los equipos y sistemas informáticos de la empresa, con el objetivo de localizar aquellas evidencias que pueden resultar relevantes para el incidente.
El informático forense es experto en analizar los registros de eventos que tienen todos los sistemas informáticos. Es lo que en el argot se conoce como “artefactos”. Estos artefactos nos proporcionan información interesante sobre qué archivos se abrieron en un ordenador en un periodo concreto de tiempo, qué hizo el usuario que estaba conectado a un sistema, que conexiones fueron abiertas, qué páginas web fueron visitadas o qué dispositivos USB fueron conectados a un equipo. Todo ello, organizado convenientemente a través de una linea de tiempo, permitirá al informático forense aportar respuestas que arrojen luz sobre el incidente de seguridad.
También tendrá su importancia la no alteración de las evidencias, algo que no siempre es sencillo, pero que deberá tenerse en cuenta de cara a una posible denuncia judicial. El informático forense siempre utilizará herramientas no invasivas y asegurará la no alteración de las evidencias, recopilándolas y asegurándolas mediante el cálculo de códigos HASH.
El resultado del trabajo de un analista forense habitualmente está formado por 2 informes distintos: Un informe técnico, en el que se detallan todas las acciones realizadas y el resultado de las mismas, incluyendo todas las evidencias encontradas, y un informe “ejecutivo”, en un lenguaje sencillo y entendible por la dirección de la empresa, en el que se responderá a qué es lo que ha ocurrido, cúando ha ocurrido, donde o desde qué equipos ha ocurrido, cómo se ha realizado esa fuga de datos y por último quién es el responsable de la misma.
Con esta información, la empresa podrá decidir si se trata de algo accidental (y tomar las medidas de mitigación para intentar que no vuelva a ocurrir) o si se trata de un hecho delictivo.
Conclusiones
Como conclusión de este artículo me gustaría indicar que la ciberseguridad es algo que cada día resulta más importante para las empresas. Cada vez son más los empresarios que van concienciándose de que se deben tomar medidas (organizativas, legales, técnicas, etc…) para evitar en la medida de lo posible los incidentes de seguridad, como pueden ser las fugas de datos.
Sin embargo, ningún sistema es 100% invulnerable y ninguna empresa está 100% exenta de sufrir un problema de ciberseguridad, como que un empleado enfadado pueda filtrar información a la competencia.
Lo más importante es que una vez se tenga constancia de que la filtración de datos se haya producido, lo antes posible se encargue la investigación del incidente a un profesional de la respuesta ante incidentes de seguridad. Muchas empresas cuentan con estos profesionales en plantilla, pero tambíen existen empresas y profesionales externos que pueden prestar estos servicios.
Estos profesionales realizarán una investigación minuciosa, y finalmente concluirán con la realización de un informe que permitirá a la empresa determinar qué acciones debe tomar.
Espero que el artículo os haya resultado interesante, y como siempre, quedo a vuestra disposición para cualquier duda o sugerencia que podáis tener.