6 maneras de saber si la ciberseguridad te llevará a la cárcel

20 marzo, 2018

Si estas leyendo este blog, entonces te interesa la ciberseguridad. Siempre les doy las gracias al cine, porque gracias a el, es que muchas personas piensan que es fácil estar y trabajar en este mundo. Desafortunadamente, existen algunas implicaciones legales que podrían hacer que llevemos la pijama de rayas por un tiempo, cabe destacar que no estóy hablando de los casos claros y aparentes, si eres un delincuente, obviamente, debes tener tus consecuencias y tu cita con la justicia. En este artículo me refiero a personas comunes, que están dentro de nuestras organizaciones o son contratadas por las mismas, y que creyendo que están haciendo su trabajo, terminan teniendo una responsabilidad legal con consecuencias nefastas para si mismos.

¡Ojo! estoy consciente que las regulaciones son diferentes en cada país, pero ésta es una aproximación general, basadas en lo que hemos visto en las noticias en lo últimos años.

Entre las maneras en que la ciberseguridad te puede llevar a la cárcel, se me ocurren las siguientes:

1. Realizar pruebas de penetración en infraestructuras tecnológicas, sin la autorización expresa

Cuando somos contratados para hacer pruebas de penetración, un error que comenten muchos novatos, es que no están atentos a realizar un documento donde la organización nos da, explicitamente, el permiso para realizar estas pruebas dentro de los servidores, computadoras y equipos de esa organización. Es decir, no es solo tener aprobado el presupuesto o incluso haber recibido un adelanto del pago, no!, se trata de que debemos estar muy pendientes de tener esa autorización, porque sin ese documento, podemos ser acusados de ingreso no autorizado a un sistema. Hacer la autorizacion es una forma fácil de evitar que no nos paguen o de que vayamos a estar encerrados un buen rato. En resumen, pide tu autorización escrita.

2. Realizar las mismas pruebas, pero sobrepasandose a los acuerdos establecidos

Aquí no aplica que «es mejor pedir perdón que pedir permiso». Partamos del principio en el que ya te habías cuidado de lo descrito en el apartado anterior, y que tenías tu documento (firmado, sellado, con huella dactilar, con sangre y demás) donde te autorizaban a realizar la prueba de penetración, pero te dijeron, no te metas en este servidor o no analices tal IP o tal vez no ejecutes ataques de Denegación de Servicios (DoS), sin embargo, viste que era muy sencillo ingresar a ese sistema, te pareció que esa inclusion en tu reporte sería un excelente valor agregado o simplemente «la voz en tu cabeza te decía, hazlo» (sí, la mayoria tenemos esa voz y no estamos locos, bueno, no tanto). Pues no mi amigo, bienvenido al mundo de la violación de contrato, con ese simple hecho te has ganado todos los numeros del sorteo para una demanda por parte de tu cliente. Entonces, no hagas más de lo que te autorizaron hacer.

3. Incumplir los acuerdos de confidencialidad que firmamos al ingresar a la organización.

Y si la organización no lo tiene o si no lo estas firmando, pues muy mál por la empresa, cuando ingresamos a las organizaciones una buena practica de seguridad es hacer firmar un acuerdo de confidencialidad y otra serie de documentos que basicamente nos dicen que, hay que proteger la información de la organización y cumplir con los procesos exigidos por la empresa.

Cuando solo queremos trabajar y no lo firmamos ningun acuerdo no podemos cumplirlo, entonces, mejor exigimos todos estos documentos y los firmamos, pero no sin leerlos y mucho menos sin quedarnos con una copia de los mismos. ¿La razón? Simplemente porque cuando suceda una fuga / perdida / borrado / desaparición de datos e información, y por casualidad se llega a determinar de que incumpliste alguno de los acuerdos que firmaste 6 años atras cuando ingresaste, ese pequeño pero importante detalle te puede acarrerar responsabilidades legales. Entonces, cuando ingreses a una organización, revisa bien los acuerdos y documentos que firmas y ten una copia de los mismos.

4. La responsabilidad generada por incumplir regulaciones estadales

Así como hay documentos que firmamos al momento de ingresar a una organización y que nos dan una responsabilidad de ciertos actos y dependiendo del sector donde nos desempeñemos tendremos unas responsabilidades con la legislacion a nivel nacional. Es interesante como funcionamos algunas personas especificamente cuando estamos en una posición de empleados, haz la prueba, exigele algo a un empleado para que veas como te va a sacar en cara todas las normas legales que existen en tu país y en el mundo, pero como yo digo «siempre queremos aplicar nuestros derechos pero nunca nuestros deberes», en el marco legal de nuestros paises (y como dije al principio, dependiendo del sector al que nos dediquemos) se nos dan responsabilidades sobre nuestras acciones. Un ejemplo muy obvio, por alguna razón recibimos una imagen relacionada a la pornografia infantil, pero nos decimos a nosotros mismo «yo no la tomé y yo no me la envié» y digamos que la borramos inmediatamente (pero queda en la papelera de reciclaje), alguien entra en nuestro dispositivo (porque se lo prestamos o por cualquier razón), mira la foto y nos denuncia ante los cuerpos de seguridad, muy seguramente pasaremos un mal rato con el sistema de justicia. ¿Que quiero decir con esto?, que séas consiente de tus resposabilidades como ciudadano, empleado y jefe en relación a la gestión de la información en el ciberespacio y fuera de este.

5. Acción u omisión de actividades durante un incidente

Esto lo hablo desde la experiencia, he visto a muchos ejecutivos y técnicos ir a prisión por no haber hecho lo que se debía durante una crisis. Las políticas, manuales y procedimientos organizacionales te indican un proceder y si no lo haces de esa forma las consecuencias son peores, es decir, que pagarás el precio, claro, si no haces lo que dice el procedimiento y todo sale bien, no esperes un aumento de sueldo, así que ¿se entiende el predicamento que podemos tener al momento de determinar el mejor curso de acción para solventar un incidente? Conclusión, haz lo que indique la documentación organizacional y si se va a hacer algo diferente, que lo defina el comite de crisis «en pleno».

6. Ocultar ser victima de un ataque informático

Aunque, esto depende explicitamente de la legislación de tu país, hay algunos en donde se debe hacer publico inmediatamente si tu organización fue victima de un filtrado de información donde se ven comprometos tus usuarios, sino esto acarreará problemas legales para la empresa y sus autoridades. Entonces, cuando ves que una organización dice públicamente que fue vulnerada y que se pueden exponer datos personales de sus clientes, no quiere decir que ellos son buena gente y estan comprometidos con sus clientes, no, solo estan obligados a hacerlo, por regulaciones del país donde tienen el domicilio fiscal. Tal fue el caso de Uber en donde ocultaron un robo de información por un año y al momento de haberse dado a conocer esta noticia, a la empresa la sancionaron (está bien, nadie fue detenido, pero igual hubo una implicación legal). En este caso la recomendación es la misma de hace unas líneas atras, debemos ser conscientes de las regulaciones de nuestro país.

Estas fueron las posibles maneras que se me ocurrieron que pudieran causarte implicaciones legales a ti y/o a tu organización; seguro hay más, por favor, hazmelas saber; ten estos aspectos en cuenta y evita caer en problemas por desconocimiento, acción u omisión.

Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.

Gracias por leerme y hasta la próxima.