Opinión
¿Por qué hacemos esta distinción con los ciberataques? ¿Por qué culpamos a las víctimas? La respuesta tiene varias aristas.
Muchas veces cuando una compañía es víctima de un ciberataque con alto impacto para su negocio, se busca mantener bajo estricta reserva la situación. Sin embargo, es muy difícil hacerlo, ya que tanto los empleados, proveedores y clientes finales rápidamente advierten que está aconteciendo algo anormal y comienza a circular información –ya sea falsa o real– para explicar lo ocurrido. Además, los actores maliciosos dejan rastros en las redes sociales o en la dark web que pueden ser vistos por cualquier persona.
Más allá de esto, ¿por qué las empresas no quieren que se sepa que fueron atacadas? Hay muchas razones: afectación a la imagen corporativa, fuga de clientes o eventuales acciones legales. Todo lo anterior puede derivar en pérdidas financieras que perduran en el tiempo, incluso mucho después del ciberataque. De acuerdo con la NBER (National Bureau of Economic Research) de Estados Unidos, las calificaciones crediticias de las firmas víctimas de ciberataques se mantienen deprimidas por tres años. Sin embargo, una de las principales razones que motiva a no informar es que las empresas no quieren ser responsabilizadas del incidente.
Cuando una empresa es atacada, la misma es apuntada como responsable. En los casos más mediáticos de los últimos años hemos observado que el ecosistema culpa a la misma organización, y en especial a su equipo de ciberseguridad o TI. Así ha ocurrido en los casos recientes que han afectado a instituciones públicas y privadas. Curiosamente, cuando una organización es víctima del crimen tradicional o de una catástrofe como un terremoto o incendio, el ecosistema siente empatía y manifiesta apoyo. Incluso la ciudadanía no identifica dentro de los responsables a la víctima.
¿Por qué hacemos esta distinción con los ciberataques? ¿Por qué culpamos a las víctimas? La respuesta tiene varias aristas. En primer lugar, muchas organizaciones han inyectado recursos a las áreas de ciberseguridad o TI y con esto se genera la idea de que el problema queda resuelto. Pero no es así. Los cibercriminales seguirán sofisticando sus estrategias para ser cada vez más efectivas. De hecho, de acuerdo a FortiGuard Labs, Chile sufrió 6 mil millones de intentos de ciberataques en 2023, de los cuales muchos fueron dirigidos y con herramientas altamente sofisticadas.
Otro aspecto importante es que los ejecutivos de áreas no tecnológicas no ven a la ciberseguridad como parte de su ámbito de acción. ¿Quién es responsable de elaborar una estrategia comunicacional en caso de un incidente? ¿Quién debe liderar acciones para asegurar el cumplimiento de la ley? ¿Quién debe ejecutar un plan de entrenamiento y conciencia en ciberseguridad dentro de las organizaciones? ¿Quién toma decisiones oportunas que impactan al negocio para superar un incidente grave? En ninguno de estos casos es el área TI.
Por último, el panorama de amenazas ha evolucionado de forma acelerada producto de la fuerte incorporación de tecnologías digitales en los últimos 5 años. Por tanto, no ha habido tiempo suficiente para adaptarnos como sociedad al altísimo grado de dependencia tecnológica que hoy tenemos. Disfrutamos de los beneficios de un mundo hiperconectado, pero hemos descuidado algunos aspectos importantes. Hoy nos falta especialización, educación y conciencia en ciberseguridad. De acuerdo con Gartner, en 2025 más de la mitad de los incidentes graves se atribuirán a falta de talento o error humano. No tenemos comprensión de cómo funciona un ataque cibernético. En consecuencia, señalamos a las víctimas como descuidadas y negligentes.
Lo que necesitamos es una cultura de no culpar. Tanto la sociedad civil como los sectores público y privado debemos entender que los responsables son asociaciones criminales que tienen grandes recursos y que perdemos tiempo valioso culpándonos entre nosotros. Que los reales culpables, los ciberatacantes, saben que esto ocurre y toman ventaja.
Si mostráramos empatía con las víctimas y prestáramos apoyo, seguramente los impactos serían menores y aprenderíamos en conjunto cómo estar mejor preparados para este flagelo. Para ello, es fundamental evitar los prejuicios con educación en ciberseguridad a todo nivel, incluyendo ciudadanos, estudiantes, profesionales, gerentes, directores y funcionarios públicos.
