Una empresa se considera pequeña según los estándares del BNDES (Banco Nacional de Desarrollo Económico y Social) con una facturación bruta anual de hasta R$ 16 millones. Una empresa de tamaño mediano es aquella con una facturación bruta anual de hasta R$ 90 millones, y a partir de ese punto, se considerarán medianas-grandes aquellas con una facturación bruta de hasta R$ 300 millones. Por encima de esto, el BNDES considera a la empresa como grande. Una multa potencial por incumplimiento con la ley de protección de datos personales en este caso sería la siguiente:
Clasificación de la empresa Multa máxima
Pequeña R$ 212.000,00
Mediana R$ 1.800.000,00
Mediana-Grande R$ 6.000.000,00
Grande R$ 50.000.000,00
Ahora centrémonos en la deep web, donde reina el mundo del crimen organizado. Una tendencia creciente en los crímenes de Internet es la extorsión utilizando datos robados de una empresa.
El sistema de una institución en particular es hackeado, donde se copian los datos de los clientes y, después de algún tiempo, el criminal contacta a los responsables de seguridad, así como a los socios de la empresa para informarles sobre sus sistemas y las vulnerabilidades en su estructura que permitieron copiar cierta información sensible.
Como prueba, el hacker malintencionado (sí, originalmente todos los hackers se suponía que eran buenos) envía algunos datos robados a los socios para demostrar sus habilidades e incluso sugiere algunas formas de corregir la vulnerabilidad para que no ocurran nuevos ataques.
Como recompensa por el “servicio prestado”, el criminal solicita que la institución remunere al hacker con una transferencia de bitcoins (una moneda virtual rastreable, pero no identificable) a una billetera específica.
Generalmente, este tipo de extorsión tiende a costar entre 3 a 10 bitcoins, dependiendo del tamaño de la empresa. Con cada nueva interacción con la institución, el criminal aumenta su costo y comienza a amenazar con subastar los datos copiados en la deep web, si la transferencia a su billetera no se realiza dentro del plazo estipulado.
Prácticas similares ocurrieron con grandes empresas, según informaron los medios, algunas instituciones financieras, marketplaces y otros grandes jugadores del mercado, además de varios otros que terminaron cediendo a la presión de los ciberdelincuentes al pagar el rescate en bitcoins y así preservar su nombre.
Dado que 1 bitcoin hoy (30 de abril de 2019) cotiza a R$ 20.787,17, estamos hablando de que estos crímenes de extorsión solicitan a cambio de no divulgar los datos en Internet algo entre R$ 60.000,00 y R$ 210.000,00.
Con la aprobación de la ley general de protección de datos personales, podemos concluir que el valor del rescate en bitcoins es infinitamente menor que la multa del 2% que la institución debería pagar en caso de una fuga de datos. Y, por supuesto, además de la multa y los dolores de cabeza con el gobierno, el empresario tendrá un costo enorme en relación con su imagen, porque mucho más que las multas, el costo de una empresa con una imagen manchada es mayor que cualquier otro existente, llevando a una posible quiebra dependiendo de la magnitud del incidente.
El GDPR brasileño es prácticamente un pase libre para los ciberdelincuentes. Mientras tanto, los empresarios, desde pequeños hasta grandes, tendrán que adaptarse para no tener su imagen expuesta o vivir en manos de chantajistas virtuales. Aquí es donde la demanda de profesionales de seguridad explotará.
En primer lugar, las estructuras y aplicaciones deberán evaluarse en una posible prueba de intrusión. Si presentan alguna vulnerabilidad (y créanme, las tendrán), deberán corregirse mediante la mitigación de riesgos en equipos, sistemas operativos, renovación de políticas de seguridad, y por qué no en la corrección y modernización de aplicaciones, movilizando programadores y analistas de sistemas de diversos lenguajes desde Cobol hasta los más modernos.
Para los casos de fuga de datos, muchas empresas necesitarán expertos en informática forense para documentar cómo ocurrió realmente la fuga, si hubo una falla de seguridad debido a error humano, de equipos o incluso la participación de empleados o proveedores de servicios facilitando el trabajo de los criminales. Los informes técnicos serán de suma importancia para explicar los detalles y mitigar las multas aplicadas.
Sin mencionar que el órgano regulador de la Ley 13.709/18 – la ANPD – eventualmente necesitará expertos para evaluar la gravedad de cada caso de fuga investigado, sin mencionar el apoyo a los DPO (Oficiales de Protección de Datos), un profesional responsable de asesorar y verificar si tales empresas están cumpliendo con la LGPD al procesar y tratar los datos personales de terceros. En Europa, las pequeñas y medianas empresas ya están mostrando dificultades para adaptarse técnicamente para garantizar la privacidad de los datos, lo que lleva al gobierno a crear un fondo para ayudar a estas empresas. Dudo mucho que esto suceda en Brasil, dado que la factura siempre se presenta al empresario en este país, por lo tanto, tanto las grandes empresas de seguridad como los profesionales autónomos serán buscados para ayudar en esta verdadera avalancha de demanda de pentesters y expertos, además de gerentes de seguridad, auditores y personal de equipos de seguridad.