Las empresas van a tener que ser mucho más transparentes ante los ciberataques y proteger a los 'soplones' por mandato europeo, según advierte un experto en ciberseguridad

Cuando una empresa sufre un ciberataque, no solo se enfrenta al desafío que le provoca el incidente: también quiere proteger —con celo— la información que genera el mismo. No quiere dar pistas a sus competidores ni tampoco parecer vulnerable ante sus potenciales clientes.

Esta situación ha llevado a que grandes firmas españolas hayan evitado —con mayor o menor éxito— que los ciberataques que sufren hayan trascendido a la opinión pública. Algunos casos recientes son los de Everis o la CadenaSer. Vodafone sufrió una incidencia informática a finales del año pasado, pero nunca se aclaró a que se debió.

Hace días, Fernando Cubillos, teniente coronel y jefe de la Oficina de Relaciones Informativas y Sociales (ORIS) de la Guardia Civil, confirmaba que otra "gran empresa española" había evitado con éxito que la información sobre un incidente se hiciese pública.

Leer más: Los peores pronósticos en ciberseguridad se cumplen: los hackers que utilizan 'ransomware' empiezan a filtrar documentos confidenciales de sus víctimas

Pero, ¿cómo es posible que un ciberataque no se conozca y sí lo sepan las Fuerzas y Cuerpos de Seguridad del Estado? ¿Cómo lo saben los reguladores?

La legislación española ya prevé —incluso desde el año 1882, con la Ley de Enjuiciamiento Criminal— que los que presencien un delito público "está obligado a ponerlo inmediatamente en conocimiento" de las autoridades.

Ahora, la Directiva Europea 2019/1937 "relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión" va a dejar las cosas más claras.

Esta nueva normativa se publicó en el Diario Oficial de la Unión Europea en noviembre del año pasado. Y en la RootedCon, uno de los eventos sobre ciberseguridad más importantes de España, el ex secretario general del Instituto de Ciberseguridad (INCIBE) Francisco Pérez Bes ha analizado sus implicaciones para el sector de la seguridad informática.

Leer más: El director de ciberseguridad de Microsoft revela cómo quiere proteger a las compañías de una amenaza casi mayor que los hackers: sus propios empleados

Esto es todo lo que tienes que saber sobre la también conocida como Directivawhistleblowing.

¿A qué y quiénes afecta esta directiva para "soplones"?

Pérez Bes ha preferido evitar usar en su charla el término "chivato", por las connotaciones peyorativas que tiene en español. En inglés, whistleblower, que podría traducirse como filtrador o soplón, es la palabra que reciben aquellos que hacen que la información que corporaciones, empresas o grupos de presión pretendían ocultar.

Lo que plantea esta nueva directiva es, precisamente, proteger a los whistleblowers. Les afecta a ellos, los denunciantes y confidentes, pero también a las empresas.

Las compañías de entre 50 y 249 trabajadores tendrán que habilitar canales de información segura que garanticen la confidencialidad de los denunciantes para que las denuncias sobre incidentes de ciberseguridad lleguen a buen puerto. Se les garantiza confidencialidad y no anonimato precisamente por seguridad jurídica, destaca Francisco Pérez Bes.

Leer más: Los ataques de ransomware irán a más en 2020 y las grandes empresas sufrirán chantajes con sus documentos confidenciales, según los expertos en ciberseguridad

Además, para la nueva directiva, el concepto de "trabajador" que denuncie es muy amplio. Será considerado como tal todo aquel que tenga una relación laboral, o una relación mercantil o comercial con la firma afectada.

¿Qué exigirá la nueva directiva a las empresas?

Fundamentalmente, un canal seguro para denunciantes. Un canal interno que será oral pero también escrito, ya que en él también intervendrán los reguladores: estos podrán exigir el registro de denuncias recibidas. 

Las empresas tendrán que determinar qué estructura de su organigrama será la encargada de gestionar dicho canal, y además la norma también prevé la nulidad jurídica de toda posible represalia que se pueda llevar a cabo contra los denunciantes.Cada vez que se interponga una denuncia a través de uno de estos canales internos, las empresas tendrán que hacer acuse de recibo en 7 días, y contarán con un plazo para responder de 3 meses —salvo circunstancias excepcionales—.

¿Afecta solo al sector de la ciberseguridad?

En realidad no. Pero sí es una de las primeras directivas europeas en incluir una referencia explícita a este sector económico en su texto. En concreto lo hace en el Considerando 14, que puede ser análogo al preámbulo de una Ley Orgánica española. Se protegerán las filtraciones de aquellas infracciones que puedan perjudicar al interés público.

Y la directiva cita textualmente: "Incluidos los incidentes en prestadores de servicios esenciales —energía, salud, transporte y banca— y proveedores de servicios digitales —proveedores de cloud y suministradores de bienes básicos como el agua, la electricidad o el gas—".

¿Cómo protegerá a los denunciantes?

Dado que la nueva directiva prevé potenciar la denuncia interna antes que la externa, las garantías para los whistleblowers son totales. Tanto es así, que la norma europea prevé declarar nulos jurídicos aquellas represalias que puedan adoptar las empresas contra estos "soplones".

Leer más: No pagues un rescate si 'secuestran' tu ordenador: la policía europea evita pérdidas de hasta 100 millones de euros por ataques de hackers

Se refiere así a todas las "decisiones del empleador" que puedan suponer un deterioro de los derechos laborales de los denunciantes.

Claro que, como indica Pérez Bes, en el día a día está por ver cómo se desarrolla esto en la jurisprudencia, ya que estas "decisiones del empleador", así como su correlación de causalidad, son después muy difíciles de acreditar.

¿Y el sector público?

Aunque para las empresas privadas que incumplan esta nueva directiva hay previsto un capítulo de sanciones, Pérez Bes asume que es necesario "trabajar" en cómo afectará al sector público.

"Si alguien se entera de que un ayuntamiento o una diputación está poniendo en peligro la información del ciudadano, habrá un canal para que se denuncie". Eso sí, si una administración no contempla crear ese canal, habrá que trabajar en ello. La falta de consecuencias en el incumplimiento de la directiva por parte de las administraciones podría convertir demasiado pronto la nueva ley española en papel mojado.

¿Cuándo entrará en vigor en España?

El Gobierno todavía no se ha pronunciado sobre cuándo transpondrá la nueva directiva europea para adaptarla e incluirla en la legislación española. Sin embargo, es fácil prever que su transposición tendrá lugar en los próximos meses: la acción del Ejecutivo de Sánchez está siendo muy contundente con la necesidad de transponer cuanto antes las norma aprobadas a nivel europeo.

De hecho, la transposición tiene que ser efectiva antes de mediados de diciembre de 2021. Y su entrada en vigor en los Estados miembros no puede demorarse más allá de mediados de diciembre de 2023.