Logo BusinessInsider.es

Newsletters

Logo BusinessInsider.es
Newsletter

Expertos en ciberseguridad apuntan que las grandes empresas usan NDA para ocultar infracciones para así evitar posibles multas de millones de dólares

Un hombre con la máscara de Guay Fawkes navega por Internet en la Campus Party de Sao Paulo el 30 de enero de 2013.
Un hombre con la máscara de Guay Fawkes navega por Internet en la Campus Party de Sao Paulo el 30 de enero de 2013.
  • Las estrictas leyes europeas de protección de datos pueden hacer que las empresas tengan que pagar multas millonarias si son pirateadas o tienen una violación de seguridad. 
  • Los expertos en ciberseguridad dicen que las compañías han encontrado una forma de evitarlo: usar NDA. 
  • Un empleado de ciberseguridad afirmó que un importante bufete de abogados internacional sufrió un hackeo en el que sus cámars web fueron secuestradas para escuchar reuniones secretas durante semanas. 
  • Europa podría endurecer sus leyes de datos para cerrar este tipo de agujero, según apuntan los expertos legales. 
  • Descubre más historias en Business Insider España

Varios expertos de ciberseguridad han comentado a Business Insider que ciertos agujeros, dentro de los acuerdos de confidencialidad de las leyes de protección de datos europa, permiten a las empresas saltarse algunos protocolos y evitar así multas de millones de dólares. 

La legislación GDPR europea, que entró en vigor en mayo de 2018, exige que las empresas revelen sus principales violaciones de datos a los reguladores locales. 

Los reguladores importantes se están poniendo serios. El organismo de control de datos de Reino Unido ha multado a British Airways con 229 millones de dólares y al grupo de hoteles Marriot a pagar 130 millones de dólares

Al parecer, dos empleados de algunas empresas de alto rango en compañías de ciberseguridad de Reino Unido apuntan que el uso de NDA por parte de los clientes provoca que no se divulgen infracciones similares a las autoridades

Las empresas de ciberseguridad no tienen que revelar violaciones de datos que afectan a sus clientes

El uso de NDA se ha convertido en una práctica estándar entre quienes ofrecen ciberseguridad y sus clientes, debido a la naturaleza sensible de su trabajo. 

Un empleado, que habló con Business Insider bajo el anonimato, dijo que conoce a varias empresas de alto perfil que mantienen en secreto sus infracciones de seguridad, pero se negó a nombrarlas.

Una segunda persona descubrió que alguien pirateó las cámaras web de un importante bufete internacional de abogados y estuvo escuchando reuniones privadas durante semanas. "Desafortunadamente no es nuestro trabajo hacer algo al respecto. Simplemente vemos lo que sucede y se lo contamos a nuestro cliente", explica. "Incluso entonces, después de contarles lo que ocurrió, hay veces que no toman medidas. Si no hay consecuencias tangibles, ¿Por qué lo van a hacer?". 

Leer más: Lamborghinis, crías de león y fajos de billetes: los hackers rusos a cargo de Evil Corp gozan de un estilo de vida absolutamente lujoso

Según el GDPR, la falta de notificación a las autoridades de una violación de datos puede costarle a una empresa hasta 11 millones de dólares o el 2% de su facturación anual global, dependiendo de cuál sea mayor. En Reino Unido, las empresas deben notificar a la ICO en un plazo de 72 horas después de haberse enterado de la violación. 

Ahmal Johal, director de la firma de abogados Your Lawyers, que representa a víctimas de este tipo de violaciones, comentó a Business Insider que "procedimientos legales más firmes" podrían obligar a las compañías que han sufrido estos ataques a ser más transparentes. 

Si existe alguna incertidumbre sobre si GDPR puede reemplazar una DNA o no, está claro que las reglas deben revisarse", afirma. "Es posible que necesitemos procedimientos legales más firmes para garantizar que la protección de datos del consumidor no esté obstruida por las NDA. Si este problema provoca que las empresas oculten violaciones de seguridad está claro que debe revisarse".

Agrega: "La prioridad clave para las empresas debe ser proteger los datos personales de sus clientes. Debe haber transparencia entre las empresas de ciberseguridad y el ICO para garantizar que esto se cumpla". 

Otra parte defiende la naturaleza de la relación entre las empresas de ciberseguridad y sus clientes. Jeremy Hendy, CEO de TI Skurio, señala: "Es difícil imaginar una situación en la que consideremos apropiado o necesario informar al ICO de una brecha de seguridad". 

British Airways fue multada con 229 millones de dóalres después de que hackearan su web.
British Airways fue multada con 229 millones de dóalres después de que hackearan su web.

"Cuando nuestros equipos trabajan en nombre de un cliente, nuestro deber es informar a este cliente de nuestros hallazgos y es su responsabilidad investigarlo y denunciarlo. Todo lo que hacemos por nuestros clientes es confidencial".

Paul Stutton, jefe de investigación y desarrollo de Redscan, se mostró de acuerdo con estas declaraciones.

"Los NDA son una práctica común entre los proveedores de seguridad y sus clientes que ayudan a establecer un nivel de confianza entre las partes", comenta. 

Cuando Business Insider hablo con ICO, esta afirmó que las compañías de seguridad no están obligadas a informar de estas violaciones, pero creen que es importante seguir las pautas de denuncia de las irregularidades. 

"Si una persona tiene algún tipo de preocupación sobre cierta ruptura de la protección de datos, siempre sugerimos que nos lo comuniquen para que podamos decidir cómo proceder". 

Este artículo fue publicado originalmente en BI Prime.

Otros artículos interesantes:

Conoce cómo trabajamos en Business Insider.

Etiquetas: