El reciente incidente de seguridad en Target – información de más de cuarenta millones de tarjetas de crédito y débito utilizadas en sus tiendas físicas
– ha vuelto a centrar el debate en un asunto que se repite cíclicamente
con cada caso similar: a quién corresponde la responsabilidad ante un
robo de información.Este caso resulta, si cabe, más paradigmático por tratarse de un robo que afecta a tarjetas de crédito utilizadas en el mundo físico, no en una página web (las operaciones en las tiendas online de Target no resultaron afectadas): todas las empresas, en la red o fuera de ella, son susceptibles de sufrir este tipo de intrusiones. Pero el problema, en cualquier caso, es cómo asignar la correspondiente responsabilidad ante un evento de este tipo. Ninguna empresa desea ser atacada, pero ¿hasta qué punto debe ser considerada responsable de ello? ¿Resulta de verdad posible evitarlo, cuando los mismos expertos en seguridad afirman que la seguridad total no existe, o hablamos de un problema que toda empresa puede sufrir a partir del momento en que, por la razón que sea, se convierte en un objetivo interesante?
Ante un problema de seguridad de este tipo, el cálculo de daños resulta enormemente complejo. La información sobre tarjetas de crédito es puesta rápidamente en circulación, comprada y vendida por innumerables partes, y lo más posible es que si un cliente recibe un cargo fraudulento, sea muy difícil trazar la responsabilidad para hacerla corresponder con ese robo de información. Lo mismo ocurre con las contraseñas: puedes – y debes – comprobar si las direcciones de correo que utilizas habitualmente para registrarte en páginas web han sido afectadas por alguna de las grandes operaciones recientes de robo de información (Adobe, Stratfor, Gawker, Yahoo!, Vodafone, Pixel Federation o Sony) en páginas que recopilan y consolidan la información de los sitios afectados como esta, pero eso no impedirá que algunos se dediquen a comprobar páginas consideradas “interesantes” para ver si utilizabas en ellas la misma contraseña, práctica que no por poco recomendable deja de resultar desgraciadamente muy habitual.
Mientras los directivos de las compañías intentan poner ese tipo de riesgos lo más alejados de sus responsabilidades que sea posible, lo habitual es, al menos en los Estados Unidos, donde la Federal Trade Commission (FTC) se ha convertido en muchos sentidos en el órgano regulador competente, que se imponga una multa por negligencia, multa que no solía ser protestada para evitar poner más énfasis en el tema. Más de cuarenta compañías han sido multadas por este concepto en los últimos años, pero recientemente, algunas han comenzado a desafiar dichas sanciones alegando no solo que las prácticas estándar están definidas de una manera muy vaga, sino que además, la FTC no tiene la autoridad correspondiente para determinar su cumplimiento.
Las prácticas a las que se refieren son las llamadas PCI-DSS, Payment Card Industry Data Security Standard, un conjunto de doce requisitos agrupados en seis categorías desarrollado por un comité conformado por las compañías de tarjetas más importantes, que parecen más una expresión de buenos deseos que algo que pueda realmente ser utilizado para determinar o exigir responsabilidad alguna. Las normas se refieren únicamente a la información de tarjetas crédito y débito, y su validación es llevada a cabo por auditores autorizados, salvo en compañías que procesan menos de 80.000 transacciones por año, que pueden llevar a cabo una auto-evaluación. Pero los estándares PCI-DSS están en crisis, tanto por su escaso rigor en las definiciones (¿qué significa exactamente “desarrollar y mantener sistemas y aplicaciones seguras”? ¿Cómo de seguras? ¿Quién determina qué es suficientemente seguro y qué no lo es? ) como por el hecho de estar formuladas de manera tan amplia para que puedan ser utilizadas por las compañías de tarjetas para eludir su responsabilidad.
En la práctica, resulta muy difícil determinar tanto responsabilidades como daños. Lo habitual, incluso en el caso de que la información de un cliente sea utilizada para procesar transacciones fraudulentas, es que los daños financieros no sean asumidos por ese cliente, sino por alguna de las partes implicadas en la transacción, típicamente el vendedor. Las demandas colectivas suelen terminar con pequeñas victorias simbólicas en las que las compañías aceptan indemnizar a los demandantes con pequeñas cantidades, pero esa cuestión no incluye posibles daños derivados de robos de identidad, suplantaciones en páginas y servicios web, y otras cuestiones relacionadas cuyo origen sería, además, muy difícil de trazar. En el caso de Target, ¿cuánta responsabilidad debe recaer sobre la compañía? ¿Tienen algún sentido los masivos descuentos ofrecidos por la compañía para intentar congraciarse con sus clientes?
En muchos sentidos, la circulación de la información a través de redes de datos está sometida únicamente a una gran verdad: dado el interés suficiente, todo sistema es vulnerable. Esto deja a las compañías en una situación paradójica ante una intrusión en sus sistemas: tener que demostrar que sus prácticas de seguridad eran “suficientemente buenas” como para superar una serie de estándares definidos de manera completamente laxa y abierta, y que lo ocurrido en su caso podía, básicamente, haberle sucedido a cualquiera. Además de ser buenos, esforzarse, como la mujer cel César, en parecerlo.
Mientras, lo que nos toca como usuarios es tratar de minimizar el impacto de este tipo de ataques. Utilizar contraseñas robustas y no repetirlas a lo largo de diferentes sitios es un consejo obvio, pero en la práctica no exento de dificultad a medida que usamos más y más servicios y que intentamos que nuestras contraseñas sean más y más seguras. Utilizar un gestor de contraseñas no es una mala solución y resulta recomendable, pero viene a costa de asumir algunos compromisos en la usabilidad. Para las empresas, aparte del evidente consejo de tratar de hacer las cosas lo mejor posible, equivalente a un “niño, sé bueno”… muy poco más que añadir.
.png "English"){kind=small}
