Madrid. Una escuela de negocios de reconocido prestigio invita a un grupo reducido de directivos a una charla sobre tecnología y su uso en las empresas. El objetivo, asesorarlos sobre cómo utilizarla de forma correcta tras la crisis del coronavirus. Entre los asistentes se encuentran compañías del Ibex 35, tecnológicas y grandes consultoras. Todos son altos cargos. Ni un solo mando intermedio. En mitad de la sesión, un invitado no deseado entra y, ante la estupefacción de los allí presentes, accede a toda la información sensible relacionada con sus actividades profesionales, además de otros datos personales como sus nombres y apellidos, cargos y correos electrónicos. Acto seguido toma el control de la cámara y micrófono, y comienza a exhibir una serie de imágenes de dudoso gusto acompañadas de una magistral música de Black Sabbath. El encargado de liderar la presentación carraspea, atónito, y propicia una serie de disculpas ininteligibles mientras trata de recuperar el control de la charla y se pregunta qué ha podido salir mal.
Pocos días después, un grupo de cibercriminales hace público en un blog de la dark web que ha robado 800 GB de información privada de Adif. La empresa pública tarda más de la cuenta en reconocer el ataque y ofrecer explicaciones, por lo que varios medios de comunicación publican la información y los cibercriminales parte del material robado.
En muchos casos, detrás de un ciberataque se esconde una falta de preparación o gestión de la comunicación por parte de una compañía. Desde EC Brands, la agencia de comunicación de El Confidencial, continuamos con el mapa de los riesgos que amenazarán al tejido empresarial español durante este 2020. Tras mostrar los del sector de la salud y bancario, estos son los próximos que ya se atisban relacionados con la tecnología.
Incremento de los ciberataques
Según Mimecast, el número de ciberataques se incrementó un 33% solo entre enero y finales de marzo de 2020. En ese mismo periodo de tiempo se detectaron 60.000 nuevas webs fraudulentas e IBM observó un aumento del spam, que se disparó un 6.000%, además de cuentas falsas en redes sociales, apps para móviles maliciosas (como Coronavirus Finder), troyanos bancarios (Ginp) e incluso suplantaciones de organismos públicos como el del Ministerio de Sanidad o la Generalitat.
“Los empleados de muchas empresas que trabajan desde sus casas carecen de equipos y protocolos seguros”
Todos ellos compartían un mismo denominador común: el covid-19. Fenómeno que también ha puesto de manifiesto el informe ‘Exploiting a crisis: How cybercriminals behaved during the outbreak’, de Microsoft, y que según el ‘Threat Landscape Report’ de S21sec, ya se ha cobrado algunas víctimas como Easyjet, la cadena de hoteles Marriot, T-Mobile o Enel, entre otras.
Preguntamos por estas cifras al Instituto Nacional de Ciberseguridad (Incibe), pero todavía manejan números de 2019, por lo que no nos pueden dar datos de España. Lo que sí nos corroboran es que actualmente los ciberdelincuentes están haciendo su agosto con la pandemia y que hay un colectivo especialmente vulnerable: las pymes.
«La mayoría de ellas no está preparada. Se han visto forzadas a adoptar políticas de teletrabajo en un corto espacio de tiempo, con los numerosos desafíos que esto supone en cuanto a la ciberseguridad se refiere. El principal problema al que se enfrentan es que los empleados que trabajan desde sus casas carecen de equipos y protocolos seguros”. El que nos habla es Marco Lozano, ingeniero de software y responsable de Servicios de Ciberseguridad para Empresas de Incibe. Las pymes que han acudido a sus cursos de formación en seguridad informática y que ya suponen una muestra de más de 3.000, a día de hoy están en las antípodas de lo que se puede entender por un entorno laboral seguro (trabajan desde casa con routers con la contraseña de fábrica -o sin ella-; carecen de antivirus o emplean sistemas operativos obsoletos y programas no autorizados que pueden permitir a terceros acceder a su información personal).
El 76% de las organizaciones carece de un plan de respuesta a incidentes de seguridad informática
Por descontado, tampoco cuentan con un plan director de seguridad. Algo que parece ser una tendencia no solo dentro de nuestras fronteras. Según un informe de IBM, el 76% de las organizaciones carece de un plan de respuesta a incidentes de seguridad informática (CSIRP en sus siglas en inglés). «Enviar un mail cada año a tus empleados con medidas de concienciación no sirve de mucho. Hay que llevar a cabo acciones concretas y simulaciones periódicas para que estén preparados”, expele Lozano desde el otro lado de la línea de teléfono.
“La pregunta no es si me van a atacar, sino cuándo lo van a hacer”, asegura David Marugán en El Enemigo Anónimo. En un mundo en que los ciberataques son inevitables, la clave está en protegerse y tomar el control de la comunicación para evitar posibles crisis reputacionales. Ser capaces de detectar vulnerabilidades de forma temprana y tomar medidas para eliminar o minimizar los posibles efectos, emplear los equipos adecuados, llevar a cabo políticas para evitar cualquier pérdida de información y garantizar la continuidad del negocio, contar con un plan de respuesta a incidentes de seguridad informática o incluso con un comité de crisis que pueda organizarse y tomar decisiones con celeridad son algunas de las medidas, en definitiva, que tienen que tomar las empresas para reducir un posible impacto sobre su negocio. Un riesgo reputacional al que se enfrentan cada día que pasa si no lo hacen.
Caída de confianza
Según el Trust Barometer 2020 de Edelman, la confianza en el sector tecnológico está cayendo una media de cuatro puntos al año. Según Sanjay Nair, presidente de Tecnología de Edelman, «la disminución de la confianza refleja que las empresas de tecnología no están preparando adecuadamente a la sociedad para el impacto de sus innovaciones”.
No es el único que lo piensa. El 61% de los encuestados cree que el ritmo de la tecnología es demasiado rápido y que sus respectivos gobiernos no entienden lo suficiente como para regularla de forma efectiva. Por otra parte, también está aumentando la desconfianza en innovaciones como la Inteligencia Artificial (IA), con el 53% de los empleados preocupados por la pérdida de sus empleos debido a la automatización.
“Tras el coronavirus vendrá otra oleada de automatización que afectará a otros sectores como el hotelero o el transporte”
Para Andrés Ortega Klein, director del Observatorio de las Ideas e Investigador Senior Asociado del Real Instituto Elcano además de autor del libro ‘La imparable marcha de los robots’: «Ya existió una oleada de automatización entre 2008 y 2014 que impactó en distintos sectores provocando la pérdida de empleos. Tras el coronavirus vendrá otra que afectará a otros como el hotelero y el transporte. Lo que hay que hacer es aprender a vivir con la tecnología. Para eso se necesita una mayor regulación y cuidar los aspectos éticos y filosóficos».
Los principios éticos que han de regir la tecnología llevan tiempo siendo objeto de debate por parte de las distintas culturas, organizaciones y empresas. Detrás hay una carrera geopolítica. ¿Existe un consenso? En absoluto. A principios de 2019 ya había casi 90 propuestas en el G20 en relación a la IA. Detrás de esta nube de ideas hay también una cuestión de influencia y de poder, que irá a más según Andrés Ortega Klein.
Según un informe de la consultora Capgemini, el 86% de los directivos de varios países (entre los que se encuentran EEUU, Reino Unido, Francia, Alemania o China) admite haber observado prácticas éticamente cuestionables en relación a la IA en sus empresas en los últimos dos o tres años. Una encuesta del State of IA refleja que el 70% de los directivos se inclina a favor de la creación de un comité ético. Un ejemplo sobre esto son las iniciativas que han tomado tecnológicas como Google o Microsoft al adoptar unos principios éticos sobre el uso de la IA. Pero, ¿qué principios éticos deben seguir las empresas?
El 86% de los directivos admite haber observado prácticas éticamente cuestionables en relación a la IA en sus empresas en los últimos dos o tres años
Si hay alguien que sabe de ética y tecnología ese es Emilio Suñé Llinás, Catedrático de Filosofía del Derecho en la UCM y autor del libro ‘Derecho e Inteligencia Artificial. De la robótica a lo posthumano’. «El problema no es la tecnología, es el ser humano. ¿Cómo determinamos los principios a partir de los cuales regirnos para discernir si algo es o no ético? Dependerá del punto de referencia. Los valores se establecen desde potencias de la psique humana tan profundas que no es posible establecer una ética universal e incontrovertible al gusto de todos». Precisamente por eso, porque se originan en valores o, como diría Hume, sentimientos humanos.
Philippa Foot ideó en una ocasión un experimento ético conocido como el dilema del tranvía. «Un tranvía marcha fuera de control por una vía. En su camino se hallan cinco personas que se encuentran atadas. Afortunadamente es posible accionar una palanca que dirigirá al tranvía por otra vía diferente pero, por desgracia, hay otra persona en las mismas condiciones. ¿Debería accionarse?» La mayoría de los encuestados no dudó en decir que lo haría, siguiendo distintos criterios como el de la ética utilitarista o incluso kantiana. Sin embargo, si la opción de detener el tren consistiera en tirar desde un puente a un hombre a la vía, casi nadie lo haría a pesar de que el número de personas sacrificadas en ambos casos es el mismo. ¿Por qué? «Porque entran en juego los sentimientos de Hume», concluye el filósofo.
La Comisión Europea ha publicado recientemente un informe sobre la IA y la ética marcando una serie de directrices a seguir por las empresas. Se trata, en definitiva, de conjugar un correcto cumplimiento normativo con la búsqueda de maneras de actuar más humanas. Los avances tecnológicos encarnan una muestra de lo que podría ser un deseable futuro próximo, pero también se presentan como una amenaza que requiere una revisión de nuestros planteamientos éticos. Será clave, por tanto, que las entidades actúen con transparencia para generar confianza y reducir la incertidumbre. En cualquier caso, la ética no está conformada por principios permanentes, sino que ha ido cambiando a lo largo de diversas culturas y tiempos. Las marcas deben saber que no hay soluciones eternas porque el mundo está en constante cambio.
“Los valores se establecen desde potencias de la psique humana tan profundas que no es posible establecer una ética universal al gusto de todos”
El dilema de la privacidad
El nuevo mundo al que nos lleva el covid-19 ha abierto el debate sobre las posibles ventajas e inconvenientes existentes entre garantizar la protección de la esfera privada (uso y privacidad de los datos personales) y la necesidad de consolidar sistemas de vigilancia digital (control y monitorización permanente de todos los comportamientos de la población). La implementación en países como China o Corea del Sur de apps móviles que utilizan la geolocalización de las personas para controlar la propagación y evitar rebrotes, genera una dicotomía entre la salud pública y el derecho a la privacidad de los datos personales. ¿Hasta dónde alcanza la primera y nace la segunda?
La privacidad es otro de los puntos que más preocupa a los usuarios este 2020. Según un estudio de Ipsos, un 48% cree que el uso de la IA por parte de las compañías debería estar más regulado. Sin embargo, para las empresas y organizaciones esta tendencia a día de hoy no es prioritaria. Según el informe Approaching The Future 2020 solo un 22% de los directivos afirma estar trabajando en la gestión de la privacidad de datos.
Un 48% de los encuestados cree que el uso de la IA por parte de las compañías debería estar más regulado
Emilio Castresana (nombre ficticio) nos recibe en una cadena de cafés cercana al edificio donde trabaja para una de sobra conocida firma como abogado especializado en Compliance. Lleva puesto un traje de color gris oscuro a medida con una camisa azul oxford y una corbata a juego que no para de ajustarse, incómodo. Antes de empezar a hablar, ya sabemos que quiere acabar cuanto antes. La mayoría de empresas no tiene en cuenta la protección de datos porque limita su capacidad de creación de nuevo negocio. Es decir, de ingresos. Me encuentro a diario con contratos firmados con proveedores que no cumplen con la protección de datos. En estos casos alertamos de que se está incumpliendo la normativa y que nos estamos arriesgando a cuantiosas multas”.
Por otra parte y según un informe realizado por Osano, las marcas con malas prácticas en privacidad tienen un 80% más de probabilidades de sufrir un cibertataque. Para cumplir con la normativa, según Pablo Fernández Burgueño, abogado of counsel de PwC Tax & Legal Services, “las empresas deberán hacer una foto del flujo de datos que canalizan a diario con el propósito de analizar su origen, trayecto y destino; y establecer por escrito las medidas de seguridad e informativas que mantendrá desplegadas y actualizadas a lo largo de su vida”.
