¿Quién responde por la información filtrada por hackers?

En los últimos días hemos sido informados acerca de un ataque cibernético a IFX Networks, empresa que a su vez es prestadora de tecnología a más de 30 entidades del Estado, incluida la Rama Judicial y algunas superintendencias.

Por lo anterior, algunos de los servicios informáticos de tales autoridades dejaron de operar y fue necesario suspender algunos términos en sus actuaciones administrativas y judiciales. Igualmente, los medios de comunicación han afirmado que se está exigiendo un rescate millonario por la información que ha sido capturada por los hackers.

No obstante, quizá ha pasado inadvertido el problema más grave de esta vulnerabilidad identificada por los hackers y es que “datos críticos de sus clientes (de IFX Networks) fueron filtrados”. Para ser claros, lo que dicen los hackers es que datos críticos de las superintendencias, de la Rama Judicial y de las demás entidades, han sido filtrados.

En vista de lo anterior, resulta fundamental preguntarse: ¿qué información poseen las entidades afectadas?

Las superintendencias afectadas como consecuencia de requerimientos de información, durante años han recolectado información confidencial y sensible de sus vigilados; en el marco de visitas administrativas han copiado integralmente la información de computadores, de teléfonos móviles, o de la nube empresarial, y todos estos contienen información confidencial de las empresas, información personal y en algunos casos sensible de los funcionarios, datos personales, información protegida con secreto profesional de abogado, etc.

Delicado panorama

Como si esto fuera poco, las superintendencias afectadas también poseen información financiera, personal y sensible de los accionistas, beneficiarios reales y representantes de sus vigiladas.

¿Cabe entonces en estos momentos preguntarse si es esta la información que ha sido hackeada, o qué pasaría si la misma es hackeada? ¿Será que ya está en la Dark Web toda o parte de la información que empresas le han entregado a las superintendencias?

Y surge una pregunta aún más crítica: ¿quién le va a responder a todas estas empresas y personas por los perjuicios que se causen en caso de que se haga pública su información confidencial y sensible?

Si fuera un privado el hackeado, con toda seguridad la Superintendencia de Industria y Comercio-SIC (como lo ha hecho en casos anteriores) ya lo habría requerido para que le dé explicaciones, y estaría ad portas de formularle cargos.

¿Qué va a hacer ahora la SIC cuando su propia información está expuesta? ¿Y qué va a hacer respecto de las demás entidades?

Es evidente que es una responsabilidad muy seria para las entidades y sus funcionarios seguir recogiendo y exigiendo (incluso bajo amenazas de multas) la entrega de información comercial confidencial y sensible, pues adquieren el deber correlativo de custodia y aseguramiento de dicha información, por lo cual en el ejercicio de las funciones de vigilancia y control deberían reflexionar sobre lo siguiente:

- Se debería replantear el ejercicio, en muchos casos indiscriminado, de recolección de información en visitas administrativas, y en requerimientos de información, para delimitar su alcance y contenido.

- Deberían revisar si para los diferentes trámites y procedimientos que se deben cursar ante ellas, efectivamente se requiere toda la información que actualmente exigen.

- Se deberían establecer políticas especiales de almacenamiento y destrucción periódica de la información de privados en poder de entidades del estado.