Los datos de su empresa están a la venta en la Dark Web. ¿Debería volver a comprarlo?

Durante el monitoreo de rutina, es posible que encuentre información privada de la empresa en la dark web. Entonces, ¿debería intentar volver a comprarlo? La respuesta breve es que, en la mayoría de los casos, los riesgos legales y de reputación superan con creces los beneficios de comprar la información. He aquí un análisis más detallado de ocho de esos riesgos.

••• Un día recibí una llamada de Sarah*, la abogada interna de una gran institución financiera. «Nuestro equipo [de seguridad de la información] estaba realizando una búsqueda rutinaria y encontró una lista de las contraseñas de nuestros empleados a la venta en la dark web», me dijo. «La gente de negocios quiere volver a comprarlo. ¿Qué debemos hacer? ¿Deberíamos comprarlo nosotros mismos? ¿Hay algún inconveniente?» Recibo llamadas así con frecuencia y la respuesta breve es que, en la mayoría de los casos, los riesgos legales y de reputación superan con creces los beneficios de comprar la información. Los ciberdelincuentes utilizan con frecuencia la dark web, un centro de actividades delictivas e ilícitas, para vender datos de empresas a las que han obtenido acceso no autorizado mediante ataques de relleno de credenciales, ataques de suplantación de identidad, hackeo o incluso filtraciones de información privilegiada de la empresa. Los riesgos legales y de reputación incluyen: ## **Hace subir el precio de los datos de su empresa y le pone un objetivo en la espalda.** Si compra los datos de su empresa, no solo podría encarecer los datos en sí, sino que también se arriesga a ganarse una reputación como empresa que paga, lo que lo convierte en un objetivo aún más atractivo para futuros ciberextorsión y ataques de rescate. Incluso si los ciberdelincuentes no saben que su empresa es la compradora, seguirán viendo que los datos se venden. Si saben que su empresa es la compradora, puede que lo publiquen en sus propios círculos, lo que pondrá a su empresa en mayor riesgo para su reputación. ## **Usted no** sabe **lo que obtiene con o en esos datos.** Comprar datos de la dark web es intrínsecamente arriesgado, ya que siempre se los compra a personajes poco confiables, ya sean actores de amenazas o alguien que los ha comprado ilícitamente a los piratas informáticos. Los datos pueden contener un código malicioso o contener un troyano que podría proporcionar a los ciberdelincuentes acceso no autorizado a los sistemas de la empresa. ## **Los datos pueden ser confidenciales o** propietario **información de otras empresas**. Es posible que los vendedores ofrezcan los datos de su empresa en combinación con datos de otras fuentes, incluidos sus competidores o socios comerciales. No lo sabrá hasta que sea demasiado tarde. Los propietarios de esos datos podrían entonces afirmar que su empresa ha infringido los acuerdos de confidencialidad u otras leyes (apropiación indebida de secretos comerciales o, lo que es peor, recepción de bienes robados). ## **Su compra podría** gatillo **obligaciones de notificación y aumento del riesgo reglamentario.** La compra de los datos podría proporcionarle pruebas de que sus datos han sido filtrados, lo que generaría la obligación de informar a los consumidores y a los reguladores, lo que lo expondría al riesgo de litigios y acciones coercitivas. En el mejor de los casos, se encuentra en la difícil posición de determinar si se activan las notificaciones reglamentarias o de aprovechar el riesgo de que un regulador afirme más adelante que debería haber sido notificada. ## **Su compra** podría **incluso infringir las sanciones estadounidenses.** Como es difícil garantizar la identidad del vendedor, la compra de los datos puede hacer que su empresa se exponga a la responsabilidad por infringir las normas del Departamento del Tesoro si los actores de la amenaza están asociados a los países sancionados. La Oficina de Control de Activos Extranjeros («OFAC») del Departamento del Tesoro de los Estados Unidos interpone medidas coercitivas contra las empresas que realizan pagos a actores de amenazas cuando esos pagos constituyen infracciones de las sanciones estadounidenses. ## **Incluso si utiliza un** tercero **comprador, es posible que su empresa siga expuesta.** Un servicio de terceros tendrá acceso entonces a los datos de los clientes, proveedores y empleados de su empresa, lo que supondrá un riesgo adicional para esos datos. Y puede que siga siendo responsable por la devolución del pago. ## **Puede ser demandado por personas cuya** datos **estuvo expuesto**. Puede que esté obligado legalmente a avisar a las personas de que ha encontrado sus datos en la dark web. Estas personas pueden acusar a su empresa de no proteger adecuadamente sus datos, tal vez injustamente suponiendo que la violación se produjo en los sistemas de la empresa o como resultado de una culpa de la empresa. Esto podría provocar la pérdida de negocios y posibles demandas. ## **Es posible que la información siga en el** oscuro **web.** Dado que se trata de ciberdelincuentes o sus asociados, no hay garantía de que la compra conduzca a una protección total de los datos. Es posible que el vendedor no tenga posesión ni control de todas las copias de sus datos robados y, por lo tanto, no pueda impedir que se sigan vendiendo o difundiendo. O puede que ellos mismos sigan vendiendo sus datos a otros. No es recomendable comprar datos que no estén relacionados con la actividad de su empresa en la web oscura por muchos de los mismos motivos explicados anteriormente. Su empresa se expondría al riesgo de recibir información robada o incluso secretos comerciales de la competencia, lo que crearía un riesgo tanto legal como de reputación. No hay ningún escenario en el que esto sea aconsejable. Reconocemos que pueden darse determinadas circunstancias en las que su empresa siga considerando la posibilidad de comprar información en la dark web. Estas compras deben ser muy raras y hacerse con mucho cuidado. En estas circunstancias, también se debe realizar un análisis de la OFAC para reducir el riesgo de que compre datos de un país o una persona sancionados.