¿De quién es la responsabilidad ante un fallo de seguridad?

IMAGE: Vlad Kochelaevskiy - 123RFEl reciente incidente de seguridad en Target – información de más de cuarenta millones de tarjetas de crédito y débito utilizadas en sus tiendas físicas – ha vuelto a centrar el debate en un asunto que se repite cíclicamente con cada caso similar: a quién corresponde la responsabilidad ante un robo de información.

Este caso resulta, si cabe, más paradigmático por tratarse de un robo que afecta a tarjetas de crédito utilizadas en el mundo físico, no en una página web (las operaciones en las tiendas online de Target no resultaron afectadas): todas las empresas, en la red o fuera de ella, son susceptibles de sufrir este tipo de intrusiones. Pero el problema, en cualquier caso, es cómo asignar la correspondiente responsabilidad ante un evento de este tipo. Ninguna empresa desea ser atacada, pero ¿hasta qué punto debe ser considerada responsable de ello? ¿Resulta de verdad posible evitarlo, cuando los mismos expertos en seguridad afirman que la seguridad total no existe, o hablamos de un problema que toda empresa puede sufrir a partir del momento en que, por la razón que sea, se convierte en un objetivo interesante?

Ante un problema de seguridad de este tipo, el cálculo de daños resulta enormemente complejo. La información sobre tarjetas de crédito es puesta rápidamente en circulación, comprada y vendida por innumerables partes, y lo más posible es que si un cliente recibe un cargo fraudulento, sea muy difícil trazar la responsabilidad para hacerla corresponder con ese robo de información. Lo mismo ocurre con las contraseñas: puedes – y debes – comprobar si las direcciones de correo que utilizas habitualmente para registrarte en páginas web han sido afectadas por alguna de las grandes operaciones recientes de robo de información (Adobe, Stratfor, Gawker, Yahoo!, Vodafone, Pixel Federation o Sony) en páginas que recopilan y consolidan la información de los sitios afectados como esta, pero eso no impedirá que algunos se dediquen a comprobar páginas consideradas «interesantes» para ver si utilizabas en ellas la misma contraseña, práctica que no por poco recomendable deja de resultar desgraciadamente muy habitual.

Mientras los directivos de las compañías intentan poner ese tipo de riesgos lo más alejados de sus responsabilidades que sea posible, lo habitual es, al menos en los Estados Unidos, donde la Federal Trade Commission (FTC) se ha convertido en muchos sentidos en el órgano regulador competente, que se imponga una multa por negligencia, multa que no solía ser protestada para evitar poner más énfasis en el tema. Más de cuarenta compañías han sido multadas por este concepto en los últimos años, pero recientemente, algunas han comenzado a desafiar dichas sanciones alegando no solo que las prácticas estándar están definidas de una manera muy vaga, sino que además, la FTC no tiene la autoridad correspondiente para determinar su cumplimiento.

Las prácticas a las que se refieren son las llamadas PCI-DSS, Payment Card Industry Data Security Standard, un conjunto de doce requisitos agrupados en seis categorías desarrollado por un comité conformado por las compañías de tarjetas más importantes, que parecen más una expresión de buenos deseos que algo que pueda realmente ser utilizado para determinar o exigir responsabilidad alguna. Las normas se refieren únicamente a la información de tarjetas crédito y débito, y su validación es llevada a cabo por auditores autorizados, salvo en compañías que procesan menos de 80.000 transacciones por año, que pueden llevar a cabo una auto-evaluación. Pero los estándares PCI-DSS están en crisis, tanto por su escaso rigor en las definiciones (¿qué significa exactamente «desarrollar y mantener sistemas y aplicaciones seguras»? ¿Cómo de seguras? ¿Quién determina qué es suficientemente seguro y qué no lo es? ) como por el hecho de estar formuladas de manera tan amplia para que puedan ser utilizadas por las compañías de tarjetas para eludir su responsabilidad.

En la práctica, resulta muy difícil determinar tanto responsabilidades como daños. Lo habitual, incluso en el caso de que la información de un cliente sea utilizada para procesar transacciones fraudulentas, es que los daños financieros no sean asumidos por ese cliente, sino por alguna de las partes implicadas en la transacción, típicamente el vendedor. Las demandas colectivas suelen terminar con pequeñas victorias simbólicas en las que las compañías aceptan indemnizar a los demandantes con pequeñas cantidades, pero esa cuestión no incluye posibles daños derivados de robos de identidad, suplantaciones en páginas y servicios web, y otras cuestiones relacionadas cuyo origen sería, además, muy difícil de trazar. En el caso de Target, ¿cuánta responsabilidad debe recaer sobre la compañía? ¿Tienen algún sentido los masivos descuentos ofrecidos por la compañía para intentar congraciarse con sus clientes?

En muchos sentidos, la circulación de la información a través de redes de datos está sometida únicamente a una gran verdad: dado el interés suficiente, todo sistema es vulnerable. Esto deja a las compañías en una situación paradójica ante una intrusión en sus sistemas: tener que demostrar que sus prácticas de seguridad eran «suficientemente buenas» como para superar una serie de estándares definidos de manera completamente laxa y abierta, y que lo ocurrido en su caso podía, básicamente, haberle sucedido a cualquiera. Además de ser buenos, esforzarse, como la mujer cel César, en parecerlo.

Mientras, lo que nos toca como usuarios es tratar de minimizar el impacto de este tipo de ataques. Utilizar contraseñas robustas y no repetirlas a lo largo de diferentes sitios es un consejo obvio, pero en la práctica no exento de dificultad a medida que usamos más y más servicios y que intentamos que nuestras contraseñas sean más y más seguras. Utilizar un gestor de contraseñas no es una mala solución y resulta recomendable, pero viene a costa de asumir algunos compromisos en la usabilidad. Para las empresas, aparte del evidente consejo de tratar de hacer las cosas lo mejor posible, equivalente a un «niño, sé bueno»… muy poco más que añadir.

 

(This post is also available in English in my Medium page, “Who takes responsibility for security breaches?»)

12 comentarios

  • #001
    Carlos (econ) - 26 diciembre 2013 - 17:32

    La culpa es de VISA y MASTERCARD, que son los dueños del sistema.

    Pero en mi opinión no hay ninguna culpa: un sistema menos seguro, basado en la confianza, es un sistema eficiente y productivo, pues tiene menores costes de mantenimiento.

    Como dirían en «El Club de la lucha»: Si el total de gastos que tienen los fraudes es inferior al gasto de implementar un sistema mas seguro: no se implementa el sistema.

    La cuestión es que esa formula identifica como «gastos» aquellos que tiene que desembolsar la empresa, y no el «gasto social», es decir, el gasto de la empresa mas el gasto que supone a los estafados y demás afectados.

    Yo mismo he sido victima de fraude por una tarjeta que ni sabia que existía, era del BANCO POPULAR, fraude que no hubiera ocurrido con ING-DIRECT.

    Si el Banco Popular me hubiera pagado intereses y los gastos de tener que poner DOS denuncias y mandarles 20 emails con la documentación, seguramente se plantearían implementar las medidas de seguridad que tiene ING-DIRECT.

    Mientras quien la haga no la paga, lejos de evitar los problemas, tropezaremos una y otra vez con la misma piedra.

    Productividad no solo es hacer las cosas mejor, sino ver donde se pueden mejorar. «La primera regla para evitar una trampa es conocer su existencia» DUNE.

    MORALEJA: QUIENES TENEMOS UNA TARJETA DE CRÉDITO O DÉBITO DEBEMOS COMPROBAR PERIODICAMENTE LOS MOVIMIENTOS DE NUESTRA CUENTA.

    En caso de fraude, se denuncia, y tras unos 3 meses abonan lo robado.

    Mientras tanto 3000 millones de € para el Banco Popular… ¿Así vamos a salir de la crisis? ¿Premiando a los mediocres?

  • #002
    Gorki - 26 diciembre 2013 - 18:13

    Algo que me ha preocupado trabajando y que me sigue preocupando ahora que estoy jubilado, pues mis programas siguen funcionado, es la responsabilidad que podía tener en el caso de fallo catastrófico de algo en lo que participase, por la imposibilidad de poder garantizar el funcionamiento de algo, por más pruebas que hagas. Solo puedes garantizar que funcionó, en las pruebas que hiciste y hacer un juego de pruebas mas amplio, pero nunca dar algo a prueba de errores por más que lo pretendas.

    Mas difícil aun es buscar vulnerabilidades que otros puedan descubrir y utilizar para apoderarse de información como es este caso. ¿Quien lo puede garantizar, o que pruebas se pueden hacer para segurar qur una aplicaci-on está a cubierto de vulnerabilidades.

    Nos guste o no. tenemos que vivir con ese margen de incertidumbre, que podremos reducir con mucho coste adicional pero que nunca eliminar. Lo cual es terrible pensando que cada vez dejamos bajo control digital, los sistemas más delicados y complejos de nuestra sociedad, Sistemas de reparto de energía en redes eléctricas, (que han creado apagones inmensos), sistema de control de centrales nuclears (Chernobil), sistemas de pilotaje de aviones y trenes, etc.

    No creo que aumentar la responsabilizar de las personas involucradas en los fallos sea la solución, pues con ello aumentaremos exponencialmente los costes, sin mejorar sensiblemente la seguridad. Sinceramente no se cual es la solución, como tampoco existe en sistemas y dispositivos que para nada utilizan la informática. Catástrofes se han producido siempre, sin que se hayan podido evitar, rotura de presas, hundimientos de barcos, explosiones en minas, incendios en rascacielos, intoxicaciones masivas, etc.

  • #003
    Antonio Castro - 26 diciembre 2013 - 19:42

    Una cosa que me llama la atención es el simplismo cuando hablamos de responsabilidades y culpabilidades. Rara vez la responsabilidad es al 100% de una de las partes implicadas. Suele haber responsabilidades y culpabilidades compartidas y su delimitación en cuotas perfectamente definidas nunca es un asunto trivial.

    En el caso de los problemas de la seguridad de las tarjetas de crédito nos encontramos ante un escenario donde la opacidad de la información relativa a las estrategias que garantizan la calidad del servicio dejan a una de las partes en desventaja. Me refiero a que el usuario no tiene forma de poder estimar como de bueno es dicho servicio que le están ofreciendo.

    Por otra parte, la posibilidad de malos usos del servicio por parte de los usuarios debería estar bastante controlada.

    Por todo lo que acabo de mencionar, creo que la responsabilidad mayor siempre será de las entidades financieras. Son los que tienen todo el control sobre la calidad del servicio.

    Por otra parte hay que reconocer que incluso haciéndolo casi todo bien, el resultado final es que les pueden colar un elefante por el ojo de una aguja. La seguridad no es una ciencia exacta.

    La cuestión más importante para un usuario yo creo que es conocer cuales son exactamente las garantías que se ofrecen en el uso de estos servicios. Las entidades financieras no suelen ser muy claras en lo que respecta a estos temas.

  • #004
    VC2 - 26 diciembre 2013 - 21:14

    Sr. Dans

    Por favor, póngase en contacto con la industria fabricante de tarjetas y compruebe de primera mano si la PCI-DSS (o normativas de Visa, MasterCard, etc…), y sus auditorias son simplemente un compendio de buenos deseos.

    Los estándares de seguridad de esta industria (en la cual trabajo), son muy exigentes y en algún caso hasta se dan situaciones surrealistas. Nuestros procesos cada vez son mas complejos y requieren de mas y mas medidas. Lo que en otros sectores se puede hacer con una persona a nosotros se nos exige tener dos, y además, que estén siempre juntos en determinados procesos.
    Las auditorias cada vez son mas complejas, hace unos años se limitaban al entorno de la seguridad física y desde hace ya tiempo la seguridad lógica es el centro de atención de los auditores.
    Pregunte si Visa en Europa y USA tiene los mismos niveles de exigencia en sus auditorias (por no entrar en otros continentes).
    No le quepa duda que todas estas normas y buenas practicas están pensadas para que finalmente las marcas (Visa, MasterCard, etc…), o las entidades (Bancos, Cajas y demás), queden bien protegidas en caso de problemas.

    Un saludo

  • #005
    Gorki - 27 diciembre 2013 - 00:21

    #004 VC2
    No lo tomes como algo personal, yo he trabajado para bancos y para telefónica, y puedo decirte que en ambos sitios las normas de seguridad tanto físicas, como de errores de programación son muy elevadas, y no por ello dejan de darse periódicamente y tanto fallos de funcionamiento como caso de desfalcos en los bancos, aprovechando vulnerabilidades de programas, (aun que rara vez se publiquen) y en telefónica también se han producido errores de consecuencias graves en las facturaciones, pese a todas las medidas de seguridad que unos y otros tiene establecidas.

    Los programas más probados y verificados son los de la NASA, centrales nucleares, de elecciones y de aviónic y en los cuatro casos se han descubierto a posteriori fallos, en la NASA en el telescopio Hubble ( un cambio de + por un – en una fórmula que controlaba la pulidora de las lentes), Chernobil, no haber previsto que se hicieran pruebas para comprobar si la energía podía mantenerse durante un corte de la electricidad entrante hasta que el suministro de emergencia se iniciara), despues de las elecciones de Bush se comprobó que las máquinas contadores de votos, que habían pasado todas las pruebas imaginables por ambos partidos americanos, se podían trucar sin dificultad. En cuanto a avionica, en Madrid cayo un avión Eurofighter que aun estaba en pruebas de vuelo, al pararse los dos motores por un error de programación.

    Los informáticos hemos de reconocer aunque que nos pese, que no podemos dar seguridad al 100% de los productos que entregamos para su explotación, menos que estos estén libres de vulnerabilidades y aun menos y es lo mas frecuente, que las actuaciones maliciosas, sean provocadas, no por fallos en el software sino por manipulaciones inconsciente o malintencionada del personal destinado a su explotación y mantenimiento.

    A pesar de todo, sigo opinando que es es un riego inherente a las máquinas, e igual pasa con mecanismos mecánicos no digitales, por una vez que falle la ingente cantidad de software que lleva nuestro automóvil, habrá al menos 10 fallos imputables a la parte mecánica.

  • #006
    CMT - 27 diciembre 2013 - 12:37

    #004 y #005 Ambos tenéis razón. Las exigencias de seguridad para las entidades bancarias y financieras son cada vez más exhaustivas, tanto en las que las propias entidades se imponen como en las que los reguladores les hacen pasar. Lo mismo o parecido debería suceder con cualquier empresa, sea del sector que sea, que recopila datos personales de sus clientes.

    Como dice Antonio Castro, la culpa de que ciertos datos caigan en manos de terceros es tanto del que custodia esa información como del cliente que ha depositado su confianza en esa organización. El primero por no implementar o desarrollar suficientes y nuevas medidas de seguridad y el segundo por confiar de manera suicida en la infabilidad de esa empresa.

    Hace un tiempo y al hilo del fallo que tuvo Adobe recibí de Evernote el siguiente email:

    «Recientemente se han publicado informes (En) acerca de un fallo de seguridad de Adobe, lo cual puede haber expuesto información privada, incluyendo contraseñas, direcciones de correo electrónico y pistas de contraseñas de Adobe de millones de usuarios. La lista de cuentas de Adobe afectadas se ha subido a la web. Hemos comparado esta lista con las direcciones de correo electrónico de nuestros usuarios y hemos comprobado que la dirección de correo electrónico que utilizaste para registrarte en una cuenta de Evernote aparece en la lista de cuentas de Adobe expuestas.

    La aplicación de Evernote no se ha visto afectada y no tiene relación alguna con este incidente, pero si has utilizado la misma contraseña para Adobe y Evernote, deberías cambiar tu contraseña de Evernote ahora.»

    Nunca uso las mismas passwords para acceder a mis distintos servicios y ya conocía el fallo que tuvo Adobe por lo que ya había cambiado la password anteriormente pero aproveché y cambié la de Evernote. Los señores de Abobe podían haber tenido la deferencia de haberme informado personalmente de aquel problema y al igual que lo hizo Evernote, podían heberlo hecho todos los demás proveedores de servicios a los que estoy suscrito, que son unos cuantos…

    En definitiva, que somos los usuarios los que también tenemos que poner de nuestra parte para proteger nuestra integridad personal, profesional y financiera porque casi ninguna de estas empresas lo van a hacer por nosotros.

    Un saludo.

  • #007
    VC2 - 27 diciembre 2013 - 13:32

    #Gorki

    No me lo tomo a mal. Yo (nosotros), trabajamos para «ellos» (bancos y demás), y son los primeros que nos preguntan a cuento de que les exigimos esto o aquello.
    Los primeros errores a evitar son los humanos y no en el código, mas bien como comentáis el caso Chernobil que fue de otro estilo.

  • #008
    Pedro Torres Asdrubal - 27 diciembre 2013 - 14:26

    #003 Antonio, la aficion del betis no tiene la culpa de que se tiren botellas al campo… ¿O si?

    Desde que se catiga al club y la afición, cerrando el estadio, han dejado de tirar botellas.

    ¿Que mas da de quien es «la culpa»?
    Lo que interesa es ver donde está la productividad.

    Hace meses que ya no oigo el discurso de que los trabajadores son «malos» porque no son productivos. La productividad no depende del trabajador, sino de quien organiza la producción, el jefe, que es el que se lleva el merito cuando lo hace bien, y quien echa la culpa a los trabajadores cuando va mal.

  • #009
    Gorki - 27 diciembre 2013 - 14:54

    #007 VC2
    Es como todo muy discutible. Para mi, el error de Chernobil no fue error humano, sino informático. Quien programó el funcionamiento de la central, debió prever que ante cualquier situación anómala, como medida de precaución cortar el proceso de desintegración. A alguien se le escapó prever, que la situación anómala se produjera por órdenes equivocadas dadas desde la sala de control.

    El programa debe prever errores humanos, si alguien se confunde al poner por ejemplo un soporte no previsto, para hacer la copia de seguridad, debe abortare el proceso y evitar que la copia de seguridad machaque Dios sabe que datos,y manar un mensaje de error a la consola.

    Lo que ocurre es que, como su nombre indica, es muy difícil prever lo imprevisible y muchas veces se te escapan situaciones que por poco probables. das por imposibles, (hasta que suceden).

  • #010
    Felipe - 28 diciembre 2013 - 10:11

    Si pues mucho pensar en seguridad web pero veo que el CA de «loterías y apuestas del estado» sigue dando error en según que navegador, ¿con el dinero que gana el estado con la lotería, es que no puede hacer las cosas como Dios manda?

  • #011
    Alfonso - 1 enero 2014 - 11:32

    El caso de Target, robo de datos de tarjeta en tiendas físicas, es un ejemplo de lo atrasado que está EEUU en este sector y los riesgos que se corren pagando allí con nuestras tarjetas. Este problema simplemente no podría pasar en Europa donde las tarjetas ylos terminales hace tiempo que tienen tecnología EMV (chip). Nadie ha podido hasta el momento ‘robar los datos de una tarjeta chip’ y a pesar de que el comercio (en este caso Target) no cumpla con sus obligaciones de seguridad el mejor pirata simplemente no puede conseguir esos datos y utilizarlos.
    Por cierto, algo que quizá no sea muy conocido es que en España los ratios de fraude con tarjeta física están muy por debajo de la media europea y a un abismo de la media en EEUU. Al menos en esto somo punteros gracias a un trabajo muy bien realizado ya que casi la totalidad de las operaciones se realizan on-line.

  • #012
    Alfonso - 1 enero 2014 - 11:39

    Y respecto a de quien es la responsabilidad para mi es totalmente del comercio. El contrato del comercio con el banco le responsabiliza si no custodia los datos de tarjeta y se produce un robo de los mismos en sus equipos. Si no estás seguro de poder proteger estos datos no cobres con tarjeta o busca una solución (que las hay) en la que los datos de la tarjeta nunca pasan por los ordenadores del comercio.
    Es relativamente fácil demostrar que las tarjetas se han ‘comprometido’ en ese comercio, basta con ir identificando los fraudes por reclamaciones de clientes y luego rastrear hacia atrás en qué comercio han coincidido todas esas tarjetas. Donde se crucen todas ahí se han robado!

Dejar un Comentario

Los comentarios están cerrados