CUANDO PERDEMOS EL PODER SOBRE NUESTRO DINERO.
NOCIONES DE CIBERSEGURIDAD EN LA EMPRESA FAMILIAR [1]
WHEN WE LOSE POWER OVER OUR MONEY. NOTIONS OF CYBERSECURITY
IN THE FAMILY BUSINESS
Por Mar�a Raquel BURGUE�O (*)
RESUMEN: El presente trabajo tiene como objetivo generar conciencia dentro de las empresas familiares sobre las vulnerabilidades, amenazas y exploits que se observan en el ecosistema de las comunicaciones electr�nicas y particularmente en el patrimonio digital que tanto pymes como empresas familiares han venido construyendo desde el surgimiento de las Tecnolog�as de la Informaci�n y la Comunicaci�n (TIC). As� como en el plano anal�gico las pymes y empresas familiares han sabido resguardar celosamente secretos industriales, f�rmulas de elaboraci�n de productos y modelos de gesti�n de procesos, en el universo digital es preciso afianzar conductas relativas a los Sistemas de Gesti�n de la Seguridad de la Informaci�n, aprendiendo a desarrollar Pol�ticas de Seguridad de la misma, sensibilizar a directivos, empleados, proveedores y clientes consumidores y fortalecer los aspectos t�cnicos con herramientas espec�ficas de ciberseguridad. El da�o reputacional por exfiltraci�n de sus bases de datos -con la consecuente p�rdida de informaci�n y datos personales de clientes y consumidores- ser� otra de las nuevas tem�ticas a abordar en los tiempos venideros, m�xime frente a la realidad imperante en la que el cibercrimen se erige en la actualidad como la tercera econom�a a nivel global.� ��
PALABRAS CLAVES: Ciberseguridad. Patrimonio digital. Pymes. Empresas Familiares. Sistemas de Gesti�n de Seguridad de la Informaci�n (SGSI). Concientizaci�n. Protecci�n de Datos Personales. Exfiltraci�n de datos. Ciberataque. Amenazas. Vulnerabilidades. Confidencialidad. Integridad. Disponibilidad de la Informaci�n. Educaci�n Digital. Tecnolog�as de la Informaci�n y la Comunicaci�n (TIC).��
ABSTRACT: The objective of this work is to raise awareness within family businesses about the vulnerabilities, threats, and exploits observed in the electronic communications ecosystem, particularly in the digital heritage that both SMEs and family businesses have been building since the emergence of Information and Communication Technologies (ICT). Just as in the analog world, SMEs and family businesses have carefully guarded industrial secrets, product formulation recipes, and process management models, in the digital universe, it is necessary to strengthen behaviors related to Information Security Management Systems (ISMS), learning to develop Security Policies, raising awareness among executives, employees, suppliers, and consumer clients, and strengthening technical aspects with specific cybersecurity tools. Reputational damage due to the exfiltration of their databases�with the consequent loss of information and personal data of clients and consumers�will be another new topic to address in the coming times, especially given the current reality in which cybercrime is currently the third-largest economy globally.
KEY WORDS: Cybersecurity. Digital heritage. SMEs. Family businesses. Information Security Management Systems (ISMS). Awareness. Personal Data Protection. Data exfiltration. Cyberattack. Threats. Vulnerabilities. Confidentiality. Integrity. Information Availability. Digital Education. Information and Communication Technologies (ICT).
Art�culo publicado bajo Licencia Creative Commons Atribuci�n-No Comercial-Sin Derivar.
� Universidad Cat�lica de C�rdoba
DOI http://dx.doi.org/10.22529/rbia.2024(5)04
I. INTRODUCCI�N
Sabemos que las tecnolog�as atraviesan de manera disruptiva todos los �mbitos de trabajo en las organizaciones y la empresa familiar no resulta ajena a ello.
�Muchas empresas, incluso las familiares, se ven desbordadas por el fen�meno tecnol�gico que est� imponiendo un cambio cultural y paradigm�tico en sus econom�as, procesos productivos y comercializaci�n.
�El uso cotidiano de herramientas digitales nos advierte la existencia de importantes contingencias, algunas de ellas vinculadas al uso descuidado e irresponsable de las tecnolog�as que pueden dar lugar a severas falencias en el resguardo de la informaci�n de una organizaci�n, como as� tambi�n respecto de la privacidad de los datos personales tanto de los clientes, proveedores como de los mismos miembros de la empresa familiar.
�Estos y otros temas generan una constante tensi�n que no puede pasar inadvertida para los profesionales que asisten a la empresa familiar, quienes deben encontrarse capacitados para resolver conflictos frente a los cambios tecnol�gicos que siempre llevan la delantera respecto de las normas que regulan la materia.
�La aparici�n de tecnolog�as disruptivas dentro de lo que llamamos Web 2 -y el surgimiento de la Web 3- vienen a abstraer del mundo f�sico el patrimonio de las personas, organizaciones y empresas para migrarlo al �mbito del e-commerce, los pagos en l�nea, el uso de billeteras digitales, los algoritmos y sistemas de comercializaci�n que corren bajo la tecnolog�a blockchain o cadenas de bloques.� A esto debemos agregar la aparici�n de un sinf�n de herramientas dise�adas con Inteligencia Artificial Generativa, la implementaci�n de espacios inmersivos, la realidad aumentada y la realidad virtual como protometaversos y metaversos que ya se est�n aplicando en diversas �reas como es el caso de las tiendas on line. [3]
�Frente a este mundo en constante cambio necesitamos recurrir a la concientizaci�n, la educaci�n e inclusi�n digital para articular una adecuada protecci�n de este patrimonio digital de las empresas familiares como de sus dem�s activos digitales mediante la adopci�n de estas habilidades t�cnicas con una mirada human�stica donde la tecnolog�a sea una herramienta m�s al servicio de las personas y no se convierta en un factor de riesgo al que se lo conoce por sus efectos, que en muchos casos pueden ser da�inos y hasta devastadores para las personas, empresas y organizaciones.
�El cibercrimen y el ciberdelito constituyen la tercera econom�a mundial y seg�n datos publicados del a�o 2023, han causado unos ocho billones de d�lares de p�rdida en el mundo. En la Rep�blica Argentina los ciberdelitos en el mismo per�odo han aumentado casi un cuarenta por ciento. Los incidentes reportados ascienden a dos mil doscientos eventos por mes y �stos son s�lo los denunciados.[4] Esto nos invita a reflexionar que los grupos criminales no detendr�n sus actividades delictivas. Los Estados buscan reforzar sus sistemas y los de los ciudadanos con los llamados CSIRT (Equipos de Respuesta a Incidentes de Seguridad o su traducci�n del ingl�s: Computer Security Incident Response Team) cuyos objetivos principales son prevenir, detectar y responder a un incidente de seguridad.
�No obstante, toda implementaci�n de pol�ticas p�blicas en la materia requiere del inter�s de los usuarios y de la toma de raz�n sobre la necesidad de implementar medidas de seguridad no s�lo desde los aspectos t�cnicos, sino tambi�n desde las conductas de las personas y los procesos organizacionales.�� Es por ello por lo que entendimos pertinente introducir en esta obra un aspecto diferente, como la ciberseguridad, respecto del dinero y el poder, de manera que pueda ser entendido como toda potencialidad de perder el poder que ostentamos sobre nuestro dinero ante la falta de medidas preventivas, como la concientizaci�n y el generar inter�s dentro de la empresa familiar por las tem�ticas que hacen a la Seguridad Jur�dica de la Informaci�n. Este cap�tulo busca aportar estrategias y soluciones como as� tambi�n ilustrar el panorama normativo en la materia para fortalecer y empoderar a las empresas familiares. Quienes integramos el ecosistema de la Empresa Familiar necesitamos desarrollar �cultura de ciberseguridad�. [5]
�Nada m�s real que las estad�sticas para entender que la seguridad de la informaci�n es una urgencia por atender por parte las empresas familiares, antes de que pasen a protagonizar los titulares de noticias donde se reportan los ciberataques, la p�rdida de informaci�n y la vulneraci�n a la protecci�n de datos personales, lo que claramente podr�a repercutir sobre la reputaci�n y el buen nombre de la empresa frente a los consumidores.
�A continuaci�n, compartimos algunas de estas estad�sticas para ofrecer de manera gr�fica la incidencia de la falta de seguridad de la informaci�n:�
Fuente: BA-CSIRT. Jornadas de concientizaci�n. Fuerza A�rea Argentina
II. �A QU� LLAMAMOS SEGURIDAD DE LA INFORMACI�N?
La informaci�n es uno de los activos m�s valiosos de las empresas. Con la incursi�n de las Tecnolog�as de la Informaci�n y la Comunicaci�n gran parte de la informaci�n de las empresas familiares se encuentra en formato digital. Dependiendo de la cantidad de informaci�n que la empresa vincule con el �mbito digital podremos distinguir si tienen una dependencia baja, media o alta a los �mbitos digitales y de acuerdo con la exposici�n que hagan de sus datos en dicho ecosistema ser� la calidad de medidas que deber�n tomar en consecuencia. Debemos tener en cuenta que los Activos de Informaci�n son aquellos bienes o recursos destinados a generar, procesar, almacenar o divulgar informaci�n. Forman parte de estos sistemas la informaci�n de los empleados, clientes y proveedores, los registros de pedidos, informes, proyectos, n�minas o p�ginas web, la propiedad intelectual, los sistemas y aplicaciones, los procesos de negocios, las patentes industriales, y en el plano material las oficinas donde las empresas llevan a cabo sus tareas. Por ello resulta fundamental estructurar y jerarquizar la informaci�n de cada empresa para determinar cu�l es el valor que aquella le aporta y qu� medidas deben llevarse a cabo para protegerla.
�Ahora bien, definimos a la Seguridad de la Informaci�n como el conjunto de medidas destinadas a impedir la ejecuci�n de operaciones no autorizadas sobre un sistema o red inform�tica, cuyos efectos puedan conllevar da�os sobre la informaci�n, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios no autorizados al sistema.��
�Advertimos a trav�s de esta definici�n estos tres elementos esenciales que configuran a la seguridad de la informaci�n:
Estos tres elementos tambi�n aparecen en la definici�n de seguridad de la informaci�n que nos aporta el est�ndar normativo ISO/IEC 27.001:2022 cuando dice: �La seguridad de la informaci�n es la preservaci�n de su confidencialidad, integridad y disponibilidad�.
�Hablamos de confidencialidad como la propiedad que posee la informaci�n de encontrarse accesible solo a entidades autorizadas, s�lo a aquellas personas u organizaciones que puedan acreditar un inter�s leg�timo para tener acceso y conocer el contenido de dicha informaci�n. A t�tulo de ejemplo las historias cl�nicas de los pacientes son confidenciales y s�lo pueden ser accedidas por aquellos m�dicos o instituciones m�dicas a los que el paciente haya autorizado con su consentimiento.
Respecto de la Integridad hace a la propiedad que posee la informaci�n en cuanto a su precisi�n y completitud, de manera tal que la misma no pueda ser alterada y/o manipulada de forma alguna. En la pr�ctica cuando se adulteran programas o documentos digitales, agregando, quitando o sustituyendo el contenido de estos se est� vulnerando la integridad de la informaci�n.
�Finalmente, la disponibilidad remite a la propiedad de que la informaci�n se encuentre en estado accesible y usable cada vez que sea requerido su uso. El ciberataque conocido como �Ransomware� efectivamente vulnera esta propiedad de la informaci�n ya que encripta todo su contenido y no permite que los usuarios puedan acceder a la misma, todo ello adem�s caracterizado con el pedido de pago de un rescate que normalmente se expresa en criptoactivos.
A su vez, la seguridad de la informaci�n presenta las siguientes caracter�sticas:
� TRAZABILIDAD
� PROTECCION A LA DUPLICACI�N
� NO REPUDIO
� LEGALIDAD
�Los elementos que conforman el Sistema de Seguridad de la Informaci�n -SGSI- son las personas, los procesos y las tecnolog�as. Es por ello que abordamos tanto factores objetivos -como las herramientas tecnol�gicas de monitoreo y de ciber defensa o de seguridad ofensiva de los sistemas de informaci�n- as� como otros de car�cter m�s subjetivo como el entrenamiento en la concientizaci�n de los equipos de trabajo y las conductas de los miembros de la empresa, y finalmente los de car�cter organizacional en donde se delimitan las pol�ticas y procesos a ser implementados y cumplidos dentro de la organizaci�n, quien ser� la que defina y estructure la misma, la jerarquice determinando su valor y, en consecuencia determine, las pautas y medios de protecci�n m�s adecuados.�
�Los sistemas de Seguridad de la Informaci�n tienen un sinf�n de aplicaciones en la vida cotidiana de la empresa. Elementos como smartphones, notebooks, memorias USB, discos r�gidos, routers, servidores, software y aplicaciones comerciales o desarrolladas a medida, datos en aplicaciones empresariales, p�gina web, bases de datos de clientes, controles de acceso, productos, informes, documentos, etc. conforman el universo de tem�ticas en los cuales ejerce injerencia el cuidado de la informaci�n y la preservaci�n de su confidencialidad, integridad y disponibilidad.
�Veamos a continuaci�n la relaci�n que existe entre la informaci�n, los riesgos, su impacto en la organizaci�n y c�mo debemos analizar los conceptos de vulnerabilidad, amenaza e incidente.
Sabemos que el riesgo implica la probabilidad de que una amenaza se concrete, en combinaci�n con el impacto que ello podr�a producir.�
Representan riesgos para la informaci�n de la empresa familiar los siguientes presupuestos:�
- Robo de informaci�n privilegiada o esencial
- Intrusiones al sistema - informaci�n sensible desprotegida
- Falta de resiliencia - back up - copias seguridad
- Ciberataques - Ingenier�a Social � Cat�strofes naturales
- Ataques de denegaci�n de servicio.
A su vez estos riesgos pueden producir determinados impactos en la informaci�n de la empresa familiar:�
- P�rdida de la informaci�n
- Exposici�n de datos personales /sensibles
- P�rdida de operatividad / productividad - Interrupci�n de actividades.
- P�rdidas econ�micas (datos bancarios /billeteras digitales)
- Incumplimiento normativo y/o contractual. Contingencias legales y
p�rdida de reputaci�n.
Veamos ahora c�mo se vinculan estos riesgos con los conceptos de Vulnerabilidad, Amenaza e Incidente.�
Vulnerabilidad: es una debilidad o ausencia de los mecanismos de seguridad que puede poner en peligro la informaci�n. El empleado que no ha asistido a la capacitaci�n y que luego acepta que en su computadora de la empresa otra persona introduzca un dispositivo USB. La no implementaci�n de antivirus con licencia o la utilizaci�n de programas inform�ticos sin licencia -crackeados- constituyen tambi�n otros factores de vulnerabilidad de los sistemas de informaci�n.
Amenaza: Es un evento cuya ocurrencia podr�a impactar en forma negativa en una entidad. Aprovecha la existencia de una vulnerabilidad.
Incidente: Cuando una amenaza ha conseguido su objetivo, comprometiendo la seguridad de la informaci�n. Representa una debilidad o ausencia de los mecanismos de seguridad que puede poner en peligro a la informaci�n.
Estos conceptos representan los contenidos m�nimos que deben ser internalizados por las empresas familiares y los profesionales que la circundan.
III. �QU� NOS HACE VULNERABLES? - MEDIDAS PROTECTORIAS Y CONTROLES.
Sistemas operativos sin licencia
Antivirus gratuitos
Factores Humanos
Falta de implementaci�n de Permisos / Privilegios y Controles de Acceso.
No actualizar las aplicaciones.
Celulares y tablets sin adecuada protecci�n.
Uso de redes gratuitas sin VPN
No poseer cortafuegos.
�C�mo podemos robustecer la seguridad de la informaci�n en las empresas familiares?
Podemos sugerir las siguientes medidas protectorias y controles:
- Utilizar Antivirus para todos los dispositivos extendiendo el uso de estos tanto a celulares como a tablets o similares.
- Actualizar el sistema operativo y las aplicaciones de internet.
- Formar a los empleados. Aumentar el nivel de concientizaci�n en seguridad de la informaci�n.
- Prestar atenci�n a mensajes de dudosa procedencia. Verificar las direcciones de mail de los remitentes.
- Utilizar contrase�as seguras que contengan caracteres alfanum�ricos y signos de puntuaci�n combinados. Evitar la repetici�n de contrase�as en las diferentes aplicaciones. Tambi�n podr� utilizar un llavero de contrase�as que puede ser provisto por el mismo sistema operativo del tel�fono o del programa de antivirus. Utilizar doble o triple factor de autenticaci�n. Crear una cuenta de mail espec�fico para la recuperaci�n de contrase�as y solo abrirla en un dispositivo que sea seguro, nunca en nuestro celular, pues los ciberatacantes tienen como pr�ctica pedir con nuestro usuario una nueva contrase�a -como si el usuario la hubiera olvidado- con el fin de recuperarla en el correo electr�nico disponible en el celular y as� lograr iniciar sesi�n en nuestras aplicaciones.
- Realizar copias de seguridad de aquellos archivos sin los cuales no podr�a realizarse la actividad de la empresa.
- Descargar aplicaciones de confianza. Analizar previamente a su descarga la reputaci�n y comentarios realizados al desarrollador por los usuarios. Verificar qu� datos personales nos requieren y su pertinencia, al igual de con cu�les aplicaciones de nuestro celular requerir� actuar y si las mismas comprometen o no nuestra privacidad, nuestros datos biom�tricos o alg�n otro dato personal de car�cter sensible.
- Velar por el buen uso de la informaci�n personal y de la organizaci�n.
- Conectarse a redes seguras. Evitar en lo posible el uso de redes p�blicas. Habilitar la implementaci�n de una VPN (Virtual Private Network).
- Evitar contactos en redes sociales de origen dudoso. Bloquear comentarios. Verificar previamente la cuenta de la red social antes de comenzar cualquier interacci�n. Ser cautos con los servicios de venta on line que ofrecen en las redes sociales sus productos y servicios.
- Implementar controles de acceso a la informaci�n de car�cter sensible. Estructurar previamente la informaci�n de la organizaci�n y jerarquizarla. Proteger bajo el esquema de �Joyas de la Corona� aquella informaci�n imprescindible para la operatividad de la empresa familiar.
- Utilizar herramientas t�cnicas de monitoreo de amenazas, trackeo de navegaci�n e instaladores de cookies. Instalar un sistema de cortafuegos.
IV. AMENAZAS EXTERNAS E INTERNAS DE LA INFORMACI�N.
Aqu� podemos apuntar un listado de potenciales amenazas que pueden presentarse en la actividad cotidiana de la empresa familiar.
Software malicioso: Es un programa dise�ado para tener acceso a sistemas inform�ticos espec�ficos, robar informaci�n o interrumpir las operaciones de nuestra computadora.
Exploit: Secuencia de comandos que se aprovecha de una falla o de una vulnerabilidad del sistema provocando un comportamiento no deseado o imprevisto. Existen los denominados Zero Day Exploits que son aquellas fallas introducidas por primera vez en un sistema y que no ha podido ser advertida o prevista por el desarrollador que inutiliza o causa un da�o importante en el uso del programa.
Phishing: Entra dentro de los mecanismos conocidos como �Ingenier�a Social�, en donde se intenta convencer al usuario para que conf�e en el contenido de un mail o mensaje de texto o por mensajer�a instant�nea recibido con la intenci�n de obtener informaci�n -contrase�as o claves de acceso- pero que es libremente aportada por la v�ctima a ra�z de la confusi�n en el que la coloca el ciberatacante. Normalmente requiere de una acci�n positiva de la v�ctima ya sea aportando verbalmente un c�digo -WhatsApp- o haciendo clic en un enlace que la lleva a una p�gina web similar a la web oficial que cree estar usando, home banking.
Denegaci�n de servicios: Es el conjunto de m�todos t�cnicos que se utilizan con el fin de inhabilitar un servidor y que a ra�z de ello no se pueda acceder a la informaci�n del sitio. Afecta a la disponibilidad de la informaci�n. Cuando esta denegaci�n de servicios se realiza entre varios equipos a la vez decimos que estamos en presencia de una denegaci�n de servicios distribuido (DDoS). En este caso el ataque consiste en que varios equipos -computadoras- env�an solicitudes simult�neas a un mismo servidor para inhabilitarlo. Normalmente utilizan herramientas denominadas botnets.
Amenaza persistente avanzada: Son un conjunto de amenazas complejas ejecutadas a trav�s de ataques t�cnicos coordinados y dirigidos espec�ficamente a una determinada entidad u organizaci�n espec�fica.
Ransomware. Es una especie dentro de los malware o c�digo malicioso, mediante el cual se secuestra la informaci�n del dispositivo de la v�ctima, solicit�ndole simult�neamente un pedido de rescate, normalmente criptoactivos, para poder recuperar la informaci�n. En nuestro pa�s la administraci�n p�blica ha recibido varios de estos ataques pudiendo citarse a la Direcci�n Nacional de Migraciones y a la Comisi�n Nacional de Valores entre algunos de los organismos afectados.
Fuga de informaci�n: Se produce cuando la informaci�n almacenada en una red interna o en dispositivos es publicada en Internet por un atacante malintencionado para consulta libre de esa informaci�n por un tercero sin autorizaci�n alguna. En estos casos vemos vulnerado el principio de confidencialidad de la informaci�n. En algunas ocasiones esta es la pr�ctica utilizada por hacktivistas quienes unidos por una causa ideol�gica proceden a llevar adelante este tipo de ataques. Cabe recordar las publicaciones efectuadas en la red por el grupo activista Anonymous para representar este tema.
Botnets: Los botnets son una serie de dispositivos inform�ticos que realizan tareas programadas en forma conjunta, algunas con fines l�citos y otras il�citos, es decir, que son maliciosas. Las de fines l�citos se pueden utilizar por ejemplo para tareas de seguridad inform�tica, como la realizaci�n de pentests, que son manejadas desde el comando y control por un especialista o profesional del sector. Las botnets usadas para fines il�citos se arman sin el conocimiento de que varios dispositivos (computadoras, celulares, tablets, etc) son parte de estas. Entonces, una botnet es una red de dispositivos capaces de conectarse a Internet, que es controlada de manera remota y funciona de forma aut�noma y autom�tica. En las de uso malicioso, funcionan sin la autorizaci�n ni el conocimiento de las personas usuarias de esos dispositivos. Las botnets tambi�n son conocidas como redes de computadoras zombis que se utilizan para realizar tareas rutinarias, pesadas y autom�ticas que le son asignadas por quien las controla. En la actualidad, las botnets tienen entre sus blancos a dispositivos de Internet de las Cosas (IoT). Un claro ejemplo es la botnet Mirai, que genera un inter�s cada vez mayor por parte de aquellos atacantes que apuntan a vulnerabilidades m�s antiguas en productos de IoT para el mercado consumidor dado que los ciberdelincuentes saben que los dispositivos de IoT est�n menos protegidos y buscan aprovechar esa vulnerabilidad. Adem�s, existen otras botnets que siguen activas en la regi�n como lo son los casos de Gh0st y Andr�meda, tambi�n conocidas como Gamaru y Wauchos. El funcionamiento de una botnet consiste en utilizar parte de la capacidad de procesamiento de los dispositivos que la componen para realizar diversas tareas que van desde el env�o de correo masivo, la denegaci�n de servicio (DDoS), minar Bitcoins o cualquier otra actividad que genere un beneficio para el �Bot herder�.
Amenazas internas:
�Adem�s de las amenazas externas debemos prestar especial atenci�n a las amenazas que pueden plantearse en el �mbito interno de una organizaci�n. Las personas que trabajan en una organizaci�n representan uno de los principales recursos que poseen las organizaciones. Sin embargo, la seguridad de la informaci�n puede verse comprometida en algunos casos como veremos a continuaci�n.
�
Usuarios internos malintencionados:
�Tienen el potencial de ocasionar da�os considerables por su capacidad de acceso interno. Pueden ser empleados descontentos o despedidos, cuyas credenciales no se han eliminado, y si ten�an permisos como administradores con privilegios, pueden provocar situaciones de riesgo m�s elevadas.�
Usuarios internos enga�ados:
Pueden ser enga�ados por terceros (ciberdelincuentes) a trav�s de t�cnicas de ingenier�a social para proporcionarse de datos y/o contrase�as que no deber�an compartir. Pueden caer bajo el ardid o el enga�o de personas que se hacen pasar por personal del departamento de sistemas de la empresa y otorgar claves de acceso a programas de acceso remoto de la computadora del empleado desde donde acceden a la informaci�n de la empresa.�
Usuarios internos descuidados.
Pueden simplemente tener un fallo no intencionado, como seleccionar una opci�n err�nea y manipular o eliminar informaci�n esencial de forma equivocada.
V. LOS 10 MANDAMIENTOS PARA LA CIBERSEGURIDAD DE LA EMPRESA FAMILIAR.
1.- Formaci�n y Concientizaci�n.
2.- Pol�ticas de Seguridad y Normativas de uso.
3.- Convenios de Confidencialidad.
4.- Administraci�n adecuada de roles y perfiles con privilegios.
5.- Gesti�n y permisos de exempleados.
6.- Establecer un sistema de clasificaci�n de la informaci�n.
7.- Soluciones tecnol�gicas antimalware y antifraude.
8.- Actualizaci�n constante de los equipos y de las credenciales de acceso.
9.- No ejecutar programas o ficheros de origen dudoso.
10. No conectar a los dispositivos una memoria USB desconocidos.
�Hasta aqu� hemos visto que las personas, los procesos y las tecnolog�as son los elementos m�s importantes de los Sistemas de Seguridad de la Informaci�n (SGSI). En el plano de las personas hemos tambi�n entendido la importancia de los procesos de concientizaci�n del personal y la necesidad de atribuir roles y funciones para sectorizar el acceso a la informaci�n. Adem�s, resulta imprescindible la necesidad de ejercer controles y supervisi�n de las conductas de las personas en los equipos de trabajo asegurando el entrenamiento efectivo con pruebas especialmente dise�adas para comprobar la internalizaci�n de las medidas de protecci�n. Por �ltimo, el personal externo a la empresa deber� tambi�n contar con diferentes privilegios de acceso y restricciones dise�adas por defecto a los sistemas de informaci�n.
�En el plano t�cnico resulta conveniente la incorporaci�n, instalaci�n, configuraci�n y actualizaci�n de hardware y software licenciado pues las empresas trabajan constantemente en la provisi�n de parches del sistema que protegen de las amenazas m�s recientes, circunstancia de la que se carece cuando el software no responde a una licencia oficial, sin perjuicio de las contingencias legales por el uso de software crackeado y las infracciones a la Ley 11.723 de Derecho de Autor y de Propiedad Intelectual. La implementaci�n de herramientas criptogr�ficas que permitan el cifrado de informaci�n que deba ser circulada ya sea en mails o en la intranet de las organizaciones aporta una barrera m�s a diversos ataques. Existen herramientas de cifrado gratuitas como�� VeraCrypt que consiste en un software de c�digo abierto para cifrar archivos, carpetas, unidades USB extra�bles, discos duros completos, e incluso el disco duro donde se encuentra el propio sistema operativo instalado. (�Veracrypt: Cifra y oculta tus archivos gratis - Redes Zone�) VeraCrypt es multiplataforma, actualmente es compatible con sistemas operativos Microsoft Windows, cualquier sistema basado en Linux, y tambi�n es compatible con macOS. Otra herramienta de cifrado es BitLocker. Esta es una herramienta de Microsoft para Windows completamente gratuita y no necesita de ning�n tipo de licencia para ser utilizado. Posee buen nivel de seguridad. Si el disco o unidad USB son robados no podr�n acceder a la informaci�n que contiene sin la contrase�a de recuperaci�n. Otra de sus principales ventajas a nivel de seguridad, es que es muy complicado de desencriptar y tampoco se puede acceder desde otros sistemas operativos como Linux, Mac o Ubuntu entre otros. Brinda protecci�n total contra ataques fuera de l�nea. (�BitLocker: Tutorial completo para cifrar discos en Windows - Redes Zone�)
�En el plano organizacional veremos de redactar las pol�ticas, normativa interna y procedimientos para resguardar la informaci�n de la empresa familiar. Resulta de inter�s la implementaci�n de �c�digos de conducta digital� en donde se redacten los derechos y obligaciones que ostentan los miembros de la organizaci�n permitiendo aportar un marco operativo en donde las reglas del trabajo son claras y facilitan el esquema de cumplimiento y/o sanciones dentro de la empresa. Tambi�n resultar� de suma importancia la elaboraci�n de los planes de contingencia ante eventuales ataques por parte de ciberdelincuentes en donde se designar�n las personas autorizadas a cargo del procedimiento de contingencias y respuestas a incidentes, como as� tambi�n, los pasos de contenci�n y mitigaci�n de los eventuales ataques. Asimismo, luego de superadas las etapas del incidente se abordar�n las tareas de aprendizaje y reorganizaci�n para afrontar eventuales nuevos ataques en funci�n de la experiencia adquirida. El dato de color lo aportan los datos personales que se pudieran haber encontrado comprometidos en el incidente de seguridad. Las tendencias en el marco del compliance indican la necesidad de reportar el incidente a los usuarios comprometidos con el fin de advertirles que sus datos personales han sido pasibles de un ciberataque. Estas conductas resultan esenciales si la empresa familiar se encuentra interactuando con clientes o proveedores que se encuentren bajo la jurisdicci�n de la Uni�n Europea, ya que en dicha demarcaci�n se encuentra vigente el Reglamento General de Protecci�n de Datos Personales, lo que hace obligatoria la denuncia de filtraciones de datos personales.���
�Para acompa�ar la interacci�n de estos elementos -personas, procesos y tecnolog�as- aparece en escena el marco regulatorio que nos permite encuadrar jur�dicamente las acciones relativas a la seguridad de la informaci�n llevadas a cabo dentro del �mbito de la empresa familiar. En este �mbito ser� fundamental asegurar el cumplimiento tanto de la normativa interna -generada por las pol�ticas organizacionales- como del cuadro normativo imperante en la legislaci�n de la jurisdicci�n donde opere la empresa familiar y de la legislaci�n aplicable de los contratos celebrados.
VI. MARCO NORMATIVO DE LA SEGURIDAD DE LA INFORMACI�N.
Dentro del �mbito de la Rep�blica Argentina la empresa familiar deber� tener en cuenta el cumplimiento respecto a la legislaci�n vigente en materia de Protecci�n de Datos Personales -Ley 25.326- y a las resoluciones emitidas por la Autoridad de Aplicaci�n, la Agencia de Acceso a la Informaci�n P�blica (AAIP)- en donde deber� prestar especial atenci�n en materia de datos biom�tricos, datos gen�ticos y el tratamiento de datos automatizados por la intervenci�n de herramientas que contengan Inteligencia Artificial. Siguiendo esta l�nea normativa la citada ley prescribe en su art�culo 9�: � �El responsable o usuario del archivo de datos debe adoptar las medidas t�cnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteraci�n, p�rdida, consulta o tratamiento no autorizado y que permitan detectar desviaciones, intencionales o no, de informaci�n, ya sea que los riesgos provengan de la acci�n humana o del medio t�cnico utilizado��.
�Dentro del �mbito del Derecho Penal la Ley 26.388 del 4 de junio de 1988 de Delitos Inform�ticos modific� el texto del C�digo Penal Argentino receptando en su articulado diversas figuras como el acceso indebido, el da�o inform�tico, el da�o inform�tico agravado y la violaci�n de la privacidad entre otros. En tal sentido dej� tipificadas las siguientes conductas:��
� ACCESO INDEBIDO (Art�culos 153 y 153 bis CP).
La norma sanciona las conductas t�picas de abrir o acceder indebidamente a una comunicaci�n electr�nica, carta, pliego cerrado, despacho telegr�fico, telef�nico o de otra naturaleza que no le est� dirigido a esa persona.
Abrir o acceder indebidamente a una comunicaci�n electr�nica, carta, pliego cerrado, despacho telegr�fico, telef�nico de otra naturaleza que no le est� dirigido esa persona. (�C�digo Penal Nacional - Legislaci�n Argentina 2021�) Apoderamiento indebido de informaci�n o de otro papel privado, aunque no est� cerrado.� Borrar / suprimir indebidamente o desviar el contenido de correspondencia comunicaci�n electr�nica que no le est� dirigida.�� Interceptar / captar comunicaciones electr�nicas o telecomunicaciones provenientes de sistemas de car�cter privado o de accesos restringidos.� El art�culo 153 bis agrega los casos en que el autor del delito a sabiendas accediere por cualquier medio sin la debida autorizaci�n o excediendo la que posea a un sistema o dato inform�tico de acceso restringido.�
� DA�O INFORM�TICO (Art�culo 183 CP).
La tipificaci�n general apunta a la acci�n de destruir, inutilizar, hacer desaparecer, da�ar de cualquier modo. La tipificaci�n espec�fica del da�o inform�tico hace referencia a la alteraci�n, destrucci�n, inutilizaci�n de datos, documentos, programas, o sistemas inform�ticos. Hace punible la venta, distribuci�n, circulaci�n o introducci�n de un sistema inform�tico a cualquier programa destinado a causar da�os. Actividad de Ransomware, introducci�n de �bugs� (gusanos) en programas inform�ticos.
� REVELACI�N DE DATOS (Art�culo 157 y 157 bis del CP)
El funcionario p�blico que revelare hechos, actuaciones, documentos o datos, que por ley deben ser secretos. Acceso y violaci�n de sistemas de confidencialidad y seguridad de datos o bancos de datos personales. Proporcionar o revelar a otro informaci�n registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposici�n de la ley. Inserci�n de datos en un archivo de datos personales.
� TRATADOS INTERNACIONALES. EL CONVENIO 108 y 108 +
�En tanto el Derecho Internacional tambi�n ha sancionado normas atinentes a la protecci�n de los datos personales resulta primordial destacar que en virtud de la aplicaci�n del art�culo 75 inciso 22 de la Constituci�n Nacional Argentina, los Tratados Internacionales de los que el Estado Argentino forme parte en virtud de la adhesi�n a dicha normativa internacional tiene como efecto la adjudicaci�n de rango constitucional a estas normativas del Derecho Internacional. En tal sentido es necesario destacar que nuestro pa�s ha ratificado la implementaci�n en el territorio de la Rep�blica Argentina del Convenio 108 que versa sobre el tratamiento automatizado de datos personales a trav�s de herramientas de inteligencia artificial. La Rep�blica Argentina en el a�o 2019 mediante la Ley 27.483 aprob� el Convenio para la Protecci�n de las Personas con respecto al Tratamiento Automatizado de Datos de Car�cter Personal suscripto en la ciudad de Estrasburgo, Francia, el 28 de enero de 1981, as� como tambi�n el protocolo adicional al Convenio.
� El Convenio 108 posteriormente fue modificado en el mes de mayo de 2018 resultando en su continuador, el Convenio 108 +, aguardando a que nuestro pa�s hiciera nuevamente adhesi�n a esta modificaci�n.����
�Finalmente, la Rep�blica Argentina adhiri� al Convenio 108 + a trav�s de la Ley 27.699 sancionada con fecha 10 de noviembre de 2022. Si bien como ya dijimos nuestro pa�s ya era un Estado - Parte de este convenio a�n quedaba pendiente ratificar su modificaci�n que respond�a, seg�n as� surge del mismo convenio, a razones de �diversificaci�n, intensificaci�n, globalizaci�n del tratamiento de datos y el flujo de los datos personales�.�
�En su articulado el Convenio 108 + establece que �El tratamiento de datos gen�ticos, datos personales relativos a delitos, procesos y condenas penales y medidas de seguridad relacionadas, datos biom�tricos que identifiquen de manera exclusiva a una persona, datos personales para la informaci�n que se divulgue relativa a origen racial o �tnico, opini�n pol�tica, afiliaci�n a gremios, creencias religiosas o de otra �ndole, salud o vida sexual, s�lo se permitir� cuando la ley establezca salvaguardas adecuadas que complementen las previstas en el presente Convenio. Dichas salvaguardas brindar�n protecci�n contra los riesgos que el tratamiento de datos sensibles pueda generar para los intereses, derechos y libertades fundamentales del titular de los datos, especialmente el riesgo de discriminaci�n.���
� UNESCO. RECOMENDACI�N SOBRE LA �TICA DE LA IA.
�Por su parte dentro del seno de la UNESCO surgi� una Recomendaci�n sobre la �tica de la Inteligencia Artificial. Esta recomendaci�n fue aprobada por la Conferencia General de la Organizaci�n de las Naciones Unidas para la Educaci�n, la Ciencia y la Cultura (UNESCO) con fecha 23 de noviembre de 2021 y con respecto a la tem�tica que nos ocupa establece respecto a los datos sensibles lo siguiente:
��mbito de Actuaci�n 3: Pol�tica de Datos. Ac�pite 74: Los Estados Miembros deber�an establecer sus pol�ticas de datos o marcos equivalentes, o reforzar las pol�ticas y marcos existentes, para garantizar la seguridad total de los datos personales y los datos sensibles que, de ser divulgados, puedan causar da�os, lesiones o dificultades excepcionales a las personas. Cabe citar como ejemplos los datos relativos a infracciones, procesos penales y condenas, as� como a las medidas de seguridad conexas; los datos biom�tricos, gen�ticos y de salud; y los datos personales como los relativos a la raza, el color, la ascendencia, el g�nero, la edad, el idioma, la religi�n, las opiniones pol�ticas, el origen nacional, �tnico o social, la condici�n econ�mica o social de nacimiento, la discapacidad o cualquier otra caracter�stica�.
�Se hace especial menci�n de la consideraci�n de cuestiones �ticas y lo concerniente al impacto de la Inteligencia Artificial en el �mbito de los Derechos Humanos, en tal sentido establece que se presta especial atenci�n a:
��La identidad y la diversidad culturales, ya que las tecnolog�as de la IA pueden enriquecer las industrias culturales y creativas, pero tambi�n pueden dar lugar a una mayor concentraci�n de la oferta de contenidos, los datos, los mercados y los ingresos de la cultura en manos de unos pocos actores, lo que puede tener consecuencias negativas para la diversidad y el pluralismo de las lenguas, los medios de comunicaci�n, las expresiones culturales, la participaci�n y la igualdad��
� NORMAS DE CALIDAD INTERNACIONAL.
Tal como ya mencionamos en materia de seguridad de la informaci�n encontramos las normas de la Familia ISO / IEC 27.000 comenzando por la ya citada 27.001:2022 de Certificaci�n de la Seguridad de Informaci�n y la 27002:2022 de mejores pr�cticas y est�ndares en la Gesti�n de la Seguridad de la Informaci�n y la ISO/IEC 27005:2022 sobre Gesti�n de Riesgos de Seguridad de la Informaci�n que implica la evaluaci�n de la probabilidad de que un riesgo particular se materialice y la medici�n del impacto que tendr�a en la organizaci�n si ese riesgo se realiza. Tambi�n resulta de especial aplicaci�n la norma ISO/IEC 27701:2019 e ISO/IEC 27018:2014 en materia de procesamiento de datos personales y la ISO/IEC 29100:2011 de referencia de Alto Nivel para la Protecci�n de Datos Personales. Por su parte en materia de Gesti�n de Riesgos contamos con la normativa ISO /IEC 31000:2018 que delinea las directrices en la materia incluyendo el dise�o, la implementaci�n, valoraci�n, mejora, proceso y evaluaci�n de los riesgos, entre otros par�metros.
�
� MARCO NIST 2 (Cybersecurity Framework 2.0)
El Marco de Ciberseguridad (CSF) 2.0 del NIST proporciona orientaci�n a la industria y a las agencias de gobierno y otras organizaciones para gestionar los riesgos de ciberseguridad. Ofrece una alta taxonom�a de resultados de ciberseguridad de nivel que pueden ser utilizados por cualquier organizaci�n, independientemente de su tama�o, sector o madurez, para comprender, evaluar, priorizar y comunicar mejor sus esfuerzos de ciberseguridad. Provee de enlaces a recursos en l�nea que brindan orientaci�n adicional sobre pr�cticas y controles que podr�an utilizarse para lograr esos resultados.�
� NORMATIVA ADMINISTRATIVA REP�BLICA ARGENTINA��
A continuaci�n, se enumeran las normativas de car�cter administrativo que rigen las tem�ticas de ciberseguridad en nuestro pa�s.
Decisi�n Administrativa 641/2021. Establece los requisitos m�nimos de seguridad de la informaci�n para organismos p�blicos.
Disposici�n 6/2021. Creaci�n del Comit� Asesor para el Desarrollo e Implementaci�n de aplicaciones seguras.
Disposici�n 1/2021. Centro Nacional de Respuestas a Incidentes Inform�ticos (CERT.ar) en el �mbito de la Direcci�n Nacional de Ciberseguridad.
Resoluci�n 580/2011. Creaci�n del Programa Nacional de Protecci�n de Infraestructuras Cr�ticas de Informaci�n y Ciberseguridad.
Disposici�n ONTI 3/2013. Aprobaci�n de la Pol�tica Modelo de Seguridad de la Informaci�n.
Resoluci�n 1523/2019. Definici�n de Infraestructuras Cr�ticas.
Decreto 577/2017. Creaci�n del Comit� de Ciberseguridad.
Decreto 480/2019. Modificaci�n del Decreto 577/2017.
Resoluci�n 829/2019. Aprobaci�n de la Estrategia Nacional de Ciberseguridad.
Resoluci�n 141/2019. Presidencia del Comit� de Ciberseguridad.
VII. CIBERSEGURIDAD Y CIBERINCIDENTES REGISTRADOS CONTRA LA ADMINISTRACI�N P�BLICA.
- Direcci�n Nacional de Migraciones, ocasionado por el Ransomware Netwalker, que afect� al Sistema Integral de Captura Migratoria (SICaM) que opera en los pasos internacionales, d�nde se exfiltraron 22 carpetas con diverso material. (27/08/2020).
- El presunto y dudoso hackeo a la base de datos completa del Renaper, donde a trav�s de consultas de su propio sistema el atacante logr� te�ricamente hacer un dump (vuelco) de la base de datos �ntegra, compuesta por los datos de 45 millones de argentinos. El atacante hizo una primera publicaci�n mostrando los datos de 44 figuras p�blicas y prosigui� dando algunas otras muestras y entrevista al respecto, en la que se jactaba de sus acciones. (12/01/2021).
- El incidente que afect� a Gendarmer�a, Ejercito, Prefectura Naval, Armada, Fuerza A�rea, Ministerio de defensa, donde se exfiltraron 1.193.316 registros de la base de datos de la obra social de las Fuerzas Armadas (IOSFA), Gendarmer�a, Prefectura y el Ministerio de Defensa. (25/09/2021).
- La presunta y dudosa venta de datos del gobierno argentino, que fueron ofrecidos por u$s 200.000.- doscientos mil d�lares por el Grupo Cibercriminal Everest Ransomware Team, quien tuviera antecedentes similares en Per�, Brasil y los EEUU. (23/11/2021)
�- Los incidentes y data leaks de la Polic�a Federal Argentina conocido como el esc�ndalo de �La Gorra Leaks� y �La Gorra Leaks 2.0�, que se extendieron de 2017/2019, el que fue el mayor incidente sufrido por esta fuerza, en la que se llevaron 700 gigabytes de archivos de la Polic�a Federal y de la Polic�a de la Ciudad de Buenos Aires, al mismo tiempo que tambi�n se vulner� la cuenta de la red social Twitter de la Prefectura Naval Argentina.
- El ataque de Ransomware al Poder Ejecutivo de la Provincia de San Luis, d�nde se vieron comprometidos 350 gigabytes de informaci�n en noviembre de 2019.
-� El ataque al Ministerio de Salud de San Juan de agosto de 2020.
-� El ataque de Ransomware a la Agencia Nacional de Seguridad Vial en noviembre de 2020, en el que se vieron comprometidos 50 gigabytes de informaci�n.
- El ataque a la p�gina web de la empresa estatal de agua de la Provincia de Buenos Aires ABSA en el mes de enero de 2021.
- El ataque de Ransomware al sistema inform�tico del Ministerio P�blico Fiscal de la Ciudad Aut�noma de Buenos Aires en el mes de noviembre de 2021, por el que se vulner� informaci�n administrativa confidencial y por el que, mientras se extendi�, ninguna fiscal�a federal de la Argentina ten�a internet ni pod�a entrar a ver sus causas.
- El ataque al Senado de la Naci�n en las primeras semanas de enero 2022, por el grupo Vice Society, en el que se exfiltraron datos como n�meros de DNI, CUIL, n�meros de tr�mite de documentos, fotocopias de DNI de frente y dorso, domicilios, firmas a mano alzada, licencias de conducir, entre otros datos sensibles.
- El ataque de Ransomware al sistema del Poder Judicial de Chaco a principios de enero de 2022 por el grupo Hive, por el que debieron declarar la suspensi�n de t�rminos y audiencias y extender la feria judicial.
- El ataque al sistema de historias cl�nicas del Hospital Perrando, de Chaco en junio de 2022.
- El Data breach del Hospital Garrahan de Julio 2022, con compromiso de informaci�n y datos de pacientes y m�dicos, por 5.5 gigabytes de datos, que se vend�an por u$s 1500.-, que conten�an 12 M de registros.
- El Data breach de la Corte Suprema de Justicia de la Provincia de Buenos Aires en el mes de Julio de 2022 donde se comprometieron 15.000 registros de car�cter sensible entre los que se encontraban nombres de usuarios, direcciones de correo electr�nico, nombre completo, DNI (u otros documentos m�s antiguos como Libreta de Enrolamiento), claves, e incluso direcciones IP y navegador utilizado por el usuario.
- El Data breach del Hospital Municipal Lucero de Bah�a Blanca en Julio 2022, con compromiso de acceso a historias cl�nicas, estudios y documentos de 346 474 pacientes.
- El ataque de Ransomware al Poder Judicial de C�rdoba en el mes de agosto de 2022, por el que quedaron comprometidos sus servicios, debiendo establecer un sistema de emergencia y declarando inh�biles a los fines procesales y administrativos por cuatro d�as consecutivos.
- El ataque al Poder Judicial de Neuqu�n en el mes de agosto de 2022, d�nde se vulner� informaci�n de m�s de 3000 funcionarios.
- El ataque al Poder Judicial de la Provincia de Santa Cruz en septiembre de 2022, en el que se exfiltraron presuntamente y pusieron a la venta los archivos y usuarios de cada sector del poder judicial, hasta el acceso a cada m�quina remota de cada sector.
- El ataque a la Legislatura de la Ciudad Aut�noma de Buenos Aires, que afect� la p�gina oficial de la misma y sus sistemas en el mes de septiembre de 2022.
- El ataque al Ministerio de Econom�a en el mes de septiembre de 2022, donde presuntamente se exfiltraron y pusieron a la venta por el grupo Everest claves de accesos.
- El ataque a la base de datos de la Autoridad del Agua de la Provincia de Buenos Aires ADA, en el mes de septiembre de 2022, en el que se sufri� adem�s una p�rdida relevante de datos ya que no se efectuaba backup diario y el �ltimo con el que se contaba databa aproximadamente de 15 d�as antes de la ocurrencia del incidente.
- El ataque al Estado Mayor Conjunto de las Fuerzas Armadas en el mes de octubre de 2022, donde se detect� la presencia de malware y se inform� que presuntamente no hubo exfiltraci�n de informaci�n sensible de dicha instituci�n.
- El ataque a la empresa estatal Aerol�neas Argentinas en el mes de octubre de 2022, d�nde se exfiltr� y puso a la venta presuntamente entre otras cosas informaci�n t�cnica, contrase�as, emails, casi 65 mil direcciones de correos de clientes de Aerol�neas, aunque la empresa sostuvo que no se filtr� informaci�n confidencial de la misma.
- El ataque al Ministerio de Salud de octubre de 2022, donde se envi� informaci�n falsa, mails en cadena y se exfiltraron presuntamente datos de car�cter sensible, a ra�z de lo cual el Ministerio sali� a informar que se desestimaran por el momento todas las comunicaciones provenientes de sus correos electr�nicos).
- La p�rdida de millones de datos del Censo conocida en octubre de 2022.
- Incidente en la Legislatura de la Ciudad de Buenos Aires. Ransomware. 10/09/22.
Por su parte durante el transcurso del a�o 2023 se registraron, entre otros, los siguientes incidentes:
- Incidente en el Poder Judicial de San Juan. Filtraci�n de datos en la Suprema Corte. Se filtraron 1983 registros vinculados al concurso interno de ascensos del a�o 2019. (2/1/23)
- Incidente en la Superintendencia de Seguro de la Naci�n. El ataque afect� a las aplicaciones Mi Argentina y Mi Seguro. No aparec�a ning�n certificado. Debieron suspender el uso del Sistema �nico de Notificaciones (SUN). (4/4/23).
- Incidente en la Administraci�n Nacional de Medicamentos, Alimentos y Tecnolog�a M�dica. Hackeo de los servidores del organismo. (ANMAT) 21/04/23���
- Incidente en el Instituto Nacional de Tecnolog�a Agropecuaria (INTA) con fecha 2/5/23. Quedaron varios d�as sin poder funcionar tres radares producto del hackeo que aportan informaci�n al Servicio Meteorol�gico Nacional.
- El incidente a la Comisi�n Nacional de Valores ocurrido a mediados del mes de junio de 2023 y que se le adjudicara al ransomware �Medusa� y la cantidad de 1,5 TB de datos e informaci�n sensible.
- Incidente en el Hospital Castro Rend�n, el m�s grande de la Provincia de Neuqu�n. Exfiltraron las bases de datos del Hospital produciendo una fuga de m�s de 100.000 pacientes con sus datos sensibles causado por factores humanos a trav�s de los cuales se comprometieron credenciales de acceso al sistema. (7/6/23).
- Incidente en el Instituto Nacional de Servicios Sociales para Jubilados y Pensionados (PAMI). El grupo ciberatacante Rhysida ostent� poseer un terabyte (1TB) de datos que incluyen presupuestos, gastos, documentos personales extra�dos del Sistema de Gesti�n Administrativa del Sector P�blico Nacional. El precio del rescate solicitado por los ciberatacantes fue de veinticinco Bitcoins equivalentes en dicha fecha a la suma de U$S. 735.000. (2/8/23)
- Incidente en la Universidad de Buenos Aires. Se trat� en este caso de un ransomware en sus sistemas que impidi� a los docentes y alumnos gestionar notas, inscribirse a cursos de verano y proceder a la realizaci�n de pagos de t�tulos y otros tr�mites arancelados. (19/12/23)
En lo que va del a�o 2024 se registraron los siguientes incidentes:
- Fuga de informaci�n de Licencias de conducir. Se exfiltraron datos como firma de las personas, tipo de sangre, restricciones del conductor, direcciones, etc. Salieron a la venta 6 millones de licencias de conducir en la internet profunda. (16/04/24).
- Incidente de exfiltraci�n de datos de RENAPER. Se accedi� indebidamente a c�digo fuente, API, contrase�as, fotos y huellas digitales. (17/4/24)
�� En estos aspectos se han trabajado pol�ticas p�blicas al efecto. Tal es as� que El Banco Interamericano de Desarrollo (BID) aprob� un pr�stamo para Argentina de US$30 millones para la implementaci�n del Programa de Ciberseguridad para Infraestructuras Cr�ticas de Informaci�n (ICI), iniciativa que mediante la detecci�n temprana de incidentes en este terreno contribuir�a a la reducci�n de los costos que generan los ciberataques en el pa�s.
El programa aumentar� la seguridad cibern�tica de Argentina reforzando la protecci�n de la infraestructura tecnol�gica de sus instituciones p�blicas, lo que beneficiar� tanto a los ciudadanos como al sector privado y a la administraci�n p�blica.
Para ello fortalecer� las capacidades institucionales y tecnol�gicas de la Secretar�a de Innovaci�n P�blica (SIP), consolidar� el talento humano en ciberseguridad y mejorar� la protecci�n del ecosistema de Gesti�n Documental Electr�nica (GDE).
��� Durante el a�o 2023 el Estado Argentino proyect� el Segundo plan estrat�gico sobre CIBERSEGURIDAD: El 6 de enero de 2023, por medio de la Resoluci�n N� 1 del 2 de enero de 2023 de la SECRETAR�A DE GABINETE de la JEFATURA DE GABINETE DE MINISTROS, se declar� la apertura del procedimiento de consulta p�blica respecto de la SEGUNDA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD incluida como Anexo IF-2022- 133944871- APN- SSTI#JGM. En la misma norma, se encomend� a la SECRETAR�A DE INNOVACI�N P�BLICA de la JEFATURA DE GABINETE DE MINISTROS, impulsar los actos administrativos y dem�s acciones necesarias para la implementaci�n de la SEGUNDA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD. El documento puesto a consideraci�n de la ciudadan�a mediante el proceso de elaboraci�n participativa de normas fue confeccionado por el Grupo de Trabajo del Comit� de Ciberseguridad creado a tal fin. Este grupo estaba conformado por representantes de los Ministerios de Defensa; Seguridad; Relaciones Exteriores, Comercio Internacional y Culto y Justicia y Derechos Humanos y las Secretar�as de Innovaci�n P�blica y Asuntos Estrat�gicos. Participaron tambi�n, en calidad de invitados, funcionarios de la Sindicatura General de la Naci�n, el Banco Central de la Rep�blica Argentina, ARSAT, la Administraci�n Federal de Ingresos P�blicos, la Agencia de Acceso a la Informaci�n P�blica, la Secretar�a Legal y T�cnica y la Agencia Federal de Informaci�n.
VIII. LA RESOLUCI�N 87/2024 DE LA SECRETAR�A DE COMERCIO.
Esta resoluci�n�� estableci� que todos los comercios que operen con tarjetas de compra, cr�dito o d�bito deber�n poner a disposici�n de los usuarios una terminal de pago inal�mbrica a la vista del cliente. Esto implica que los clientes puedan mantener bajo su estricto control y en permanente contacto sus tarjetas de d�bito o cr�dito al momento de efectuar un pago, lo que redundar� en reducir la posibilidad de maniobras de vulneraci�n de datos y estafas, como tomar fotograf�as de n�meros de tarjetas, c�digo de seguridad de �stas y DNI del usuario, circunstancia que habilitaba a la sustituci�n de la identidad digital.
Ya en el mes de Julio de 2023 la Provincia de R�o Negro sancion� en igual sentido la Ley 5648. Neuqu�n y Santa Fe tambi�n implementaron estas medidas en sus legislaciones exigiendo a los comercios proveer a los usuarios de medidas de seguridad al momento de realizar los pagos de productos y/o servicios.
�Para permitir una correcta adecuaci�n la Secretar�a de Comercio previ� que los comercios tengan a partir de la sanci�n de la norma el plazo de 180 d�as para implementar la normativa y, en caso de incumplimiento, podr�n ser sancionados de acuerdo con las penas que prev� la Ley de Defensa del Consumidor. De acuerdo con estad�sticas de la Secretar�a de Comercio, en 2023 hubo casi 7 mil denuncias ante la Direcci�n Nacional de Defensa del Consumidor por fraudes y estafas en servicios financieros. Seg�n fuentes del sector de Tarjetas de Cr�dito, en los mercados en los cuales el comerciante no manipula las tarjetas, y por lo tanto no tiene acceso a la informaci�n que estas contienen, el fraude es cuatro veces menor que en el resto de los mercados. Esta medida mejora la experiencia de pago del usuario, d�ndole celeridad para pagar y, por sobre todas las cosas, mejora la seguridad ya que el usuario nunca pierde control sobre sus tarjetas.
�Al mismo tiempo, la Secretar�a de Comercio ha informado que realizar� una campa�a de educaci�n en consumo para concientizar a los ciudadanos sobre la importancia de pedir el POS a la hora de pagar. Promover la transparencia de las transacciones es un objetivo compartido por asociaciones de consumidores, autoridades provinciales y especialistas en la materia.��
IX. EL FUTURO DE LAS EMPRESAS FAMILIARES Y LA SEGURIDAD DE LA INFORMACI�N.
Las Empresas Familiares para poder crecer y ofrecer sus productos y servicios a nuevos mercados deber�n ajustarse paulatinamente a las normativas y est�ndares internacionales en materia de gesti�n de sistemas de seguridad de la informaci�n. No s�lo para conquistar nuevos mercados sino tambi�n para poder interactuar con otras empresas de mayor envergadura que la propia, las que tienen como par�metro que sus clientes y/o proveedores lleven delineadas pol�ticas claras en materia de seguridad de la informaci�n. Esto se debe a que podr�a resultar riesgoso contratar con una empresa que no disponga de medidas diligentes en la seguridad de la informaci�n, pues los datos de la empresa y de las transacciones efectuadas entre ellas podr�an quedar comprometidos por un ciberataque que producir� mayor da�o a la empresa que no se encuentre preparada para defenderse del mismo y en consecuencia queden comprometidos datos de empleados, clientes o proveedores de ambas empresas.����
�La capacitaci�n para fortalecer el eslab�n m�s d�bil que son las personas definir� la diferencia entre una empresa familiar robusta en materia de cumplimento de protecci�n de datos personales y gesti�n del riesgo en materia de seguridad de la informaci�n de aquellas que no apliquen recursos a fortalecerse en la materia.
�Siguiendo las experiencias europeas con el Reglamento General de Protecci�n de Datos (RGPD), la Ley de Mercados Digitales y la Ley de Servicios Digitales, se puede vislumbrar que la exfiltraci�n de datos personales ser� en un futuro no muy lejano el nuevo derecho de da�os en la pr�ctica profesional. Es por ello por lo que las Empresas Familiares deber�n ir adecuando paulatinamente sus procesos para evitar futuras contingencias legales, lo que adem�s redundar� en beneficios a la hora de efectuar contrataciones con empresas internacionales o en el caso en que la misma empresa familiar inicie su proceso de internacionalizaci�n desplegando sus actividades en nuevas jurisdicciones.�
REFERENCIAS BIBLIOGR�FICAS.
Instituto Nacional de Ciberseguridad de Espa�a (INCIBE). (n.d.). Gu�a de Ciberataques. https://www.incibe.es/ciudadania/formacion/guias/guia-de-ciberataques (Recuperado el 20 de abril de 2024).
Burgue�o, M. R. (Dir.). (2023). Ciberseguridad. Nociones b�sicas de Seguridad de la Informaci�n. En Innovaci�n e Inclusi�n Digital (Cap�tulo VI). Editorial Di Lalla.
Faliero, J. C. (2023). Infosecurity, Seguridad Inform�tica, Ciberseguridad & Hacking. �To hack and not to jail�. Editorial AdHoc.
Hern�ndez Ramos, J. L., Karopoulos, G., Nai Fovino, I., Spigolon, R., Sportiello, L., Steri, G., Gorniak, S., Magnabosco, P., Atoui, R., & Crippa Martinez, C. (2024). Cyber Resilience Act Requirements Standards Mapping. Publicaci�n de la Oficina de la Uni�n Europea. https://data.europa.eu/doi/10.2760/905934 (Recuperado el 29 de abril de 2024).
Instituto Nacional de Ciberseguridad de Espa�a (INCIBE). (n.d.). Cumpliendo con la NIS2: recursos y servicios para la pyme. https://www.incibe.es/empresas/blog/cumpliendo-con-la-nis2-recursos-y-servicios-para-la-pyme (Recuperado el 17 de abril de 2024).
Escudo Digital. (2024, marzo 23). �Qu� pueden hacer las pymes para reducir las ciberamenazas? https://www.escudodigital.com/ciberseguridad/que-pueden-hacer-pymes-reducir-ciberamenazas_57906_102.html (Recuperado el 23 de marzo de 2024).
[1] Art�culo recibido el 19 de septiembre de 2024 y aprobado para su publicaci�n el 30 de septiembre de 2024. El presente es una adaptaci�n del trabajo presentado ante el Instituto Argentino de Empresa Familiar (IADEF) en el marco del an�lisis de la convocatoria �Poder y Dinero en la Empresa Familiar�, que resulta presentada en el mes de mayo de 2024 en el seno del citado Instituto.�
(*) Abogada, Escribana Titular del Registro 803 CABA. Especializaci�n en Derecho Inform�tico (UBA). Diplomada en Blockchain y Smart Contracts (UCC); Fintech y Blockchain (ITBA); Gesti�n de la Ciberseguridad (UCEMA); Dataprivacy e Infosec (DATALAB UBA). IA y Derecho y Web 3, Gaming y Metaverso (UBA IALAB). Maestranda Escuela de Econom�a y Negocios (UNSAM) en la Maestr�a Gesti�n y Dise�o de la Tecnolog�a y la Innovaci�n. Consultora de Empresa Familiar Certificada (IADEF). Profesora Adjunta Seminario de Nuevas Tecnolog�as y Notariado en Post�tulo Notariado (USAL). Prof. Adjunta Catedra Teor�a y Pr�ctica del Derecho Registral. (USAL). Docente Auxiliar CPO (UBA DERECHO). �