Por: Ximena Villanueva

Cada vez con más frecuencia vemos noticias de empresas de diversos sectores económicos que son blancos de ataques cibernéticos a manos de hackers. Solo el año pasado, se registraron 21,800 ciberataques en el país, lo cual se traduce en un incremento del 740% con respecto a las incidencias producidas en el año 2017.

Según el estudio elaborado por Optical Networks, solo el 30% de las empresas realizan análisis de vulnerabilidades periódicos y casi el 50% de las empresas peruanas invierten menos del 10% de su presupuesto en tecnología para protegerse de ciberataques, un bajo nivel de inversión en comparación con otras naciones.

Es prioritario que las empresas titulares de activos digitales destinen más recursos a la implementación de medidas preventivas y de protección de sus sistemas informáticos y aplicaciones para salvaguardar su información y la de sus usuarios; así como de medidas correctivas que le permitan afrontar las consecuencias reputacionales y económicas de los ciberataques.

¿Pero hasta qué punto las empresas pueden protegerse frente a los nuevos riesgos cibernéticos cuando estos le llevan la delantera al desarrollo de la solución e, incluso, a la detección de la vulnerabilidad? ¿Son las empresas responsables por los daños y perjuicios que generen los ciberataques de los que son víctimas?  

¿Qué es un ZERO DAY ATTACK?

Es aquel ciberataque que se aprovecha de las vulnerabilidades que son desconocidas por el desarrollador al momento de la creación del software, por lo que su ocurrencia resulta ser un evento extraordinario que no ha podido ser conocido ni superado por la evolución tecnológica.

A buena cuenta, se trata de una ventana de tiempo que existe entre que se presenta la amenaza del ciberataque y se desarrolla la solución, en la que el ciberataque es imprevisible e inevitable para las víctimas.

Dado el carácter extraordinario, imprevisible e inevitable de los ciberataques Zero Day, su ocurrencia se enmarca en la definición del “caso fortuito o hecho de fuerza mayor” que exonera a la víctima del ciberataque de la responsabilidad por la inejecución de sus obligaciones y/o por los daños y perjuicios producidos a terceros.

Recordemos que estos eventos, en definitiva, constituyen causas no imputables por lo que la inexistencia de “culpa”  es un requisito para su configuración.

Así, solo en la medida que la víctima del ciberataque haya actuado con la diligencia ordinaria, implementando los mecanismos de protección y actualizaciones disponibles en sus sistemas y aplicaciones, podrá ampararse en este supuesto de exoneración de responsabilidad; ya que de lo contrario, su negligencia (“culpa”) será un elemento determinante del éxito del ciberataque y por tanto se le considerará responsable de sus consecuencias.

Ello, sin perjuicio de que, la determinación del caso fortuito o hecho de fuerza mayor comprenda el examen de todas circunstancias involucradas en cada ciberataque Zero Day, pudiendo algunos ser considerados caso fortuito o hecho de fuerza mayor y otros no.

Exoneración de responsabilidad vs implementación de medidas de seguridad

Si bien, desde un punto de vista estrictamente legal, las empresas pueden quedar exoneradas de la responsabilidad por los daños y perjuicios producidos por un ciberataque Zero Day.

Desde un punto de vista comercial, el daño reputacional generado por la ocurrencia del propio ciberataque aunado a una negativa de la empresa víctima del mismo de asumir el resarcimiento frente a sus usuarios y terceros perjudicados, valiéndose del caso fortuito o hechos de fuerza mayor, podría constituir un pasivo más representativo que asumir las pérdidas y pagar las indemnizaciones que correspondan.   

El boom del comercio electrónico, el desarrollo de nuevas tecnologías y el consecuente incremento exponencial de los ataques cibernéticos registrados hacen primordial la generación de una “cultura de prevención”.

La adaptación a estas nuevas circunstancias debe ser una consecuencia natural de la digitalización de la sociedad y parte de la importancia de reconocer los riesgos cibernéticos y de asignar mayores recursos para contrarrestarlos.

La implementación y actualización de los mecanismos de seguridad – como medida de prevención y mitigación de riesgos – y la contratación de pólizas de ciberseguridad -como medida correctiva – que permita a las empresas víctimas de ciberataques afrontar las pérdidas económicas y solventar las indemnizaciones de los usuarios o terceros perjudicados, ya no debe ser una opción sino una tendencia en esta coyuntura y es a lo que debemos apuntar para garantizar la productividad de las empresas y la confianza de los usuarios.