Cuando se lee el término “Archivos Tesla“, se hace referencia a la filtración de datos que se conoció en mayo pasado, cuando el medio de comunicación alemán Handelsblatt recibió 100 GB de archivos con información sobre empleados y asuntos internos de la empresa de Elon Musk. Noticias más recientes informan que Tesla ha identificado y denunciado a los dos antiguos empleados responsables de la filtración.
Existen precedentes ilustres, hasta el punto de que se recuerda a Hervé Falciani, el ex informático del banco Hsbc que sustrajo los datos de miles de grandes evasores fiscales. Conviene hacer una aclaración propedéutica: Hervé Falciani siempre se ha declarado denunciante de irregularidades, algo discutible porque intentó vender los datos y, a pesar de ello, consiguió apoderarse de datos sensibles y sacarlos fuera de la empresa.
El escenario que emerge tiene una superficie estrecha: las empresas temen los ataques desde el exterior y subestiman los del interior, y los dos tipos, en la práctica, no dan resultados muy diferentes, ya que pueden provocar daños económicos y de reputación.
El hecho es que, volviendo a Tesla, este ni siquiera es el primer problema interno. Retrocediendo en el tiempo, en abril de 2023, Reuters informó sobre la facilidad con la que los empleados de la empresa pueden apoderarse y difundir los vídeos grabados por las cámaras de los coches, y esto, antes que cualquier otra cosa, pone en tela de juicio todas las garantías de privacidad.
Se puede reducir el riesgo de fuga de datos desde dentro, y la filosofía subyacente para poder hacerlo la ilustra Konstantin Sapronov, Jefe del Equipo Global de Respuesta ante Emergencias de Kaspersky.
Índice de temas
Reducir el riesgo de fuga de datos desde dentro
Las tecnologías para reducir el riesgo son muchas y actúan de diferentes maneras. Puede que no sean capaces de anular el riesgo de fuga de datos de información privilegiada pero, en el peor de los casos, reducen la audiencia potencial de los denunciantes y actúan como elemento disuasorio.
La primera medida a aplicar es el acceso a los datos, confinando los datos sensibles a directorios o bases de datos accesibles únicamente a un número muy reducido de usuarios. Las políticas de acceso también pueden extenderse a todos los dispositivos móviles que tengan los empleados y desde los que puedan conectarse a la red corporativa.
Del mismo modo, una política de confianza cero sólida y meditada puede marcar la diferencia, aunque no pueda erradicar el problema del robo de datos desde dentro.
Cuando esto no es suficiente porque los datos sensibles son propiedad de una multitud de usuarios (piense en los departamentos administrativos de las empresas multinacionales), se pueden tomar medidas adicionales como, por ejemplo, registrar las actividades de los usuarios mientras utilizan los sistemas de gestión o las bases de datos. La supervisión de las actividades de los empleados es posible -aunque con algunas limitaciones- gracias al Garante de la Privacidad, donde para las empresas coincide con el control defensivo.
Existen varios programas de software que inhiben el uso de puertos USB (y, por tanto, de periféricos que puedan conectarse a los ordenadores) y el uso de reproductores/grabadores de CD.
El uso de proxies puede regular (y en cualquier caso registrar) las actividades realizadas por los empleados en línea, haciendo más difícil la exfiltración de datos utilizando servicios privados en la nube o el correo electrónico.
Por último, pero no por ello menos importante, las políticas de la empresa relativas al comportamiento impropio deben ser claras y estar bien detalladas. No estamos hablando sólo del despido por causa justificada, sino también de las represalias penales y civiles que la empresa puede reservarse.
Cuando no se puede confiar únicamente en la tecnología, las políticas de la empresa son disuasorias.
Las consecuencias para Tesla
Más allá de la exposición a los daños económicos y de reputación comunes a todas las infracciones, hay que contar con los reguladores nacionales y supranacionales.
En el caso de Tesla, no se puede descartar la influencia del GDPR, que prevé multas para las empresas que no protejan adecuadamente los datos personales. En los Países Bajos, donde se encuentra la sede europea de Tesla, la Autoridad de Protección de Datos ha abierto una investigación sobre esta infracción, aunque todavía no ha tomado una decisión.
Conclusiones
Confiamos las conclusiones a Konstantin Sapronov: “Cuando se trata de la ciberseguridad de una empresa, el factor humano puede efectivamente suponer un riesgo. Los empleados potencialmente insatisfechos pueden, de hecho, ser responsables de filtraciones u otros tipos de actividades ilegales ante evaluaciones profesionales, económicas o de otro tipo. Por desgracia, es imposible eliminar estos riesgos por completo. Los infiltrados tienen ventajas sobre los atacantes externos: disponen de más información y sus acciones son más difíciles de detectar”.
Quienes conocen la empresa desde dentro gozan de confianza y tienen, al menos teóricamente, acceso a una gran cantidad de datos, y por estas razones, sugiere Sapronov, “estos riesgos pueden y deben mitigarse, y deben tomarse medidas para minimizar los daños en caso de que se produzcan. En primer lugar, es necesario limitar el acceso de los empleados a los datos confidenciales basándose en el principio de ‘necesidad de conocer’. Para la información más sensible, deben aplicarse medidas adicionales como la encriptación o la autenticación multifactor. Para minimizar los daños causados por las filtraciones internas, debe implantarse un sistema de registro y supervisión del acceso a los datos importantes. Esto ayudará a detectar los ataques en una fase temprana y a investigar los incidentes que ya se hayan producido”.
Prohibida su reproducción total o parcial.