Existen claros paralelismos entre la propiedad de una vivienda y la ciberseguridad. Las puertas y ventanas cerradas y las alarmas domésticas tienen análogos cibernéticos, por supuesto, y a menudo se utilizan para ilustrar la importancia de tecnologías como la infraestructura de clave pública (PKI), la inteligencia de red y similares. Pero el estado del entorno de una casa y la amenaza que puede suponer para sus propietarios no suelen formar parte de la analogía. Deberían. Una alarma doméstica conectada por Wi-Fi no es eficaz contra un ladrón si no hay electricidad o si la red doméstica no funciona.
El mismo principio general se aplica a las empresas públicas. Es posible que una empresa parezca estupenda sobre el papel para los inversores. Tal vez haya desarrollado una nueva tecnología prometedora y haya tenido un crecimiento impresionante de los ingresos en los últimos 12 meses. Pero tal vez sean pésimos en ciberseguridad y hayan filtrado inadvertidamente su propiedad intelectual más valiosa a una empresa al otro lado del mundo, que está clonando su producto. Otra posibilidad es que los ciberdelincuentes hayan conseguido hacerse con el control de los sistemas de control industrial de un fabricante, lo que ha provocado paradas imprevistas o problemas de seguridad.
En nuestro mundo conectado, muchos inversores siguen buscando invertir en empresas con sólidos datos financieros, pero prestan poca atención a su madurez en materia de ciberseguridad. La postura de ciberseguridad de las empresas públicas puede contribuir a la volatilidad de las acciones. Según un análisis de CGI Group, una violación grave puede recortar un 1,8% la valoración permanente de las acciones de una empresa. Incluso la perspectiva de un uso no autorizado de los datos puede tener graves consecuencias, como le ocurrió recientemente a Facebook, que vio caer sus acciones de 185 dólares por acción el 16 de marzo a 153 dólares por acción el 28 de marzo. Equifax vio caer sus acciones de forma aún más espectacular el año pasado, cuando se reveló que más de 140 millones de estadounidenses habían sido víctimas de una brecha de ciberseguridad, cayendo alrededor de un 35%, de 141 dólares por acción el 6 de septiembre a 93 dólares el 15 de septiembre. Las acciones aún no se han recuperado.
Es fácil entender por qué la SEC publicó sus directrices sobre ciberseguridad a principios de este año, la primera vez que lo hace desde 2011. Por un lado, las redes y la tecnología de gestión de datos son ahora tan vitales para las empresas modernas como lo fue la electricidad en el siglo pasado. Por otro, sigue siendo difícil para los inversores tomar decisiones informadas a la hora de evaluar las empresas, dado que una sola brecha podría tener implicaciones a largo plazo para las empresas públicas. Con frecuencia, muchas empresas siguen ocultando o restando importancia a la ciberseguridad.
En nuestro mundo conectado, los piratas informáticos disponen de una miríada de objetivos potenciales que podrían acarrear problemas a empresas individuales o colectivas. Como explica la SEC en sus nuevas orientaciones "Ya se trate de las empresas en las que invierten los inversores, de sus cuentas en empresas de servicios financieros, de los mercados a través de los cuales operan o de la infraestructura con la que cuentan a diario, el público inversor y la economía estadounidense dependen de la seguridad y fiabilidad de la tecnología, los sistemas y las redes de información y comunicaciones". Es más, la lista de actores de amenazas de los que preocuparse es larga. Además de los piratas informáticos de sombrero negro que buscan hacer dinero, la SEC advierte de la posibilidad de que Estados nación, hacktivistas e incluso competidores perpetren ataques contra empresas públicas.
Los piratas informáticos podrían, por ejemplo, poner la mira en los sistemas automatizados utilizados por fondos de inversión cuantitativos como BlackRock. DARPA está trabajando para ayudar a reforzar las defensas de estos sistemas, ya que temen que los piratas informáticos puedan atentar contra la integridad de la infraestructura financiera introduciendo información falsa en las bases de datos de valores o modificando los algoritmos de negociación.
Aunque estos escenarios puedan parecer teóricos, el riesgo de este tipo de ataques es cada vez mayor. Los piratas informáticos ya están teniendo un efecto nocivo en las acciones de conocidas empresas y, en algunos casos, la SEC está tomando medidas coercitivas contra ellas. El ejemplo más reciente es el de Yahoo, cuyo holding Altaba ha sido multado recientemente con 35 millones de dólares. Yahoo no comunicó a los inversores que había sido pirateada en 2014 hasta dos años después.
Las orientaciones más recientes de la SEC abordan estos retrasos y proporcionan directrices para la divulgación oportuna de las violaciones cibernéticas. Se centra menos en la estrategia de ciberseguridad o en proporcionar recomendaciones concretas sobre las medidas que deben adoptar las empresas públicas para protegerse.
En última instancia, sin embargo, los riesgos cibernéticos están creciendo en volumen y tipo. Los ciberdelincuentes pueden ahora afectar negativamente a las empresas públicas a través de terceros que hacen negocios con ellas. Ejemplos de este principio incluyen el hackeo de Target en 2013 a través de un proveedor de HVAC y el ataque Dyn basado en la red de bots Mirai en 2016, que interrumpió la disponibilidad de Internet para empresas conocidas como Amazon, Spotify y Netflix.
Pero la Internet de los objetos (IoT) también abre un abanico de nuevos riesgos cibernéticos. Los piratas informáticos que atacan instalaciones industriales podrían herir o incluso matar a trabajadores, una posibilidad que podría dañar la reputación de una empresa y acarrearle demandas. Volviendo al ejemplo doméstico del principio de este artículo, ¿qué pasaría con las acciones de los gigantes tecnológicos si los hackers, por ejemplo, consiguieran acceder a los altavoces inteligentes y espiaran a millones de personas? ¿O qué pasaría con las acciones de un fabricante de detectores de humo conectados a Wi-Fi si los hackers consiguieran desactivar esos dispositivos sin que sus propietarios lo supieran, y varios de ellos vieran cómo sus casas se incendiaban? La variedad de posibles ciberataques nunca ha sido mayor.
En cualquier caso, no cabe duda de que las empresas públicas tienen mucho trabajo por delante para comprender las vulnerabilidades de seguridad a medida que evolucionan, al tiempo que determinan cuánta información deben compartir con la SEC. La propia agencia reguladora afirma que no pretende que las empresas compartan demasiada información. Afirma que no es necesario que las empresas le proporcionen "revelaciones detalladas que podrían comprometer sus esfuerzos de ciberseguridad - por ejemplo, proporcionando una 'hoja de ruta' para aquellos que tratan de penetrar en las protecciones de seguridad de una empresa"". Sin embargo, para que las empresas públicas mantengan la confianza de los inversores, es vital que dispongan de esa hoja de ruta y que sean honestas y francas a la hora de compartir una visión general de las vulnerabilidades y violaciones cibernéticas relevantes. Como dijo Franklin D. Roosevelt en 1933: "La confianza... prospera en la honestidad, en el honor, en el carácter sagrado de las obligaciones, en la protección fiel y en la actuación desinteresada. Sin ellos, no puede vivir".