El morbo por las cifras de hackeos daña más que los ciberataques mismos
Morbo por cifras de hackeos daña más que ciberataques

El espectáculo de las filtraciones: cuando el morbo numérico supera al daño real

Cada vez con mayor frecuencia, el consumo de noticias sobre ciberseguridad se asemeja a la lectura de marcadores deportivos con titulares estridentes: "se vulneraron 20 millones de registros", "se filtraron 30 millones de datos", "es la base de datos más grande de la historia". Si bien el volumen ayuda a dimensionar la magnitud del problema, existe un riesgo real de que la conversación se agote en la cifra, en el morbo de la atribución o en la carrera frenética por la primicia.

Personas reales detrás de los datos vulnerados

Cuando las noticias u opiniones en medios se centran únicamente en quién fue el atacante, perdemos de vista lo más importante: la seguridad y privacidad de las personas reales que están detrás de esa información. Una vulneración de datos no es un evento técnico abstracto. No le ocurre a los servidores; le ocurre a la vida de las personas.

Pablo Corona Fraga, Presidente de la Asociación de Internet Mexicana señala que "en la administración pública y en las empresas, el activo crítico no es el código SQL o el servidor en la nube; es la confianza de la ciudadanía y los clientes".

Banner ancho de Pickt — app de listas de compras colaborativas para Telegram

Distinguir conceptos fundamentales

Por ello, es vital distinguir conceptos que solemos mezclar:

  • Vulnerabilidad: una debilidad en el sistema
  • Intrusión: el aprovechamiento de esa falla
  • Filtración: la salida de control de la información

Casi toda filtración grave es el síntoma final de vulnerabilidades no atendidas y controles insuficientes. Aquí es donde el periodismo enfrenta su mayor dilema ético.

El dilema ético del periodismo en ciberseguridad

El rol social del periodismo es indispensable para exhibir fallas y exigir rendición de cuentas, pero cuando el objetivo se convierte en clickbait, se termina amplificando el daño. Al publicar capturas de pantalla de bases de datos reales, describir foros clandestinos o dar detalles de cómo acceder a la información robada, el informador se transforma, involuntariamente, en un promotor del mercado negro.

Se crea una paradoja peligrosa: se denuncia una vulneración, pero al mismo tiempo se incrementa su impacto al facilitar la reidentificación de las víctimas. Incluso la obsesión de poner el foco en "quién lo hizo" suele ser una distracción. En ciberseguridad, atribuir con certeza es sumamente complejo y, a menudo, un juego de especulación.

El estándar ISO/IEC 29147: un marco fundamental

Para ordenar este caos, existe un estándar poco conocido pero fundamental: el ISO/IEC 29147. Este marco define cómo las organizaciones deben gestionar la divulgación de vulnerabilidades. La idea es simple: antes de hacer pública una falla, se notifica al responsable y se acuerda un periodo razonable para corregir.

Este "tiempo de gracia" (que comunidades dedicadas a encontrar vulnerabilidades de día cero, como Project Zero fijan en esquemas de 90 días o el CERT/CC en 45) no es un favor a la institución, sino una medida de protección para los usuarios. Divulgar sin dar tiempo a corregir puede regalarle una llave a otros delincuentes.

Hacia una gestión proactiva de incidentes

La gestión de estos incidentes debe dejar de ser reactiva. Las organizaciones necesitan procesos maduros de remediación, por ejemplo estar alineados con ISO/IEC 27001, incluyendo canales claros de reporte y equipos de respuesta a incidentes. La ciberseguridad no debe depender de un heroísmo aislado ante la crisis, sino de un sistema de gestión que integre también la privacidad (como propone el estándar ISO/IEC 27701).

Propuestas para una cobertura responsable

Para que la cobertura de estos eventos evolucione hacia una verdadera cultura de seguridad, es necesario cambiar el enfoque:

Banner post-artículo de Pickt — app de listas de compras colaborativas con ilustración familiar
  1. Evitar el sensacionalismo: Ser el primero no es ser el mejor si en el camino se expone a gente inocente.
  2. Educar al publicar: Explicar la naturaleza de la vulneración, por ejemplo qué es el phishing o la importancia del segundo factor de autenticación (MFA) es más útil que narrar el folklore del mercado negro.
  3. Centrarse en la utilidad pública: En lugar de describir foros clandestinos, hay que informar sobre las señales de alerta de fraude y los pasos inmediatos que el ciudadano puede tomar para protegerse.

Un cambio de paradigma necesario

En última instancia, la ciberseguridad está compuesta por varias capas, de manera similar a la salud pública, donde debemos trabajar en la prevención, monitoreo, detección, contención, respuesta y recuperación. Detrás de cada millón de registros filtrados hay familias, empleos y personas vulneradas.

Si logramos desplazar el foco del "quién" al "cómo protegemos", habremos dado un paso enorme. No hacia la utopía de la seguridad total, sino hacia un modelo de responsabilidad donde la transparencia no sea un espectáculo, sino una herramienta para reducir el daño.