¿Puede usted ser responsable si su sitio web es hackeado?

Artículo escrito por:
  • Negocios en línea
  • Actualizado: Jul 03, 2017

La delincuencia contra las empresas, servicios y minoristas no suele involucrar a las empresas físicas tanto como antes. En cambio, lo que encontramos es un aumento en la ciberdelincuencia tanto de los "freelancers" como de los sindicatos de piratería. Quieren que la información confidencial del usuario se venda a los ladrones de identidad (o se utilicen ellos mismos).

Sin embargo, ¿qué pasa con las consecuencias legales para las empresas que son víctimas de estos ataques? ¿Tienen la responsabilidad de proteger la información? ¿Y cuál es el alcance de esa responsabilidad?

La respuesta corta, depende. En la mayoría de las sociedades modernas, hay muy pocas situaciones de corte y secado cuando se trata de responsabilidad. Hay grados de razonabilidad, culpabilidad y asuntos de escala a considerar. Dado que los sitios web pueden tratar con millones de usuarios y una gran cantidad de dinero de manera regular, y por lo tanto, millones de piezas de información potencialmente privada, una respuesta clara es imposible.

Como nota, gran parte de lo que ha ocurrido se ha aplicado principalmente a grandes corporaciones, pero si dirige una pequeña empresa (basada en la web o de otra manera), la mayoría de las mismas leyes se aplicarían si su sitio web se vio afectado por una infracción.

Veamos algunos casos y violaciones anteriores para determinar mejor su riesgo:

Violaciones de datos: escala y tipos

La realidad de la violación de datos (estadísticas 2016, fuente: Índice de nivel de incumplimiento).

Considere, hipotéticamente, que su empresa ha sido víctima de una violación de datos. Antes de atender el daño, debes determinar la escala del ataque. ¿Cómo se hace esto?

Primero, consideremos los datos que fueron robados:

  • Su empresa no va a enfrentar muchos problemas legales por el robo de una dirección de correo electrónico. La víctima puede que ni siquiera se dé cuenta. Las direcciones de correo electrónico son baratas y comunes, y una pequeña infracción o un hackeo en sus listas de suscriptores suele ser la causa de este tipo de infracción.
  • La información de la cuenta es otro asunto. Si se roban cuentas de su sitio web, es posible que se cometan fraudes y, por lo tanto, es posible que haya daños.
  • Si se produce una violación de datos y se roba la información financiera y de identificación de sus clientes, especialmente en masa, será un problema si se le puede encontrar negligente. Ocurrirá un robo de identidad y pueden surgir otros problemas potenciales (considere lo que un criminal puede hacer con la dirección de alguien).

La escala también puede importar mucho. Se imponen muchos acuerdos y multas por persona afectada (como es la naturaleza de una demanda colectiva). Su empresa probablemente puede permitirse la pérdida de registros 10 ya que es muy poco probable que una infracción de este tamaño llegue a los tribunales. Sin embargo, no puede manejar la pérdida de registros financieros de 100,000. Por ejemplo, Target Recientemente pagó un acuerdo de $ 18.5 millones a varios gobiernos estatales por una violación de datos de 2013 que involucra millones de registros de tarjetas de crédito.

¿Qué precedentes han sido establecidos?

Fundamentalmente, la ley se basa tanto en los precedentes como en lo que está escrito en los libros, así que echemos un vistazo a lo que sabemos de violaciones y casos anteriores:

1- Las empresas pueden ser consideradas responsables (o lo serán pronto)

Las empresas y sitios web tienen una responsabilidad con sus clientes y clientes. Este es especialmente el caso en ciertos campos, como el cuidado de la salud y la ley, donde el mal manejo de los registros y la confidencialidad tuvo consecuencias mucho antes de la era de Internet. Estas reglas aún se aplican, y si su sitio web opera en campos confidenciales, debe saber lo que puede y no puede hacer. La ley es clara.

Sin embargo, para todos los demás, las aguas aún son turbias en cuanto al alcance de la responsabilidad, aunque solo sea por ahora. En el Reino Unido, los asentamientos y multas están aumentando. Nueva legislación en la UE, una vez que entre en vigor, bajará duro en las empresas, que pueden imponer multas de miles de millones de dólares en multas a las empresas que no protegen suficientemente su información y se encuentran en el extremo equivocado de una violación de datos.

¿Qué podemos esperar de los Estados Unidos en este asunto? Esto es poco o nada de legislación explícita sobre esto. Las demandas se presentan casi automáticamente cuando hay una violación de datos a gran escala, pero eso es lo que se espera cuando los abogados vean signos de dólar y la oportunidad de obtener cierta publicidad. En su lugar, se resuelve caso por caso, lo que nos lleva a ver otros ejemplos.

2- Los daños deben ser claros

Las violaciones de datos ocurren con frecuencia y, a menudo, parecen significar muy poco.

Es probable que muchas demandas de los consumidores no sean demasiado exitosas, ya que una posible lesión por robo de identidad no será un argumento sólido. Debería haber evidencia de una lesión real o inminente, que es difícil proporcionar inmediatamente después de una violación de datos. Esto puede cambiar, pero parece ser el caso hasta ahora.

La mayoría de los piratas cibernéticos y ciberdelincuentes saben que no deben probar los datos recién adquiridos, y muchos más simplemente están buscando a alguien que compre los datos para los anillos de robo de identidad (es probable que un pirata informático no use millones de números de tarjetas de crédito). Incluso entonces, la mayoría del robo de identidad no se robaría simultáneamente, lo que significa que una demanda colectiva es más difícil de organizar.

Wendy's, por ejemplo, tuvo una demanda colectiva en contra de ellos, pero la caso fue finalmente desestimado. El tribunal declaró que los daños no eran suficientes, y dado que esos daños fueron reembolsados, el caso no se presentó ante la ley. Más interesante aún, los tribunales encontraron que los cargos fraudulentos simples en una tarjeta de crédito no eran suficientes para justificar daños y perjuicios.

3- Negligencia y Protocolo Adecuado

Como ejemplo de una demanda colectiva que funcionó, Los clientes de Neiman Marcus ganaron un traje de $ 1.6 millones de dólares contra la compañía después de que se confirmó que el minorista no proporcionó la protección adecuada. Si bien esta es una empresa grande y no solo un sitio web, si está administrando un negocio, este es un mensaje claro de que no se puede tolerar la negligencia.

El gobierno ya ha ido tras empresas como Wyndham y TerraCom por no proteger adecuadamente la información. Algunos ejemplos de ofensas incluyen:

  • Almacenamiento de información de la tarjeta sin protección o encriptación.
  • No usar firewalls u otras medidas de seguridad en ubicaciones físicas.
  • Usando contraseñas fáciles de adivinar.
  • No restringir las conexiones externas.
  • Almacenamiento de información en servidores claramente desprotegidos.

Además, el gobierno ha exigido a las empresas que implementen mejores medidas de seguridad, agregando costos adicionales además de las multas.

4- Ciertos registros importan más

Como se mencionó anteriormente con respecto a los registros de salud, HIPAA (o un equivalente) se hará cumplir si se descubre que ha sido violado.

Recientemente, ha habido una serie de violaciones de datos de salud de alto perfil tanto en los Estados como en el extranjero, y sería una tontería pensar que no habrá una presión cada vez mayor para imponer una aplicación más estricta y crear sanciones más severas en la era digital. Si su sitio web está relacionado con la atención médica, debe considerar la ayuda profesional de seguridad cibernética.

Los registros relacionados con la gestión financiera directa u otra información confidencial también se mantendrán en un alto nivel. Morgan Stanley no pudo proteger la información del cliente y perdió $ 1 millones por ello.

Además, debe tenerse en cuenta que las estipulaciones del contrato u otras circunstancias legalmente vinculantes tendrán su propio peso en un tribunal de justicia. Si su empresa acepta mantener cierta información segura, usted es legalmente responsable de mantenerla segura, independientemente de otros precedentes.

5- Podría diferir por región

En los Estados Unidos, las leyes difieren de un estado a otro con respecto al uso de la tecnología y la responsabilidad del uso y la privacidad del sitio web. Todos los estados tienen leyes en los libros sobre delitos cibernéticos, aunque existen diferencias en cuanto a sanciones y normas.

Podría ser mucho más complicado si se trata de un incidente internacional. Los inquilinos del derecho internacional no son exactamente fáciles de entender. Este es especialmente el caso de las leyes relacionadas con la responsabilidad corporativa, y más aún cuando se trata de leyes relativamente nuevas relacionadas con la tecnología.

Como se dijo, los sistemas legales operan tanto por el precedente legal como por la legislación, y no ha habido muchos precedentes establecidos en este campo de la ley. Tampoco querrá ser un caso de prueba, ya que las personas vendrán a asociar su sitio con una violación de datos, ya sea que usted fuera responsable o no. Es casi imposible recuperarse de ese tipo de daño a su imagen.

Incidentes de infracciones en 2016 por región.

Reduciendo su riesgo de responsabilidad

Sin embargo, su riesgo de responsabilidad puede ser mitigado, incluso si se encuentra en el extremo equivocado de una infracción. Si usted es responsable y abierto sobre lo que sucedió, y no hay una manera razonable de evitar la violación, es probable que esté en lo correcto y pueda concentrarse en reconstruir la marca y la audiencia de su sitio web. Como siempre, la diligencia debida paga dividendos.

En resumen, debe hacer lo siguiente tan pronto como sea posible:

  • En la medida de lo posible, coloque protecciones en su sitio web que protegerán a sus visitantes. Obtenga HTTPS habilitado en su sitio web, asegúrese de que sus comentarios sean moderados automáticamente (o desactívelos, dependiendo de su sitio web), mantenga sus complementos actualizados y elimine los que estén desactualizados.
  • Proteja sus dispositivos de manera similar y tome precauciones contra los errores humanos. Es mucho más probable que una persona que no siga el procedimiento o las leyes adecuadas lo haga responsable de un supervirus que no tenga defensa.
  • Lea sobre las leyes de su estado con respecto al asunto. Si su organización puede permitírselo, busque asesoría legal para determinar el riesgo de responsabilidad en caso de que haya una filtración de información. Tenga en cuenta que este es un campo en constante cambio, y los precedentes y las leyes de hace unos años podrían no aplicarse.
  • Trate de probar en el futuro la seguridad de su sitio web tanto como sea posible. Si bien no hay manera de hacer esto perfectamente, intente imaginar estrategias potenciales que un pirata informático experto podría usar.
  • Si encuentra que su sitio web no funciona, responda de manera rápida y decisiva. Asegúrese de no tratar de cubrir la fuga ni de ocultar el alcance del daño. Solo hará que te veas mucho peor en cualquier investigación potencial y parecerá que tienes la culpa (los usuarios de tu sitio web tienen el derecho de protegerse y defenderse). No se implique y acepte toda la culpa (incluso en una publicación de blog), sino que reconozca la situación y diga al usuario lo que está haciendo para mitigar el daño y evitar que vuelva a ocurrir.

Hay probables Otras medidas que puede tomar para protegerse., pero son demasiado situacionales para poder ofrecer una visión real de esta pregunta sobre la responsabilidad. Cosas como si los scripts que usa en su sitio web lo hacen vulnerable (tenga cuidado con los métodos que usa para recopilar datos), los datos exactos que recopila y el nivel de interacción que tiene con su audiencia (los piratas informáticos pueden ver las comunicaciones y extrapolar información) desde allí) importa cuando se trata del tema de la responsabilidad de la ciberseguridad.

Independientemente de sus pensamientos sobre su posible responsabilidad, estará mejor si se protege y utiliza cualquier conocimiento que se le presente. Esta situación continuará cambiando, así que manténgase alerta para asegurarse de estar al tanto de cualquier riesgo, legal o relacionado con la ciberseguridad. Con las ideas y la dedicación adecuadas, no debería preocuparse por este problema.

Sobre el autor: Cassie Phillips

Cassie es una bloguera de tecnología y ciberseguridad que escribe regularmente para Pensamientos seguros. Por lo general, puedes encontrarla investigando nuevas tendencias y tratando de construir su audiencia. Ella espera que esta información lo ayude a mantenerse alejado de las amenazas en línea a medida que desarrolla su negocio.

Artículo de WHSR Guest

Este artículo fue escrito por un colaborador invitado. Las opiniones del autor a continuación son totalmente suyas y pueden no reflejar las opiniones de WHSR.