Pese a nuevas reglas, hay pocas denuncias de ciberdelitos en EEUU

WASHINGTON - Los ciberpiratas irrumpieron en las computadoras de la empresa hotelera Wyndham Worldwide Corp. tres veces en dos años y sustrajeron información de tarjetas de crédito de cientos de miles de clientes.

Wyndham no reportó la irrupción informática en sus documentos financieros, pese a que la Comisión de Valores y Cambio (SEC, por sus siglas en inglés) quiere que las compañías informen a los inversionistas acerca de este tipo de delitos.

En medio de los rumores de grandes golpes cibernéticos que generan millones de dólares en pérdidas, sigue resultando sumamente difícil identificar a las empresas que son víctimas de estos ilícitos. Las compañías tienen miedo de que divulgar los casos dañe su reputación, hunda el precio de sus acciones o derive en litigios.

El presidente de la Comisión de Comercio, Ciencia y Transporte en el Senado, Jay Rockefeller, está añadiendo una provisión a las leyes de seguridad informática, con el objetivo de reforzar las disposiciones para que las empresas reporten los casos.

Los parámetros de la SEC emitidos en octubre no son obligatorios. Tenían la intención de actualizar para la era digital el requisito de que las compañías reporten "riesgos materiales" que los inversionistas desearían conocer.

La medida de Rockefeller daría instrucciones a los cinco comisionados de la SEC para que aclaren cuándo deben las empresas revelar irrupciones informáticas y definir los pasos que dan a fin de proteger sus redes de computación contra fugas de información.

Recientemente, la SEC impugnó la decisión de Amazon, la minorista de internet, que omitió en su reporte anual de 2011 las referencias al robo de datos de consumidores que estaban en poder de Zappos, una zapatería virtual.

Amazon, dueña de Zappos, accedió después a modificar ligeramente el estado financiero, de acuerdo con la correspondencia entre la compañía y la SEC, pero la empresa siguió argumentando que el ataque contra Zappos no estaba contemplado por los parámetros de seguridad informática de la Comisión, pues no tuvo un impacto sustancial en el negocio de la compañía.

Los ciberdelitos son muy comunes y no se limitan a Estados Unidos. El jefe de la agencia de espionaje interno de Gran Bretaña informó en junio que la seguridad informática figura al lado del terrorismo como uno de los mayores desafíos para Reino Unido. En un caso reciente, una empresa que cotiza en la bolsa de Londres, cuyo nombre no se reveló, fue golpeada por un ataque informático e incurrió en pérdidas de ingresos por 1.200 millones de dólares, dijo el director de la agencia MI5, Jonathan Evans, en unas inéditas declaraciones públicas.

Evans no identificó la empresa ni dijo qué país había perpetrado el ataque. Estados Unidos ha señalado que China y Rusia son los gobiernos más frecuentemente involucrados en irrupciones semejantes.

"Lo que está en juego no son sólo los secretos de nuestro gobierno, sino también la seguridad de nuestra infraestructura, la propiedad intelectual que apuntala nuestro futuro próspero y la información comercial delicada, que es la sangre de nuestras empresas", dijo Evans.

La investigación realizada por un experto en seguridad informática muestra que decenas de compañías que figuran en la lista Fortune 500 han perdido un buen cúmulo de información valiosa por cuenta de los ciberdelitos, incluida propiedad intelectual, datos de cuentas bancarias, información restringida sobre pacientes de empresas farmacéuticas o expedientes judiciales internos.

Rodney Joffe, de Neustar, una empresa de manejo de infraestructura de internet en Virginia, supervisa las redes empleadas por grupos de ciberdelincuentes y rastrea el origen de la información robada. Encontró evidencias de que fueron comprometidas 162 de 168 empresas en los sectores químico, de manufactura y de transporte. Los nombres de las compañías se mantienen en secreto por respeto a sus derechos de propiedad, dijo Joffe.

"Nadie está seguro. Todos están en peligro", consideró. "Cuando la gente te dice, 'nuestra empresa está protegida', se está engañando a sí misma".

La SEC no está rastreando cuántas empresas cumplen con sus parámetros de seguridad informática, pero las empresas que cotizan en la bolsa se han resistido históricamente a proporcionar información sobre incidentes informáticos porque esto pone en evidencia sus puntos débiles, dijo Peter Toren, ex fiscal federal de la división de delitos mediante computadoras en el Departamento de Justicia.

"Esto simplemente no se ve bien", agregó Toren.

La irrupción en las computadoras de Wyndham fue descrita en una demanda de la Comisión Federal de Comercio (FTC, en inglés), interpuesta en junio contra la compañía y tres filiales, por presuntas fallas de seguridad que derivaron en las tres fugas de información entre abril de 2008 y enero de 2010. Las fallas causaron "la exportación de datos de cuentas financieras de cientos de miles de consumidores hacia una dirección de internet registrada en Rusia", señaló la FTC.

Agregó que se perdieron también millones de dólares por cobros fraudulentos en las cuentas de los consumidores.

Wyndham no mencionó las invasiones electrónicas en su reporte anual de 2011 ni en documentos previos presentados ante las autoridades de valores, de acuerdo con una revisión de los registros por parte de The Associated Press.

El reporte anual de Wyndham, correspondiente a 2011, señaló que "la industria hotelera enfrenta un ataque creciente de los delincuentes informáticos en Estados Unidos y otras jurisdicciones en las que operamos" y destacó que estaba involucrada en "reclamos relacionados con seguridad de la información y privacidad de los datos".

Wyndham gastó 13 millones de dólares más en mejoras de seguridad y espera erogar hasta 100 millones en 2012 para enfrentar "la amenaza global y cada vez más agresiva de los ciberdelincuentes", de acuerdo con el reporte.

En un correo electrónico a The Associated Press, Wyndham aseguró que ha "cumplido plenamente con la regulación de la SEC respecto de la divulgación de eventos graves". En el comunicado, Wyndham señaló que los incidentes fueron "reportados con antelación", una referencia aparente a la notificación a los consumidores que se publicó en el sitio Web de la compañía. Además, el grupo consideró que las afirmaciones de la FTC carecen de sustento.

Verisign, una compañía de infraestructura de red, reportó a finales de octubre, unas semanas después de que la SEC emitió sus parámetros, que hubo varios ciberataques exitosos contra sus redes en 2010. En el documento, Verisign indicó que la gerencia de la compañía no fue informada de los ataques sino hasta septiembre de 2011.

LinkedIn, el servicio de redes de socialización profesional, anunció el 12 de junio el robo informático de 6,5 millones de contraseñas de usuario. Agregó que el anuncio cumplía sus obligaciones ante la SEC, pero la compañía no ha presentado aún el reporte del incidente ante la comisión.

Los nuevos criterios de la SEC ejercen presión sobre las empresas para decidir si revelan una fuga o si la mantienen en secreto, dijo Jody Westby, de la consultoría Global Cyber Risk. Sin embargo, la analista dijo que la demanda de información podría equipararse con cerrar la puerta después de que los ladrones ya entraron a la casa.

"Lo mejor habría sido que la SEC requiriera que todas las compañías públicas dijeran si han tomado medidas para implementar un programa de seguridad", señaló Westby.

__

La investigadora de The Associated Press Julie Reed contribuyó con este reportaje.

__

En la internet:

Parámetros de la SEC: http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm