Joan Taulé, vicepresidente de CrowdStrike para el sur de Europa

Tres años después de la entrada en vigor de uno de los reglamentos más estrictos del mundo sobre privacidad y protección de datos, repasamos los aspectos más importantes de la norma en su relación con la ciberseguridad.

El pasado mes de mayo se cumplieron tres años de la entrada en vigor del Reglamento Europeo de Protección de Datos. Aunque en ese reglamento se recogían las principales directrices europeas e internacionales de privacidad y de protección de datos ya existentes, como novedad, muy pronto se convirtió en un asunto que se empezaba a tratar en los Consejos de Administración de la mayoría de las empresas, especialmente por la necesidad de cumplir con las estrictas normas de privacidad para evitar sanciones. Al fin y al cabo, en estos tres años, el RGPD ha transformado la manera en la que se procesan, transfieren y protegen los datos en todo mundo, por lo que se puede certificar el éxito de la norma.

Uno de los aspectos más controvertidos del RGPD ha sido siempre el relacionado con los flujos de datos entre países y qué mecanismos se pueden utilizar para cumplir con las exigencias que marca la legislación. El RGPD introdujo requisitos relacionados con la ciberseguridad, obligando a las empresas a adoptar medidas organizativas y técnicas adecuadas a los niveles de riesgos para proteger sus activos de cualquier ataque.

Las amenazas a la protección de datos, responsabilidad de la ciberseguridad

Las amenazas contra la protección de datos se disfrazan de diferentes formas. De hecho provienen de una amplia variedad de formas de exposición de datos, algunas no intencionadas, y de diferentes tipos de invasión a la privacidad. De todas maneras, los riesgos más importantes casi siempre provienen de incidentes relacionados con la ciberseguridad. De hecho, en los últimos tres años, destaca que se ha tenido que redefinir lo que significa “requisitos relacionados con la ciberseguridad” para poder dar respuesta a los ataques más sofisticados que han recibido. 

Sin ir más lejos, los recientes ataques a la cadena de suministro de varias organizaciones han dejado claro que el éxito de los criminales no sólo se debe a movimientos laterales dentro de una empresa sino también a los movimientos a lo largo de todo su ecosistema. Estas campañas que hemos observado ponen de manifiesto que la protección de los activos mediante autenticación podría ser efectiva hace tres años pero ya no.

Antes de la entrada en vigor del RGPD el ransomware era muy utilizado por los delincuentes y campañas muy destructivas, como las que vimos con WannaCry o NotPetya, también afectaron a la norma. El ransomware continúa utilizándose en campañas contra infraestructuras críticas, como la que afectó hace unas semanas a Colonial Pipeline. Sin embargo, los ataques más comunes ahora mismo provienen incluso de delincuentes sin conocimientos o sin infraestructuras y que atacan a empresas de cualquier tamaño gracias al ransomware-as-a-service.

Lo que es una realidad es que, en sus diferentes modalidades, el ransomware ha proliferado en estos tres años amenazando a la protección de datos. Por ejemplo a partir de la extorsión que realizan los delincuentes después de robar los datos. Un criminal no sólo bloquea el acceso a los datos de la víctima, sino que además filtra algunos para demostrar la veracidad de su amenaza y exhortar al pago. Esto complica las estrategias de notificación a las que obliga el RGPD, lo que hace pensar que las amenazas evolucionan de manera mucho más rápida que las medidas propuestas por la norma para luchar de forma efectiva contra los ataques. Por eso, es fundamental que las empresas evalúen si sus enfoques de seguridad siguen siendo válidos tres años después.

El RGPD promueve la idea de que una brecha puede prevenirse asegurando que se toman las medidas organizativas técnicas y físicas apropiadas. Estas medidas pueden ser diferentes según cada caso, pero la prevención de las brechas de datos precisa de algo más: visibilidad en todos los entornos (incluidos entornos efímeros y cloud) y concienciación contextual. Por eso, las empresas deben tener en cuenta los Considerandos 47 y 49 del RGPD antes de procesar sus datos contra brechas de seguridad.

De hecho, según la guía publicada por ENISA, se aconseja a las empresas adoptar soluciones XDR (detección y respuesta extendidas) para protegerse correctamente de este tipo de brechas. Las soluciones XDR suelen poner en orden las a veces caóticas estrategias de seguridad, derivando conocimientos procesables donde sea necesario, por ejemplo a los datos de respuesta y detección en el endpoint, a los logs de autenticación o a la telemetría de la red. 

Avanzar sobre enfoques heredados para proteger los datos es fundamental para darnos cuentas de que muchas brechas se producen sin necesidad de que existe malware, solamente porque se han recogido credenciales robadas, por servicios mal configurados, por herramientas de administración nativas o legítimas o por ataques a la cadena de suministro. Por eso precisamente, es imprescindible que en las prácticas de protección de los datos se incorporen medidas de seguridad que pongan énfasis en la autenticación, como por ejemplo los enfoques de confianza nula (Zero Trust).

Cuando se llevan a cabo las iniciativas Zero Trust, los usuarios tienen que reautenticarse o reestablecer los permisos en cualquier dispositivo o recurso que utilicen para acceder a los activos de la empresa, en lugar de la autenticación automática que se usaba hasta ahora. Esta visión holística de identidades reduce y previene los movimientos laterales y los escalados de privilegios durante un evento relacionado con la seguridad.

Si echamos la vista atrás, muchas empresas gastaron tiempo, energía y dinero en prepararse o adaptarse al Reglamento. Este aniversario marca perfectamente un hito para recordar precisamente que cumplir con el RGPD es un proceso continuo en el que las empresas deben incentivar las mejoras continuas para proteger los datos de los que son responsables.

La Unión Europea ha planteado sanciones importantes por no cumplir el reglamento a empresas que han sufrido brechas de datos o que no han notificado esas brechas, tal y como obliga la norma. Este fenómeno refleja la constante evolución en las amenazas que viven las empresas de todo el mundo y sirve como recordatorio de que es posible se queden cortas si se conforman con las bases legales de procesos de datos personales.