Durante unos meses, el mundo online se ha convertido en el único mundo a través del cual interactuar con el resto de la sociedad y, en consecuencia, en el foco de todas las miradas. Las empresas se han dado cuenta de que la construcción de la reputación no podía obviar el espacio digital y los grupos criminales no han perdido la ocasión de ampliar su campo de acción y los ciberataques se han disparado. Hablamos con Selva Orejón, fundadora y directora ejecutiva de OnBranding, empresa de referencia en la gestión de crisis de reputación digital y ciberseguridad.
¿Cómo ha afectado la pandemia a una empresa como OnBranding?
Nos ha afectado bastante más en cuanto a la ciberinvestigación y la ciberseguridad que no en cuanto a la reputación digital, pero son vasos comunicantes, porque cuando hay un ataque a la ciberseguridad siempre hay una afectación reputacional, especialmente en función de cómo se gestione el incidente. Hemos visto que, en general, los departamentos de comunicación no tienen mucha relación con los departamentos de seguridad y como que en este periodo ha aumentado tanto el cibercrimen, finalmente esto ha acabado afectando a la reputación de las empresas. Todavía no tenemos datos de este incremento, pero nosotros hemos tenido que incorporar a cinco personas al equipo (que ahora es de 26 personas), a causa del aumento de amenazas al ram software y de cuentas hackeadas, suplantaciones de identidad y ataques relacionados con las deep fake. Para nosotros ha sido un año positivo en cuanto a la facturación, pero también ha habido más impagos que nunca. El volumen de trabajo va por oleadas, en función del cibercrimen, pero en el futuro probablemente aumentarán las campañas de saqueo de cuentas, salvo que las plataformas sociales incorporen medidas preventivas.
A pesar de que las empresas pueden construir su identidad digital, la reputación no depende nunca del todo de la organización. ¿Cómo se puede hacer frente al peligro que esto supone?
Lo más importante es el diagnóstico de cómo estamos. Hay que saber cuál es el frente en que la empresa es más vulnerable y conocer cuáles son las organizaciones o las personas que pueden hacer daño a la reputación, cuáles son las palabras clave y qué dominios se tienen que monitorizar. Hemos visto que la mayoría de las instituciones todavía no tienen sistemas de vigilancia digital que contemplen tanto la vertiente reputacional como la propiamente de ciberseguridad y esto para mí es básico. A veces, es porque quien toma las decisiones no se ha visto nunca en una situación de estas características y hasta que no lo sufre y no tiene el recuerdo emocional de cómo se pasa, no se pone las pilas. Piensa que hay menos de 20 agentes en el área de ciberdelincuencia de los Mossos: ¡esto es absurdo!
Últimamente se habla de la “cultura de la cancelación”, los llamamientos al boicot a personas u organizaciones que han tenido conductas cuestionables. Pero en algunos casos por conductas que han pasado hace años o por las cuales los protagonistas han pedido disculpas. ¿Cómo se puede hacer frente?
Siempre depende del caso, pero lo primero que haría es un diagnóstico para ver cuál es el nivel de preocupación que está generando en la población, hasta donde llega la difusión y quienes son las personas afectadas. Después, analizaría si hay una ‘criticidad’ para el negocio y, en función de cómo sea de grave, empezaría a hacer declaraciones o, incluso, a tomar decisiones relativas 100% al negocio. No estoy muy de acuerdo con el silencio, pero hay clientes que nos lo piden. Por otro lado, en algunos casos, como el de un cliente con una acusación falsa de pederastia, en el momento en que se te da la razón desde el punto de vista legal, puede ser ya demasiado tarde, porque se ha hecho tanto ruido y ha habido un desgaste emocional tan fuerte que el mal ya está hecho.
También trabajáis para defender el derecho al olvido de los clientes en Internet. ¿Cómo se conjuga con el derecho a la información?
Al derecho al olvido se pueden acoger las personas, porque para las empresas sería más bien el derecho al honor. En todo caso, no son fáciles de conjugar: a veces tenemos que decir a los clientes que lo tendremos muy complicado, porque son personajes públicos y, por lo tanto, el derecho a la información pasa por encima del derecho al olvido. En estos casos, lo que proponemos a los clientes es trabajar para desposicionar estos contenidos y generar contenidos neutros o positivos que puedan indexar en los navegadores de forma que cuando las personas busquen la información, les aparezca el que los clientes quieren y no la información que se ha publicado en algunos medios de manera ni siquiera contrastada.
«Los departamentos de comunicación no tienen mucha relación con los de seguridad»
Perfiles relevantes de la política, la cultura o los medios han puesto de actualidad el abandono de redes como Twitter por el alto número de perfiles falsos que solo intoxican. ¿Cómo se tienen que gestionar las interacciones con este tipo de perfiles? ¿Dejar las redes es una opción para las empresas?
De entrada, me parece muy triste que, viendo la cantidad de casos de acoso que llevamos, Twitter no dé respuesta a situaciones como ésta añadiendo un filtro de control de contenidos por palabras clave, que no tiene que ir en contra de la libertad de expresión, sino que tiene que permitir un debate con respeto y dentro de la legalidad. En todo caso, como empresa, lo primero que hay que hacer es tener publicadas las políticas de participación en las redes sociales corporativas, redirigir al usuario que las vulnere y decirle “mire, este es el motivo por el cual sus comentarios serán silenciados”. Se tiene que diferenciar muy bien cuando se trata de un trol que critica de manera no argumentada dentro de una campaña organizada de cuando es un usuario descontento que lo único que hace es ejercer su derecho de opinión. En este caso, hay que recoger su crítica, aplicar la empatía táctica y ser congruentes con el código ético de la empresa. Dejar las redes puede tener sentido cuando tu target realmente no está, pero dejarlas por miedo y hacer la técnica del avestruz yo no lo haría: al contrario, creo que en este caso la empresa tendría que dedicar más recursos.
El teletrabajo, como decías, ha hecho crecer los ciberataques. ¿Cuáles son los patrones más habituales y cuáles son los que más tienen que preocupar las empresas?
El más grave para mí es que la mayor parte de las empresas han optado por el BYOT, el bring your own device, es decir, que cada usuario trabaje con su propio dispositivo, y ésto, si los usuarios no están entrenados, puede no garantizar la seguridad de los datos y puede dejar la puerta abierta para que el usuario se quede con cierta información. Además, también me preocupa bastante que las configuraciones de acceso a estos dispositivos, al router o a la conexión 4G se están haciendo sin VPN, una virtual private network, y, como ésto implica que la empresa no tiene conocimiento del control de las comunicaciones, es posible que se filtren informaciones sin que la empresa lo sepa. Se me ocurren muchos tipos de ataque, pero uno de los más bestias es el man in the middle, que consiste en crear una red que se llama igual que la de la empresa, pero que no tiene contraseña, hacer ver que es la empresa y quedarse con el tráfico de datos. Esto es absolutamente habitual. El mínimo, en el supuesto de que los dispositivos sean personales, sería que fueran MDM, que partan el disco en compartimentos estancos, usar soluciones de VPN de pago y soluciones antivirus y antimalware.
¿Defender la reputación de una organización que ha incurrido en malas prácticas os supone un dilema ético?
Nosotros en estos casos no trabajamos. Tenemos un código ético publicado en la web y que dice que no trabajamos para personas o empresas que hayan sido condenadas por algún delito. Soy muy clara: escogemos cada uno de los casos y, si no lo vemos claro, no trabajamos.
¿Cuáles son los retos de futuro de la ciberseguridad y la reputación digital?
De entrada, el massive bote reporting, los ataques indiscriminados a una cuenta para silenciarla. Son muy complicados de solucionar, porque ponen la inteligencia artificial del grupo criminal contra la inteligencia artificial de las plataformas y ésta última todavía no es capaz de diferenciar si se trata de un reporting autorizado que se ha de contemplar o de un reporting orquestado. Ahora mismo tiene mala solución y esto me está preocupando bastante, porque nos encontramos, por ejemplo, con políticos que se han quedado en una semana tres veces sin acceso a su Instagram. Además, continúan siendo muy graves las campañas pagadas de desprestigio. En este caso, la empresa solo detectará el origen si paga un servicio de peritación como los que nosotros ofrecemos o como los que puede requerir por vía judicial, pero difícilmente si lo deja en manos solo del departamento de comunicación o solo del departamento de seguridad.
