A propósito de la caída de Microsoft

El 19 de julio de 2024, el mundo digital enfrentó una crisis sin precedentes: la caída masiva de los sistemas de Microsoft, causada por una actualización fallida de Crowdstrike, una compañía que le brinda un sistema de defensa informática a Microsoft. La interrupción se debió a una incompatibilidad en la actualización proporcionada por Crowdstrike, que hizo que los dispositivos que la utilizaban fueran reconocidos por el sistema como peligrosos.

Esta caída afectó principalmente a Estados Unidos y Europa, interrumpiendo operaciones como el check-in en aeropuertos y transacciones bancarias, lo que impactó negativamente el valor de mercado de Crowdstrike y Microsoft.

Este incidente es un claro recordatorio de los riesgos inherentes a nuestra dependencia de tecnologías centralizadas y abre el debate sobre la regulación existente ante este tipo de brechas. Perú, al igual que muchos países, enfrenta el desafío de revisar su legislación en privacidad y ciberseguridad para abordar estos riesgos emergentes.

Obligación de notificar incidentes

El Marco de Confianza Digital del Estado Peruano tiene como objetivo garantizar la confianza de las personas en su interacción con los servicios digitales prestados por entidades públicas y organizaciones del sector privado en el territorio nacional.

Desde el 2020, de acuerdo con el Decreto de Urgencia N° 007-2020, las entidades de la administración pública, los proveedores de servicios digitales del sector financiero, servicios básicos (energía eléctrica, agua y gas), salud y transporte de personas, proveedores de servicios de internet, proveedores de actividades críticas y de servicios educativos, tienen la obligación de notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad digital. Adicionalmente, deben reportar y colaborar con la autoridad de protección de datos personales cuando verifiquen un incidente de seguridad digital que involucre datos personales. Sin embargo, no se han señalado sanciones ante el incumplimiento de estas obligaciones.

Si bien hasta el momento no se ha reglamentado dicho decreto, se ha creado el Registro Nacional de Incidentes de Seguridad Digital, a cargo del Centro Nacional de Seguridad Digital. Este centro es responsable de identificar, proteger, detectar, responder, recuperar y gestionar la información sobre incidentes de seguridad digital a nivel nacional, y emite regularmente «Alertas Integradas de Seguridad Digital» para informar a las entidades públicas y empresas privadas sobre amenazas en el entorno digital que puedan afectar la continuidad de sus servicios. Por ejemplo, el pasado 15 de julio se informó sobre el hackeo a Disney y las vulnerabilidades en productos Cisco, la inyección SQL en la función testServiceExistence de Centreon y en los productos Kaspersky.

En cuanto a la protección de datos personales, aplicable a toda persona natural o jurídica que trate datos personales, si bien en la Ley o en Reglamento, no se ha contemplado la obligación de notificar incidentes de seguridad a los titulares de la información o a la Autoridad Nacional de Protección de Datos (ANPD). Sin embargo, el proyecto de reglamento que aún se encuentra en evaluación propone fijar la obligación de notificar a la ANPD los incidentes de seguridad en 48 horas desde la constancia de lo sucedido. Asimismo, se reportará a los titulares de los datos personales involucrados y qué medidas se tomaron.

Sistema Financiero

Para las entidades reguladas por la SBS, la Resolución SBS N° 504-2021 establece la obligación de informar sobre los incidentes de seguridad de la información al Comité de Riesgos o CSIC, según los lineamientos que éste establezca, y a las entidades gubernamentales que lo requieran de acuerdo con la normativa vigente. Por lo tanto, deben notificar estos incidentes en caso de ser afectados.

Obligaciones de establecer medidas de seguridad

El Decreto de Urgencia N° 007-2020 también establece que las entidades mencionadas deben implementar medidas de seguridad física, técnica, organizativa y legal que permitan garantizar la confidencialidad del mensaje, contenido e información que se transmiten a través de sus servicios de comunicaciones. Deben gestionar los riesgos de seguridad digital en su organización con el fin de establecer controles que protejan la confidencialidad, integridad y disponibilidad de la información.

En cuanto a la protección de datos personales, la regulación actual también obliga a implementar medidas de seguridad, y se establecen altas sanciones por estos incumplimientos. En este sentido, recomendamos que las empresas implementen medidas de seguridad robustas, tanto físicas como técnicas y organizativas, capaciten continuamente a su personal, realicen evaluaciones regulares de riesgo, establezcan planes de respuesta a incidentes, aseguren la protección de datos personales, mantengan sistemas y software actualizados, y colaboren estrechamente con terceros asegurando su cumplimiento con los estándares de seguridad.

Conclusión

Mientras el mundo continúa recuperándose del impacto de este incidente, se destaca la urgencia de adaptar las prácticas corporativas y las políticas públicas a la realidad de un ecosistema digital interconectado y vulnerable. Hoy en día, las grandes empresas externalizan muchos de sus servicios y pueden verse gravemente afectadas por la falta de redundancia en sus sistemas. Esto subraya la importancia de mitigar el riesgo de depender de un solo proveedor. Estos incidentes sirven como recordatorio para fomentar una cultura digital en la que tanto empresas como individuos evalúen y gestionen adecuadamente los riesgos en su información.