De cómo los hackers provecharon GDPR y qué hacer para enmendarlo en 2019

Se va a cumplir un año de la entrada en vigor del GDPR, que prometía aumentar la transparencia y la culpabilidad de todas las organizaciones internacionales que manejan datos de ciudadanos de la UE. La posibilidad de enfrentarse a grandes multas ha obligado a las organizaciones a pensar en cómo manejan el cumplimiento normativo y se adaptan cuando es necesario.

Sin embargo, existe una corriente de pensamiento que está haciendo que los agentes de las amenazas aprovechen la regulación en su beneficio. Las preocupaciones en torno a la preparación para el GDPR nos distrajeron de algunas de las repercusiones negativas sobre la ciberseguridad y la aplicación de la ley.

Por tanto, mirando a este 2019, deberíamos reflexionar sobre algunos de los desafíos menos comentados que ha presentado.

¿WHOIS bloquea a los white hats?

La base de datos WHOIS de información personal de los solicitantes de registro de dominios presentó el primer desafío. WHOIS es una herramienta vital para los responsables de hacer cumplir la ley, los investigadores de seguridad y los titulares de derechos de propiedad intelectual (IP) que buscan identificar las explotaciones de GDPR relacionadas con el fraude o las campañas de ciberataques a gran escala. Les permite encontrar a quienes están detrás de dominios maliciosos y falsificados que abusan de la propiedad intelectual de las marcas y actúan como una plataforma para sitios web cargados de malware o phishing. Incluso si un registrante utiliza un seudónimo para WHOIS, lo cual es muy probable si la persona sabe que lo que está haciendo es ilegal, el mismo nombre falso se utiliza a menudo para registrar múltiples dominios y puede ser muy útil para los agentes de la ley.

El gobierno de Estados Unidos considera que estos datos deberían seguir siendo accesibles para la policía y los titulares de derechos de propiedad intelectual, y el organismo de supervisión de Internet ICANN también es consciente del valor de WHOIS en estos casos.

Sin embargo, según una investigación de Anti Phishing Working Group, en mayo se estableció una Especificación Temporal de ICANN sobre los datos de WHOIS para ajustarse y cumplir con el GDPR, lo que está interrumpiendo estas investigaciones. Afirmaba que la información de WHOIS, que antes estaba disponible públicamente, ahora se encontraba excesivamente redactada, y que "las solicitudes de acceso no público a WHOIS por parte de investigadores legítimos para fines legítimos bajo las disposiciones de la Especificación Temporal eran rechazadas de forma rutinaria”. Esto se ve agravado por la aparente resistencia de muchos registros y registradores a recopilar demasiada información de los registrantes en caso de que no cumplan con el GDPR.

El phishing está en el fondo

El phishing sigue siendo una amenaza importante para la seguridad de las empresas y consumidores. Es un componente clave en el robo de identidad, el ransomware y otras descargas de malware, y se asoció con el 93% de todas las brechas de datos corporativos en 2017. Si GDPR ha alentado inadvertidamente a los hackers, entonces los reguladores deben identificar un compromiso que permita el acceso controlado y verificado a WHOIS para grupos de interés especial. Lo mínimo que podrían hacer es sustituir los datos personales restringidos por hashes únicos para que los legisladores, reguladores e investigadores puedan discernir los patrones de propiedad.

En los últimos meses, el GDPR ha demostrado ser cada vez más beneficioso para los phishers. Los ciberdelincuentes siempre han buscado formas de explotar las últimas tendencias de noticias y animar a los destinatarios a hacer clic en el phishing u otros enlaces maliciosos. De hecho, GDPR brindó una oportunidad perfecta para los phishers, ya que pudieron compartir emails fraudulentos supuestamente de "compañías” que solicitaban a los clientes que actualizaran sus credenciales.

Los estafadores pueden seguir utilizando GDPR como un disfraz para atraer a usuarios desprevenidos y confiados a compartir información financiera o personal confidencial. Los ataques de phishing instan a las personas a actualizar sus preferencias o corren el riesgo de que sus cuentas sean congeladas o eliminadas. Estas estafas inundaron las bandejas de entrada cuando GDPR entró en vigor, mientras que las organizaciones legítimas enviaban sus propios correos electrónicos de marketing. Por esta razón, es probable que cualquier nuevo desarrollo en la legislación que aumente la idea de GDPR, de nuevo, podría iniciar una nueva oleada de estafas.

¿Meses de silencio?

La Especificación Temporal del ICANN durará 12 meses, y el cuerpo está trabajando actualmente en su reemplazo. Sin embargo, los grupos de la industria siguen siendo pesimistas en cuanto a una solución que sea capaz de conciliar los intereses de los reguladores, los registros y registradores, y los representantes de las marcas y de las fuerzas y cuerpos de seguridad.

Desde la llegada del GDPR hemos escuchado poco de los clientes sobre el cumplimiento de los datos. Aparte de las historias de empresas que prefieren pagar a los ciberdelincuentes en lugar de enfrentarse a estas multas, el panorama posterior al GDPR contrasta con el ruido casi constante que se produjo hasta el 25 de mayo. Esperamos que el silencio se deba al control regulatorio y no a que hayan marcado la casilla como “actividad completada” y pasado al siguiente proyecto.

El cumplimiento normativo es un camino continuo al que las empresas tendrán que adaptarse y evolucionar. Existen normas adicionales que deben aplicarse a partir de este 2019, incluida la introducción del Reglamento de Privacidad Electrónica (ePR) de la UE, que salvaguarda la confidencialidad de los datos que intervienen en las comunicaciones electrónicas, así como de los dispositivos de los que proceden. Tiene el mismo alcance territorial que el GDPR y un régimen de sanciones idéntico para los casos de incumplimiento.

Entrado ya este año, y con brechas de datos que siguen apareciendo en los titulares casi semanalmente, los reguladores ya están dando ejemplo con las sanciones, que recordemos, pueden llevar a imponer multas de hasta el 4% dela facturación anual global a las empresas que no cumplan con las normas. Sin embargo, GDPR debería ser un recordatorio constante para que las organizaciones se mantengan lo suficientemente atentas y ágiles para adaptar sus procesos de cumplimiento según sea necesario.