Cuidado con el cyberwashing

Estamos acostumbrados a términos como greenwashing, pinkwashing, etc. Con ellos nos referimos al uso de banderas como el respeto medioambiental o de la diversidad con el objetivo de lavar la imagen de una empresa, pero sin que esto se traduzca en medidas reales en esa dirección.

Algo parecido sucede con el cyberwashing. Este concepto hace referencia a la práctica engañosa que despliegan algunas organizaciones, exagerando, distorsionando o falsificando su compromiso con la ciberseguridad o la protección de datos.

El objetivo de esta estrategia es proyectar una imagen de fiabilidad y confianza que no se corresponde con su realidad técnica.

“En otras palabras, el cyberwashing sucede cuando el discurso de seguridad que usa una empresa para venderse o para legitimarse no lleva aparejado un compromiso ni una inversión real en ciberseguridad”, explica Hervé Lambert, global consumer operation manager de Panda Security.

El problema es que este tipo de afirmaciones impregnan muchas veces la propuesta comercial de las empresas, que suelen vender sus productos y servicios con reclamos publicitarios como ‘100% seguro’, ‘impenetrable’, ‘a prueba de hackers’, etc.

Sin embargo, Panda Security considera que estos claims son falsos, puesto que la seguridad total de una empresa no es posible. “Siempre puede aparecer una vulnerabilidad. Y asegurar lo contrario es síntoma de inmadurez o de postureo para hacer marketing”, advierte la compañía.

El cyberwashing suele acabar mal

Dice el refrán que se pilla antes a un mentiroso que a un cojo. Y en el caso del cyberwashing, las mentiras tienen las patas muy cortas.

“Normalmente, salen a la luz cuando la empresa que se ha vendido como segura ha sufrido una brecha. Y, debido a esta brecha, se han filtrado datos sensibles de clientes o de proveedores”, expone Lambert.

Como ejemplo, cita el caso de una gran compañía de seguros que enarbolaba la bandera de la protección de datos. “Tuvo que hacer frente a una multa millonaria interpuesta por la Asociación Española de Protección de Datos (AEPD), debido a una filtración masiva de información sensible de sus clientes derivada de fallos estructurales en su arquitectura de seguridad”, apunta.

También pone el ejemplo de una empresa dedicada a la venta de productos tecnológicos y servicios de conectividad que se había posicionado como un intermediario digital seguro. “Se convirtió en víctima de un hackeo que expuso millones de datos personales de clientes y usuarios”. 

“Cuando esto pasa, nos encontramos con una técnica conocida como false claim o ética aparente, que sucede cuando se busca ganar confianza entre los posibles clientes o una ventaja competitiva sin invertir en controles, procesos, ni personal cualificado”, explica el experto de Panda Security.

Es decir, cuando la seguridad se usa como reclamo para atraer a posibles clientes con el gancho de la protección de los datos, pero sin contar con una arquitectura de seguridad a la altura de dicha promesa o para el volumen de información tratada.

Una práctica extendida

“Hay señales que apuntan a que ésta es una táctica que se usa más de lo que nos gustaría. Lo vemos, por ejemplo, en todas esas empresas que presumen de sus políticas y protocolos de seguridad y que luego sufren brechas por fallos básicos, como contraseñas débiles, falta de segmentación o parches sin aplicar”, comenta Lambert.

Y no sólo eso, sino que considera que también incurren en cyberwashing “esas organizaciones que se venden como cumplidoras estrictas del reglamento y no tienen a su personal formado ni se someten a pentest (pruebas de penetración) ni auditorías externas de forma seria”.

El portavoz de Panda Security señala que estas prácticas son tan frecuentes por varios motivos. Por un lado, reconoce que difundir una imagen de seguridad “vende mucho”. “Ahora más que nunca la seguridad genera confianza”, declara.

Además, afirma que prometer protección es sencillo, porque el usuario no tiene manera de verificar que lo que se dice es cierto. No puede auditar la infraestructura, el código fuente o los procesos internos de esas compañías o productos.

Y cree que también se hace porque “invertir en un buen CISO o en un equipo sólido de seguridad, en auditorías y en el rediseño de arquitecturas cuesta más dinero que lanzar un par de campañas de marketing o poner un sello genérico que indique que algo es seguro”.

Riesgos del cyberwashing

Pese a los beneficios a corto plazo que pueden lograr, Lambert trata de disuadir a aquellos que se vean tentados por el cyberwashing.

“Cuando la realidad sale a la luz, ya sea por una brecha o por una auditoría, las empresas que han vendido garantías de seguridad inexistentes pueden enfrentarse a consecuencias económicas, reputaciones y legales”, avisa.

Desde el punto de vista legal, detalla que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación anual global de la compañía si se demuestra que las medidas de seguridad que se venden son inadecuadas o que lo que se promete es mentira.

Pero Lambert recalca que el mayor impacto puede venir por la pérdida de credibilidad, que suele acarrear “la fuga de clientes, la cancelación de contratos B2B, la pérdida de valor bursátil y la desconfianza de partners o aseguradoras”.

También incide en que si una empresa dice que sus sistemas son seguros y no es así puede incurrir en “incumplimiento contractual, reclamaciones por daños y perjuicios o incluso demandas colectivas”.

Por último, subraya que se puede llegar a acusar a la empresa de un delito contra el mercado y los consumidores si se demuestra que hubo engaño intencionado. “Por ejemplo, si se prueba que se han falsificado informes de seguridad o se han manipulado auditorías”, apunta.