Las prioridades empresariales retrasan la divulgación de incidentes de ciberseguridad

1. Introducción

La transparencia en la notificación de incidentes de ciberseguridad se ha convertido en uno de los grandes retos para las organizaciones a nivel global. Aunque las regulaciones como el RGPD o la directiva NIS2 refuerzan la obligación de comunicar brechas de seguridad de manera rápida, la realidad interna de muchas empresas muestra una brecha significativa entre la teoría y la práctica. Una de las causas principales radica en que los objetivos y prioridades del negocio a menudo entran en conflicto con la divulgación oportuna de estos incidentes, lo que puede tener consecuencias legales, reputacionales y operativas.

2. Contexto del Incidente o Vulnerabilidad

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en la Unión Europea, las empresas están obligadas a notificar brechas de seguridad que afectan a datos personales en un plazo máximo de 72 horas. Además, la directiva NIS2, en proceso de adopción en muchos estados miembros, amplía el alcance a sectores críticos y exige notificaciones incluso en incidentes que no afectan datos personales pero sí a la continuidad del servicio.

Sin embargo, informes recientes y análisis de foros especializados como Dark Reading revelan que, aunque las normativas son claras, en la práctica muchas organizaciones retrasan las notificaciones. Los motivos principales suelen estar relacionados con la protección de la reputación corporativa, la evaluación del impacto económico, la coordinación con aseguradoras o la necesidad de gestionar primero la respuesta interna antes de hacer pública la información.

3. Detalles Técnicos

El retraso en la notificación puede ser especialmente crítico en casos de incidentes relacionados con vulnerabilidades de alto riesgo, como las asociadas a CVEs explotadas activamente. Tomemos como ejemplo el CVE-2023-23397, una vulnerabilidad crítica en Microsoft Outlook que permite la ejecución de código remoto mediante mensajes manipulados. Según las matrices TTP de MITRE ATT&CK, los atacantes suelen aprovechar técnicas como la spear phishing (T1566.001) y la explotación de software vulnerable (T1203), desplazándose lateralmente (T1075) y exfiltrando datos (T1041).

Los indicadores de compromiso (IoC) en este tipo de incidentes incluyen la detección de conexiones sospechosas a dominios externos, ejecución de payloads mediante frameworks como Cobalt Strike y la presencia de artefactos de post-explotación en endpoints comprometidos. Las campañas recientes muestran que, en muchos casos, el tiempo entre el descubrimiento interno y la notificación pública supera el plazo legal, dificultando la respuesta coordinada de la comunidad de ciberseguridad y la protección de otros posibles objetivos.

4. Impacto y Riesgos

El retraso en la divulgación de incidentes de ciberseguridad incrementa significativamente los riesgos para la organización y el ecosistema en el que opera. Un informe de IBM estima que el coste medio de una brecha de datos supera los 4,45 millones de dólares, cifra que aumenta cuando la notificación es tardía y los atacantes tienen más tiempo para explotar las vulnerabilidades o exfiltrar información sensible.

A nivel reputacional, la percepción de opacidad puede erosionar la confianza de clientes, socios y reguladores. Además, en el contexto de la NIS2 y el RGPD, las sanciones administrativas pueden alcanzar hasta el 4% de la facturación anual global. Los sectores más afectados suelen ser finanzas, salud, energía y administraciones públicas, donde los incidentes pueden tener efectos sistémicos.

5. Medidas de Mitigación y Recomendaciones

Para alinear los objetivos de negocio con las obligaciones regulatorias y las buenas prácticas de ciberseguridad, se recomienda:

– Implementar procedimientos internos claros y automatizados para la detección y notificación temprana de incidentes.
– Formar a los equipos ejecutivos y de IT en las implicaciones legales y reputacionales de los retrasos.
– Utilizar herramientas de monitorización y respuesta a incidentes (EDR, SIEM, SOAR) que permitan una rápida evaluación de alcance y severidad.
– Definir canales de comunicación seguros y protocolos de coordinación con autoridades, CERTs y partners.
– Documentar exhaustivamente los procesos y decisiones tomadas, para facilitar auditorías y justificar tiempos de respuesta frente a los reguladores.
– Priorizar ejercicios de simulación (tabletop exercises) con equipos multidisciplinares, incluyendo dirección y legal.

6. Opinión de Expertos

Profesionales del sector, como CISOs de grandes multinacionales y analistas SOC, coinciden en que la cultura organizativa es el mayor reto. “El miedo al daño reputacional sigue pesando más que el cumplimiento estricto de la normativa”, afirma Marta López, CISO en una empresa energética. Por su parte, Juan Carlos Romero, consultor de ciberseguridad, señala que “la presión por mantener la continuidad del negocio y evitar filtraciones a la prensa provoca retrasos injustificados en la notificación, lo que puede ser contraproducente a medio plazo”.

7. Implicaciones para Empresas y Usuarios

El retraso en la notificación no solo afecta a la empresa víctima, sino que expone a clientes, proveedores y otros stakeholders a riesgos adicionales. La falta de información impide a los afectados tomar medidas de protección, como el cambio de credenciales o la monitorización de fraudes. Además, puede obstaculizar la colaboración entre empresas del mismo sector para frenar campañas de ataques en curso.

Para los responsables de seguridad, el mensaje es claro: la transparencia y la rapidez en la notificación deben convertirse en prioridades estratégicas, no solo en una obligación legal.

8. Conclusiones

La tensión entre los objetivos empresariales y la obligación de divulgar incidentes de ciberseguridad en tiempo y forma sigue siendo una realidad preocupante. Superar esta brecha exige un cambio cultural, la integración de la ciberseguridad en la estrategia de negocio y el refuerzo de los procedimientos internos. Solo así se podrá minimizar el impacto de las brechas y proteger el ecosistema digital de manera eficaz.

(Fuente: www.darkreading.com)