En mayo se cumplirá un año desde la entrada en vigor del Reglamento General de Protección de Datos (más conocido por sus siglas en inglés, GDPR). Tiempo suficiente para constatar cómo muchas empresas han sido incapaces de afrontar los requisitos que plantea esta regulación, cómo muchas otras han destinado ingentes cantidades de dinero a auditorías y procesos de rediseño de su operativa o, finalmente, cómo el único impacto palpable para el ciudadano de a pie ha sido un bombardeo de correos electrónicos de empresas pidiendo su consentimiento para seguir haciendo de las suyas.
El GDPR, la norma más ambiciosa hasta la fecha sobre privacidad y datos personales en Internet, prometía mucho pero, al igual que los usuarios la han olvidado rápido, las corporaciones tampoco han terminado de entenderse con ella. A las voces que apelan a criterios más claros se unen aquellos que están a la espera de que se produzcan las primeras grandes sanciones y, más todavía, de ver cómo se estructura el GDPR con la futura ePrivacy, que podría 'pisar' varios de los puntos del famoso reglamento. Pero hay más aspectos preocupantes de la regulación que no convencen a las compañías ni a los expertos en ciberseguridad.
Hace ya dos años, Ramy Houssaini, vicepresidente de Seguridad en Europa de BT, alertaba en estas mismas hojas que el GDPR podría convertirse en todo lo contrario a lo que se propone: una fábrica de ciberataques de nuevo cuño. Y, ahora, el mismo diagnóstico es compartido por Steve Grobman, CTO mundial de McAfee.
"Por supuesto que es un riesgo real", opina el directivo. "Siempre que hay regulaciones estrictas puede darse el problema de obligar a las empresas a poner la energía que habrían dedicado a protegerse contra amenazas críticas para tareas como el mero cumplimiento normativo. Se invertirá tanto dinero en evitar una multa del GDPR que a las empresas no les quedarán recursos suficientes para hacer frente a los ataques del día a día".
Por otro lado, Grobman destaca la ventana que el Reglamento General de Datos abre para configurar nuevos nichos de negocio para los ciberdelincuentes. "Los actores son tremendamente creativos en el uso de los cambios regulatorios a su favor. Y es que los nuevos modelos de protección crean nuevos modelos de negocio criminales", sentencia el experto. "Por ejemplo, en los primeros días de la cotización bursátil online, vimos cómo los delincuentes enviaban correos electrónicos masivos a los operadores diciéndoles que compraran una determinada acción. Los títulos subían y ellos vendían sus títulos antes de que cayeran. Son amenazas muy difíciles de detectar". En el caso del GDPR, la fórmula con la que aprovecharse financieramente pasa por las notificaciones de una filtración de datos: se provocarán ataques sin más objetivo que crear una situación en la que la empresa se vea obligada a avisar públicamente de ello. Sus acciones bajarán previsiblemente y los ciberdelincuentes -que habrán invertido a corto- ganarán dinero con ello. "Si pueden crear una empresa medianamente legítima con la que hacer estos juegos financieros, que no quepa la menor duda de que lo harán. Y pueden en países como Rusia".
Para Steve Grobman, el principal problema con el GDPR es que "se han definido cosas que no han sido diseñadas por expertos en tecnología y no han previsto todas las consecuencias del cumplimiento de esta regulación". En su opinión, "no está clara la capacidad del GDPR para asegurar a los ciudadanos" y alerta de que todos, usuarios finales, empresas y reguladores "debemos entender las consecuencias totales de esta medida si no queremos sufrir episodios desagradables".