El año 2017 estuvo marcado por lo que podría denominarse como la caída de un imperio. Equifax, uno de los actores más importantes en el negocio de la data crediticia de millones de personas alrededor del mundo, fue penetrada. Los datos personales de al menos 143 millones de personas fueron robados. Números de Seguro Social, fechas de nacimiento y direcciones: todas parte del concepto de información personal identificable (PII). Un grupo de hackers, usando herramientas altamente sofisticadas, tuvieron todo un verano para extraer bases de datos, diseñar herramientas, analizar datos, y evitar toda detección de parte del equipo de seguridad de Equifax. En menos de tres meses, un grupo de personas –cuyos motivos y acciones se siguen investigando– pudo instalarse en lo profundo de los sistemas informáticos de una empresa que suponíamos segura.

Las ramificaciones que trae el robo violento de datos personales va muchísimo más allá de lo que creemos. Millones de personas que ven sus datos vulnerados y expuestos terminan pagando las consecuencias de los problemas de seguridad de bases de datos, marcos de trabajo y aplicaciones. Aquellos datos se convierten en una mina de oro para scammers, que usan dicha información para cometer más delitos, perpetuando así el ciclo. A aquello se suma al problema legal del uso de nuestros datos personales, que en Estados Unidos trató de ser regulada con una ley introducida al senado el año 2019 y que todavía no se ha debatido.

A tres años de la brecha, la inseguridad respecto al destino de los datos personales de millones de personas sigue vigente. Son diversas las herramientas que permiten saber si nuestros datos fueron vulnerados o no, pero la incertidumbre sobre si esos datos serán usados para cometer delitos no se puede negar.

Es por eso que casos como el de Equifax, que pueden volver a repetirse con cualquier otra entidad que almacene nuestros datos, nos permiten entender el gran panorama. Mirando paso a paso desde que lugar y hasta dónde fueron nuestros datos, podemos resguardar y prevenir otra brecha desde ambos lados: los consumidores, y los que almacenan nuestros datos. Una brecha que puede traer consecuencias mucho peores que las de Equifax.

El origen de los datos

Nuestra información personal identificable (PII), o lo que definimos normalmente como PII, se ha hecho extensivo a cada vez más cosas a lo largo del tiempo. Lo que originalmente sólo era tu número de Seguro Social o tu dirección de correo electrónico, ahora también es tu dirección IP, la biométrica de tu rostro, y tu geolocalización. Regulaciones como el GDPR en Europa han ampliado dicho espectro con la intención de abarcar nuestros datos lo mejor posible si una brecha llegase a ocurrir. Sin embargo, y aún teniendo regulaciones de por medio, es posible que nuestros datos sean robados en masa de alguna forma u otra.

Muchos de nuestros datos son voluntarios: debemos entregarle nuestro número de Seguridad Social a nuestro banco para solicitar un crédito, por ejemplo. Diversas entidades, públicas y privadas, necesitan de nuestros datos personales para funcionar correctamente. Por supuesto, algunos datos son más importantes que otros: tu dirección de correo electrónico recibiendo spam no es lo mismo que alguien haciéndose pasar por ti para cometer un fraude.

Al mismo tiempo, hay datos que entregamos de manera involuntaria. Las redes sociales, en particular Facebook pero extensivo a gran parte de las plataformas que usamos, esconden poderosos motores de análisis biométrico. Muchas entidades de salud guardan nuestros datos médicos, que también se consideran importantes, sin nuestra expresa autorización. En el caso de Equifax, la compañía crediticia y sus competidores (principalmente Experian y TransUnion) tienen la ley a su favor. La actual configuración crediticia y bancaria en Estados Unidos les da el poder para almacenar tu fecha de nacimiento, número de Seguro Social, número de licencia de conducir, historial de empleo y de compras, datos de tarjetas de crédito y muchos otros datos sensibles.

Con esa información en sus manos, tanto Equifax como sus competidores pueden hacerse una idea general de nuestro panorama crediticio: es decir, cuánto podemos pagar. Luego estas empresas venden esa información a instituciones financieras, con el fin de determinar nuestra valía crediticia. Esta información fue entregada a Equifax sólo por el hecho de vivir en una sociedad de capital, donde los ciudadanos de a pie usamos instrumentos financieros, tarjetas de crédito y préstamos de manera completamente natural. Equifax no golpeó nuestra puerta para preguntar dichos datos: ellos recopilaron todo, y lo guardaron para venderlo al mejor postor. Esto es importante por dos razones:

1. Los datos que entregamos involuntariamente no son nuestra responsabilidad.
2. Los datos voluntarios se pueden resguardar, o en lo posible negar.

Por un lado, toda persona, entidad o servicio que sea responsable de nuestros datos debe hacerse cargo ante cualquier eventualidad, en los marcos que estipule la ley de cada país y de uso de cada plataforma. Ejemplos hay de sobra: el uso de nuestros datos biométricos con el objetivo de realizar perfilado criminal es uno de ellos, y que requiere regulación y definición. Esto es especialmente importante en los casos donde el entrenamiento de redes neuronales o la detección de sospechosos se hace con datos que a primera vista son públicos –como fotos en nuestras redes sociales– pero que tras una mayor investigación terminan siendo datos biométricos privados.

Por otra parte, como ciudadanos también es nuestra responsabilidad tener un control estricto sobre los datos que entregamos. Esto con el objetivo de evitar que nuestros propios datos, los que voluntariamente confiamos en muchas partes, sean usados para cometer delitos. Si alguien nos solicita datos personales, tenemos el derecho de resguardarlos y saber para qué serán usados, y en una buena parte de los casos, no entregarlos si creemos que nuestra privacidad pueda ser vulnerada.

La brecha de datos de Equifax, en corto

Habiendo definido lo que se perdió en la brecha de datos de Equifax, es hora de visualizar paso a paso lo que ocurrió.

Según una buena parte de los estudios, investigaciones y medios que han recopilado todos los antecedentes, la responsabilidad cayó en una vulnerabilidad de un popular software de backend empresarial, llamado Apache Struts. Como lo explica un artículo en Bloomberg, fue Nike Zheng, un investigador chino de ciberseguridad, el que descubrió la vulnerabilidad, la que comunicó a Apache. De hecho, la compañia publicó un fix el 6 de marzo en su sitio. Sin embargo, en menos de 24 horas esa información ya estaba en populares sitios de hacking, lo que derivó en que la comunidad se aprovechara de dicha vulnerabilidad. Cuatro días después, un atacante encontró una máquina vulnerable en Atlanta y el resto es historia.

La reacción en cadena permitió a los hackers aprovecharse de múltiples problemas en la seguridad de Equifax. El sitio CSO lo pone en contexto: “Como los accidentes de avión, los grandes desastres de InfoSec son tipicamente el resultado de múltiples factores”. La suma de errores incluye, pero no se limita a:

• Los atacantes utilizaron la vulnerabilidad antes descrita, la que ya había sido divulgada pero no había sido parchada en una multitud de equipos de la compañía.
• Los atacantes entraron a un equipo que funcionaba como servidor para el portal web, y pudieron acceder al resto de la infraestructura debido a una pobre segmentación entre ellos.
• Los nombres de usuario y contraseñas de usuarios y cuentas estaban almacenados en texto plano.
• Uno de los certficados de encriptación clave en una de sus herramientas de seguridad no había sido renovado, lo que le permitió a los atacantes exfiltrar información encriptada durante meses.
• La brecha no fue divulgada por los ejecutivos, los que sabían las consecuencias e incluso vendieron acciones de la compañía.

Qué ocurrió con los datos

Aquí es donde la historia toma ribetes de misterio. Después de toda brecha importante –o al menos en la mayoría– casi siempre es posible encontrar los datos robados en la dark web, siendo vendidos como bases de datos al mejor postor. Sin embargo, los datos de la brecha de Equifax, al contrario de lo que se esperaba, jamás se hicieron públicos, sino que dieron a parar en los discos duros de actores mucho más interesados en el espionaje que en el robo.

Una investigación del gobierno de E.E.U.U. cuyos resultados sólo se develaron recientemente, reveló que los hackers formaban parte de una célula militar china, que ha usado aquellos datos para perfilar a personas importantes en empresas y gobierno. Dicho perfilado les permitiría, según varias teorías, identificar a oficiales en problemas económicos para realizar chantajes o sobornos que faciliten el espionaje. 

Otro antecedente soporta esta teoría: una investigación del New York Times supone que el ciberataque a la cadena de hoteles Marriott estaría ligada al mismo esfuerzo del gobierno de China por crear una base de datos financiera de políticos, empresarios y personas clave con fines de perfilado, extorsión y chantaje.

Pero, ¿Qué ocurrió finalmente con los datos de Equifax? ¿Salieron alguna vez a la luz? Según una investigación publicada en CNBC, los datos de Equifax son “La ciudad perdida de Atlantis o el Santo Grial”: imposibles de encontrar. Uno de los investigadores, que pasó cerca de un año y medio buscando en la dark web por dichos datos, asegura que el contenido de la brecha nunca fue comerciado. En estos casos, usualmente los hackers apuestan por la velocidad: mientras más rápido puedan vender las bases de datos obtenidas ilegalmente, menos probabilidades hay de ser capturados o de que las instituciones robadas inutilicen los datos. Es por eso que tras tanto tiempo los datos se dan por desaparecidos, existiendo unicamente en manos de los hackers que los robaron o de actores privados como los ya mencionados en el gobierno chino.

Por supuesto, hay ejemplos de lo contrario. En Have I Been Pwned hay una lista con decenas de brechas de datos, entre las cuales se cuenta la brecha de Yahoo ocurrida el 2013, y cuyos datos fueron vendidos por cerca de US$300.000 en la dark web al menos a tres actores maliciosos, dos de ellos scammers. Otro ejemplo es Tumblr, que también sufrió una brecha donde 65 millones de correos electrónicos y contraseñas fueron robados, para ser vendidas posteriormente en la dark web.

¿Qué aprendimos sobre la brecha de datos de Equifax?

Si bien las ramificaciones no fueron completamente desastrosas para los usuarios afectados, brechas como las de Equifax nos permitieron poner atención a muchísimos puntos relativos a la seguridad y privacidad de datos.

La información personal identificable es valiosa, y debe ser protegida a como de lugar

Incluso si estamos constantemente redefiniendo qué es PII y qué no, los datos personales deben tratarse con el cuidado que merecen. Esto aplica desde el propio usuario eligiendo qué entregar, hasta los gobiernos que empujan legislación adecuada con el objetivo de proteger nuestros datos de hackers y actores maliciosos.

Los datos importantes deben estar fragmentados y encriptados

La clasificación y fragmentación de datos personales en todas las organizaciones que los manejen debe ser un punto clave. Es un paso que muchos CISO consideran tedioso y burocrático, pero que permite un control profundo. Por ejemplo, los diversos datos personales pueden estar organizados en capas debidamente inventariadas: datos de clientes, datos confidenciales de la empresa, y datos públicos. De esta forma se evita que un hacker con acceso a un servidor web termine, como se dice popularmente, entrando hasta la cocina.

Lo mismo con la encriptación. La jerarquía e inventario de los datos permite asignar distintos niveles de protección a los datos según sea necesario, y asignar responsabilidades de llaves públicas y privadas a usuarios y partes de la organización que lo necesiten.

Si una brecha ocurre, comunícala tan pronto como puedas a tus usuarios

Este punto sigue siendo un área gris en materia legal, debido a la poca voluntad de legislar con firmeza respecto a la privacidad de datos. Sin embargo, debería ser un imperativo moral comunicar a los usuarios con celeridad en caso de una brecha importante, especialmente si involucra información personal identificable.

En la mayoría de los casos –como quedó demostrado en el caso de Equifax– todo el tiempo que se cree “ganado” al no comunicar, deviene en prácticas sospechosas como el tráfico de influencias o el ocultamiento de información, los que si son penados por la ley.

Primero fue Google, luego Facebook, y ahora Twitter. Si bien las grandes empresas de tecnología no son necesariamente la norma, que tres grandes hayan decidido subirse al carro del trabajo remoto incluso después de la pandemia es una señal evidente. Y no es por suerte o por corazonada: después de la cuarentena, miles de personas van a quedarse en sus casas en vez de volver a las oficinas, por las buenas o las malas.

Con la llegada de un virus que nos confinó a nuestros espacios personales, el mundo comenzó a cambiar. A adaptarse. Empresas en todo el globo se subieron al carro del trabajo desde casa, y sus empleados, tras ya varios meses de reuniones por Zoom y decisiones tomadas desde el sillón, cambiarán voluntariamente las miradas de sus jefes por la de sus hijos o mascotas. Es un cambio innegable, que ha sido incluso denominado “la nueva normalidad”.

Sin embargo, este cambio no vendrá sin resistencia. Esto va más allá de una obligación: el mundo laboral no es más que una gran tradición que nos hemos encargado de repetir como sociedad, de maneras muy similares entre etnias y territorios. Ponerse un traje, sentarse en un cubículo de 9 a 5 y de lunes a viernes, almorzar durante una hora y compartir el auto con un colega son códigos, y existe mucha gente allá afuera –en muchos casos, en posiciones de poder– que quieren tirar la nueva normalidad al basurero cuanto antes.

La historia antigua del trabajo de oficina

Nuestras oficinas como espacios de trabajo son un rito que hemos seguido sin demasiado cuestionamiento. Lo sorprendente es que no es realmente antiguo: las oficinas son la respuesta a la modernización del empleo a mitades del siglo XX, tras casi tres siglos de constante cambio y refinación del trabajo industrial. En los años 40 y 50 las máquinas tipográficas fueron combustible para el éxodo: la fuerza laboral de las fábricas, campos y minas migró a espacios ruidosos. A ese cambio se sumaron las mujeres y las minorías, ahora libres de las cadenas de la tradición y dispuestas a integrarse a estos novedosos espacios.

Con el tiempo, la oficina se volvió un espacio seguro, diferente. Asimismo, este mismo espacio y su distribución se convirtió en una herramienta de control. Si para Foucault la escuelas o el ejército eran disciplinas del cuerpo, la presencia en una oficina era la forma lógica de trabajo de esta sociedad disciplinaria. Florecieron los controles de horario, los códigos de vestimenta, la jerarquía; todas unidas a nuevas responsabilidades. Sería el nacimiento de una nueva tradición.

Por supuesto, el espacio laboral es diferente al hogareño, y esa diferencia tiene sus ventajas. Por ejemplo, la separación entre trabajo y hogar establece una diferencia entre lo público y lo privado, y dibuja una clara línea entre lo que ocurre en el ambiente laboral –la productividad– versus el hogar como descanso, y como espacio familiar además de recreativo. El ambiente de oficina también es un espacio social, y por tanto seguro en términos de interacción entre compañeros, sociabilidad y contacto humano. De la misma forma, es posible vigilarlo y controlarlo de maneras que serían impensadas si este espacio no existiera: tanto las reglas como los distintos servicios de oficina suelen ser distintos a lo que podemos encontrar en casa. ¿Café gratis, viernes casual, horario de oficina, Intranet? Todos nacidos al alero de estas nuevas reglas.

Sin embargo, esta normalidad ha terminado produciendo una buena cantidad de desventajas que no podemos negar. La oficina pasó a ser un lugar de alienación: para pertenecer a este espacio seguro y diferente se hace necesario perder tu propia identidad. Largas horas de trabajo y el estar cada vez menos en casa nos hizo pensar que nuestras verdaderas vidas –al menos las que estaban fuera de la normalidad de la oficina– no eran tan valiosas. Comenzamos a extrañar nuestras casas, a nuestras familias y amigos. El tiempo libre se convirtió en un anhelo. El ritmo del trabajo comenzó a agotarnos, a extinguirnos. El estrés fue al alza, el viaje de ida al trabajo se volvió tedioso y el regreso pasó a ser el único momento de paz.

La respuesta a eso, y sólo gracias a nuestra realidad hiperconectada, pasó a ser el trabajo remoto: una opción para compatibilizar el empleo y el hogar. Lamentablemente, esa opción nunca fue la regla, sino la excepción.

Trabajo remoto, sin obligación

Si juntamos a una docena de gerentes de grandes empresas y les preguntamos por el trabajo remoto, lo más probable es que suelten una retahíla de razones por las cuales no implementarlo.

Para el mundo de la administración, trabajar desde casa tiene desventajas medibles: un descenso en la productividad, la dificultad de hacer micro-management del tiempo de los empleados, y la proeza técnica para mantener a un empleado trabajando en casa con recursos de la oficina. A menudo se argumenta que trabajar desde casa es inseguro para la empresa en términos de ciberseguridad –argumento que incluso nosotros hemos usado en el pasado– y que reduce el valor de los espacios que la empresa ya usa, como sus oficinas.

Sin embargo, y fuera de los motivos más tangibles, el problema con el trabajo remoto es un problema de tradición. La verdad incómoda detrás de la negativa a enviar a los empleados a sus casas no es nada más que el aparente poco profesionalismo del sistema.

Lo cierto es que el trabajo remoto comenzó a ser una posibilidad gracias a que el mundo llevó ese paradigma al extremo. La amplia posibilidad de estar conectados gracias a poderosas conexiones a internet fue el combustible para trasladar la productividad a los hogares, y las largas horas de trabajo y la velocidad de la oficina fueron los catalizadores de una reacción química que encontró una fuerte resistencia de parte de los creyentes en el modelo laboral tradicional.

Un cambio social

Este momento de la historia va unido a una rotación generacional importante, clave en muchísimos procesos sociales. La generación de baby boomers, habituados al modelo de oficina estándar –y en su mayoría, con la vida asegurada, familias e hijos– están al borde de la jubilación. Mientras tanto, hordas de nativos digitales y millennials pueblan los puestos de trabajo de entrada, valorando mucho más el tiempo libre y el crecimiento personal que la producción bruta.

Este contraste ha inclinado la balanza hacia el trabajo remoto desde hace años, donde diversos estudios apuntaban a esta transformación laboral, de la mano de los millennials, como una suerte de “salvación” para el resto de los trabajadores. En ese entonces, los representantes del final del milenio eran considerados “flojos y arrogantes”.

Sin embargo, los argumentos a favor o en contra de este cambio debieron ser congelados con la llegada de la pandemia. La cuarentena cambió violentamente nuestra manera de trabajar y nos hizo recordar nuestra propia utilidad, incluso desde casa. Este cambio forzoso nos depositó en un momento coyuntural donde la balanza puede volcarse hacia el trabajo remoto y lejos de la cultura burocrática de las oficinas.

Esta fuerza es parte de una multitud de cambios que ya están ocurriendo en los negocios. La posibilidad de contagio de COVID–19 seguirá siendo bastante alta, por lo que las oficinas buscarán minimizar la cantidad de empleados en espacios comunes y salas de reuniones. Al mismo tiempo, los compañías están desechando sus espacios de oficina y renegociando contratos, lo que ha hundido el negocio de propiedades. La guinda de la torta es la posible migración: cientos de miles de personas buscarán complementar la posibilidad de trabajo remoto migrando desde espacios con precios astronómicos –un alquiler cerca de Silicon Valley no es precisamente barato– a lugares con mejor calidad de vida.

Esta nueva época de trabajo remoto tampoco será tan sencilla para los trabajadores. Tan pronto como los negocios asuman que su fuerza laboral se quedará en casa para siempre, comenzará una nueva época de control. Muchos empleados que no vayan a la oficina deberán usar software de monitoreo para controlar su productividad –la mayoría de ellas ya desarrolladas– y mantener esa “sensación” de rendimiento a salvo.

La buena noticia es que las empresas tecnológicas que empujan la innovación van en una buena dirección. Twitter y Square, ambas empresas de Jack Dorsey, anunciaron hace unos días que sus empleados podrán seguir trabajando desde casa apenas terminada la cuarentena en sus respectivos espacios. Se espera que esta decisión termine empujando –o al menos sirviendo de ejemplo– para muchas otras empresas digitales.

Conclusiones

Falta bastante tiempo hasta que este conflicto social entre tradición y remoticidad provoque verdaderos cambios. Muchas empresas en Estados Unidos no planean abrir sus oficinas hasta el último cuarto de este año, con severas medidas de seguridad. Tampoco sabemos si más empresas se subirán definitivamente al bus del trabajo remoto, o considerarán esta cuarentena como un exabrupto.

Lo cierto es que incluso las predicciones le dan una ventaja al trabajo desde casa. En 1964, el escritor de ciencia ficción Arthur C. Clarke predijo una gran cantidad de avances tecnológicos que serían regla cincuenta años después, como el internet, la impresión 3D y la cirugía robótica. La única predicción a la que no acertó fue que los trabajadores no viajarían diariamente al trabajo, sino que sólo por placer.

Tal parece que una pandemia bastaba para que la predicción fuese totalmente cierta.