Luis Hernán Paúl

Caso de Target y Riesgo de Cybersecurity

Luis Hernán Paúl Asesor y Director de Empresas

Por: Luis Hernán Paúl | Publicado: Lunes 21 de noviembre de 2016 a las 04:00 hrs.
  • T+
  • T-

Compartir

Luis Hernán Paúl

Luis Hernán Paúl

Poco antes de la navidad en el 2013 Target, una de las cadenas de supermercados más grandes de Estados Unidos, se vio expuesta a un serio problema producto de la instalación maliciosa por parte de terceros de un software en el sistema de seguridad y pagos de la empresa, el cual hizo posible la obtención por parte de hackers de la información de las tarjetas de crédito de sus clientes que efectuaron compras presenciales en un período de gran actividad comercial.

En teoría Target estaba en condiciones de detectar un fraude de este tipo, ya que seis meses antes había efectuado una inversión de US$ 1, 6 millones en un sistema de detección de robo de información sensible. Sin embargo, en la práctica, la empresa no respondió con la rapidez debida al ataque efectuado por los hackers.

Producto de lo anterior, la empresa fue demandada por negligencia por cientos de clientes y bancos, muchos de los cuales solicitaron medidas compensatorias, sus resultados en el último trimestre del 2013 bajaron un 46% comparado con los del mismo trimestre del año anterior. Pero lo más grave fue la pérdida de confianza que sufrió de parte de sus clientes, accionistas y acreedores.

El caso de Target es uno más entre varios otros ocurridos en el extranjero de acceso indebido por parte de terceros a información sensible de clientes. Sin embargo, en este caso la situación de la compañía era más delicada, porque los sistemas con que contaba entregaron múltiples alertas de que algo andaba mal y la empresa optó por continuar vendiendo a sus clientes de todas formas.

Así las cosas, el sentimiento público se fue totalmente contra la empresa, lo que llevó a ésta en 2015 a llegar un acuerdo con los clientes afectados, a los cuales les pagó hasta US$ 10.000 con un costo total del orden de US$ 10 millones. Así mismo acordó pagar US$ 67 millones a VISA, US$ 20,25 millones a diversos bancos y cooperativas de crédito, y US$ 19,11 millones a Mastercard. Finalmente se informó que este evento le había costado en forma directa un total de US$ 290 millones.

En Chile, si bien no han ocurrido a la fecha casos de robos de información de tarjetas de crédito tan extendidos cómo el descrito, perfectamente podría darse uno a futuro.

Me ha parecido valioso traer a colación este caso, ya que a nivel internacional se ha discutido bastante sobre del rol que cabe a los principales ejecutivos y directores de empresas en materia de “cybersecurity”. En efecto el directorio de Target, producto del tremendo escándalo ocurrido, sufrió una intensa crítica de parte de los accionistas y expertos en gobiernos corporativos. Este, sin embargo, manifestó que había cumplido debidamente su rol en la medida que se había asegurado que la compañía contara con un adecuado sistema de detección de robo de información sensible y que el error debía achacarse más bien a él o los ejecutivos que tomaron la decisión de continuar vendiendo no obstante las señales de alerta de fallas que mandó el sistema anterior.

Ahora, más allá de la discusión respecto de a quién debería asignarse la responsabilidad de lo ocurrido en Target, lo que me parece valioso de rescatar es que el riesgo de “cybersecurity” es un tema que requiere ser abordado en forma proactiva en los directorios, especialmente en el caso de aquellas empresas más susceptibles de enfrentarlo (bancos, retailers y empresas que reciben pagos masivos de clientes en general).

En lo fundamental los directorios deben preocuparse que se establezcan políticas y se sigan ciertas buenas prácticas en este plano. Me refiero por ejemplo a que la administración contrate hackers para ver vulnerabilidades de los sistemas existentes y se ponga especial atención en su mantención y actualización cada cierto tiempo. También es fundamental poner especial atención en los empleados que manejan estos sistemas, ya que muchas veces los fraudes tienen relación con actuaciones indebidas de su parte.

Lo más leído