Si tu negocio tiene una base de datos con información sobre tus clientes –por ejemplo, su nombre y dirección, número de teléfono, correo electrónico, o incluso datos bancarios–, entonces esta base de datos pude verse expuesta en una filtración. Son muchas las pequeñas y medianas empresas donde las medidas de ciberseguridad son muy laxas, y por eso son tantos los hackeos y ciberataques que consiguen hacerse con estos datos clave.
Ninguna compañía quiere verse en la situación de tener que decirles a sus clientes que sus datos se vieron expuestos por una filtración. Se trata de una instancia que deja la imagen de nuestra empresa muy afectada, de manera que lo ideal es adoptar medidas de ciberseguridad que prevengan este tipo de vulneraciones de datos, incluyendo:
- Uso de contraseñas complejas. Las contraseñas de acceso a las cuentas de nuestra empresa –por ejemplo, el alojamiento web o el almacenamiento en la nube– deben ser complejas y contar con combinaciones de caracteres aleatorias. También deben ser claves únicas para minimizar el riesgo de hackeos si se produce una filtración.
- Uso de una IP estática. La utilización de una IP estática para el acceso remoto de los archivos de la empresa puede contribuir a reforzar la ciberseguridad de los servidores. Para una mayor seguridad, es recomendable además cifrar las comunicaciones utilizando una VPN, protegiendo así las transferencias ante ataques de intermediario.
- Prevención anti-phishing. Muchos hackers consiguen hacerse con las contraseñas de las empresas usando técnicas de phishing, por ejemplo, mediante webs falsas, correos electrónicos, o incluso SMS fraudulentos. Formar al personal para que aprendan a detectar estos ciberataques es esencial para poder prevenirlos.
- Formación ante la ingeniería social. Los hackers también recurren a la ingeniería social para conseguir credenciales de acceso, llegando incluso a llamar por teléfono a nuestras oficinas o a personarse en nuestros comercios. Debemos asegurarnos de que el personal conoce las estrategias más empleadas por estos estafadores digitales.
- Almacenamiento cifrado. Cada vez son más las plataformas de almacenamiento en la nube que nos permiten contratar servicios de cifrado para mantener nuestra información aún más protegida. Es preferible pagar un poco más para encriptar nuestras bases de datos, en lugar de tener que sufrir después una filtración crítica.
Adoptar estas medidas nos ayudará a mantener la información de nuestra empresa –y la de nuestros clientes– a salvo frente a los ciberataques. Sin embargo, si no habíamos tomado las precauciones adecuadas y el hackeo ya se produjo, entonces debemos comunicarlo a los clientes con el mayor tacto posible, abordando la situación de manera constructiva:
Contenido del artículo
1. Neutralizar la amenaza antes de hacer un comunicado público
Antes de emitir cualquier comunicación a los clientes, debemos ponernos en contacto con las autoridades y con nuestro departamento informático. Un ciberataque es un delito, así que la policía debe evaluar la situación en colaboración con nuestros especialistas técnicos para determinar el alcance del ataque e indicarnos los pasos a seguir. Es habitual que la policía prefiera esperar a tener la situación bajo control antes de comunicarla al público.
En este primer paso deberíamos entonces neutralizar la amenaza –por ejemplo, eliminando cualquier malware que pueda estar afectando a nuestros servidores–, y adoptar medidas de seguridad más robustas para prevenir futuras filtraciones de este tipo. Esto nos permitirá abordar la comunicación desde un prisma más constructivo.
2. Elaborar una comunicación sincera y propositiva
Cuando la situación ya esté bajo control y se hayan implementado las medidas de ciberseguridad necesarias para prevenir las filtraciones, será el momento de comunicar el incidente a nuestros clientes, siempre y cuando las autoridades nos den permiso para hacerlo. En esta instancia es importante mantener un tono positivo que ponga énfasis en la neutralización de la amenaza y en los pasos a seguir en lo sucesivo.
Entre estos pasos debemos recomendar a nuestros clientes que revisen sus contraseñas en nuestra plataforma o en otras que puedan haberse visto afectadas, sobre todo en el caso de que usen la misma clave para todas sus cuentas. Además, deberíamos recomendarles que estén atentos ante la posible recepción de correos de phishing.
3. Ofrecer asistencia y presentar las nuevas medidas de seguridad
No todos nuestros clientes cuentan con conocimientos informáticos avanzados, así que deberíamos ponernos a su servicio para ofrecerles cualquier tipo de ayuda que puedan necesitar a la hora de mitigar las consecuencias de esta filtración. Por ejemplo, podemos estar a su disposición para ayudarlos a elaborar contraseñas robustas, o darles consejos para instalar herramientas anti-malware de uso personal.
Asimismo, deberíamos insistir nuevamente en las medidas de seguridad que hayamos adoptado para reforzar nuestros sistemas como consecuencia del ataque. Esto debería transmitir una gran sensación de confianza de cara al futuro, y, además, puede ir acompañado de consejos de seguridad digital para nuestros clientes.
Estos tres pasos deben adoptarse manteniendo siempre un tono humilde y constructivo. Debe quedar claro que nuestra comunicación es una disculpa sincera –el error fue nuestro, al fin y al cabo–, pero, además, también es una propuesta de mejora que debe conducir a nuestra empresa y a nuestros clientes hacia un futuro más productivo y seguro.