Cada vez con más frecuencia, el consumo de noticias sobre ciberseguridad se parecen a la lectura de marcadores deportivos con titulares estruendosos: “se vulneraron 20 millones”, “se filtraron 30 millones”, “es la base de datos más grande de la historia”.
Si bien el volumen es útil para dimensionar la magnitud del problema, se corre el riesgo de que la conversación se agote en la cifra, en el morbo de la atribución o en la carrera frenética por la primicia.
Cuando las noticias u opiniones en medios se centran únicamente en quién fue el atacante, perdemos de vista lo más importante: la seguridad y privacidad de las personas reales que están detrás de esa información.
Una vulneración de datos no es un evento técnico abstracto. No le ocurre a los servidores; le ocurre a la vida de las personas. En la administración pública y en las empresas, el activo crítico no es el código SQL o el servidor en la nube; es la confianza de la ciudadanía y los clientes.
Por ello, es vital distinguir conceptos que solemos mezclar: una vulnerabilidad es una debilidad; una intrusión es el aprovechamiento de esa falla; y una filtración es la salida de control de la información. Casi toda filtración grave es el síntoma final de vulnerabilidades no atendidas y controles insuficientes.
Aquí es donde el periodismo enfrenta su mayor dilema ético. Su rol social es indispensable para exhibir fallas y exigir rendición de cuentas, pero cuando el objetivo es el clickbait, se termina amplificando el daño.
Al publicar capturas de pantalla de bases de datos reales, describir foros clandestinos o dar detalles de cómo acceder a la información robada, el informador se convierte, involuntariamente, en un promotor del mercado negro. Se crea una paradoja peligrosa: se denuncia una vulneración, pero al mismo tiempo se incrementa su impacto al facilitar la re identificación de las víctimas.
Incluso la obsesión de poner el foco en “quién lo hizo” suele ser una distracción. En ciberseguridad, atribuir con certeza es sumamente complejo y, a menudo, un juego de especulación. Poner el reflector en el grupo criminal desvía la atención de lo urgente, que es cerrar la brecha, reparar el sistema y notificar a los afectados. De hecho en algunos casos solo amplifica la publicidad hacia el grupo delictivo, haciendo apología del delito. La prevención no es una vacuna única, sino una disciplina sostenida de prevención, monitoreo y mejora continua.
Para ordenar este caos, existe un estándar poco conocido pero fundamental: el ISO/IEC 29147. Este marco define cómo las organizaciones deben gestionar la divulgación de vulnerabilidades. La idea es simple: antes de hacer pública una falla, se notifica al responsable y se acuerda un periodo razonable para corregir. Este “tiempo de gracia” (que comunidades dedicadas a encontrar vulnerabilidades de día cero, como Project Zero fijan en esquemas de 90 días o el CERT/CC en 45) no es un favor a la institución, sino una medida de protección para los usuarios y que puede ser aplicada en este contexto aunque sean vulnerabilidades conocidas, que pueden ser corregidas en un tiempo mucho menor. Divulgar sin dar tiempo a corregir puede regalarle una llave a otros delincuentes. Esto sin quitar la responsabilidad de incrementar la postura de seguridad de las organizaciones vulneradas y corregir a tiempo.
La gestión de estos incidentes debe dejar de ser reactiva. Las organizaciones necesitan procesos maduros de remediación, por ejemplo estar alineados con ISO/IEC 27001, incluyendo canales claros de reporte y equipos de respuesta a incidentes. La ciberseguridad no debe depender de un heroísmo aislado ante la crisis, sino de un sistema de gestión que integre también la privacidad (como propone el estándar ISO/IEC 27701).
Para que la cobertura de estos eventos evolucione hacia una verdadera cultura de seguridad, propongo cambiar el enfoque:
Evitar el sensacionalismo: Ser el primero no es ser el mejor si en el camino se expone a gente inocente.
Educar al publicar: Explicar la naturaleza de la vulneración, por ejemplo qué es el phishing o la importancia del segundo factor de autenticación (MFA) es más útil que narrar el folklore del mercado negro.
Centrarse en la utilidad pública, en lugar de describir foros clandestinos, hay que informar sobre las señales de alerta de fraude y los pasos inmediatos que el ciudadano puede tomar para protegerse.
En última instancia, la ciberseguridad está compuesta por varias capas, de manera similar a la salud pública, do de debemos trabajar en la prevención, monitoreo, detección, contención, respuesta y recuperación.
Detrás de cada millón de registros filtrados hay familias, empleos y personas vulneradas. Si logramos desplazar el foco del “quién” al “cómo protegemos”, habremos dado un paso enorme. No hacia la utopía de la seguridad total, sino hacia un modelo de responsabilidad donde la transparencia no sea un espectáculo, sino una herramienta para reducir el daño.