“WikiLeaks es un microcosmos fascinante de una tendencia más general en Internet, que permite un flujo más libre de información, incluyendo cosas que queremos que estén disponibles y cosas que no”, dice el profesor de Derecho y Ética Empresarial de Wharton, Kevin Werbach.
Julian Assange, el fundador de WikiLeaks, el controvertido sitio web que ha publicado documentos clasificados por el gobierno, estuvo arrestado en el Reino Unido (salió bajo fianza y se mantiene con medidas cautelares en Gran Bretaña), esperando ser extraditado a Suecia acusado de violación. Noticias sensacionalistas aparte, la filtración reciente en este sitio web de telegramas confidenciales del Departamento del Estado estadounidense tiene –según expertos de Wharton y de la Universidad de Pensilvania-, implicaciones para las empresas y corporaciones que tienen información sensible que proteger.
“WikiLeaks es un microcosmos fascinante de una tendencia más general en Internet, que permite un flujo más libre de información, incluyendo cosas que queremos que estén disponibles y cosas que no”, dice el profesor de Derecho y Ética Empresarial de Wharton, Kevin Werbach. Las filtraciones predeterminadas y otro tipo de información no autorizada no es nada nuevo, añade Werbach; la tecnología digital hace mucho más fácil que “cualquier individuo descontento” revele de manera masiva información de forma casi instantánea.
Para muchos el caso de WikiLeaks ha abierto un debate fundamental sobre la privacidad de la información versus su acceso público en la red. El 6 de diciembre John Naughton escribía en una columna de The Guardian online: “La lección más evidente que se deriva del caso de WikiLeaks es que representa el primer enfrentamiento sostenido entre el orden establecido y la cultura de Internet. Se habían producido algunas escaramuzas antes, pero ahora se trata de una batalla abierta”. De hecho, mientras Assange estaba entre rejas, WikiLeaks y otros “sitios espejo” que han surgido para distribuir su material, estaban amenazando, y lo siguen haciendo, con publicar un código que podría liberar más información sensible, sin censura de gobiernos ni corporaciones, si Assange es asesinado o condenado. El 8 de diciembre en el sitio web se podía leer que el arresto no les detendría, que seguirían publicando nuevos documentos; y fue entonces cuando WikiLeaks publicó una serie de telegramas sobre las decisiones del gobierno británico para liberar al terrorista libanés Abdel Baset Ali al-Megrahi.
Para las empresas, el caso WikiLeaks podría servir en última instancia como parábola sobre cómo guardar información importante. Joseph Turow, profesor de Comunicación en Annenberg School for Communication en la Universidad de Pennsylvania, sostiene que los telegramas del Departamento de Estado filtrados por WikiLeaks, a pesar de ser controvertidos, tal vez sean más meditados que la mayoría de los comunicados internos de las corporaciones. “Si fuese consejero delegado, no estaría muy cómodo con todo esto. Me preocuparía mucho que esto ocurriese en mi empresa”, dice Turow. “Los telegramas que han sido publicados parecen bastante inocentes en comparación con los emails que se envía la gente en un entorno corporativo”.
Mala publicidad y secretos comerciales. Bruce Schneier, autor de libros sobre la seguridad en el ciberespacio y fundador de BT Counterpane, una empresa de seguridad, sostiene que WikiLeaks surgió por la cantidad excesiva de información clasificada y una prensa que con el gobierno actúa “como si fuese un taquígrafo”. Asimismo, Schneier añade que el gobierno estadounidense está ahora experimentando lo que los sectores de la música y el entretenimiento han padecido durante los últimos años: redes de distribución digital que surgen por todas partes como alternativa a los sistemas que discográficas y productores intentaron controlar.
Aunque WikiLeaks ha estado publicando información durante los últimos 18 meses –en su gran parte sobre la guerra de Irak y Afganistán-, Werbach señala que los comunicados del Departamento del Estado han supuesto una nueva dimensión para el sitio web y generado fuertes reacciones. Por ejemplo, PayPal, Amazon y empresas de tarjetas de crédito han decidido suprimir los vínculos que contribuían a la financiación de WikiLeaks, aparentemente bajo presiones de los burócratas gubernamentales. “Es peligroso cuando el gobierno dice a las empresas privadas que ciertos contenidos deberían retirarse de la Red”, señala. También “es razonable que las empresas mediten sobre si WikiLeaks ha cruzado la línea con sus últimas filtraciones”.
Andrea Matwyshyn, profesora de Derecho y Ética Empresarial de Wharton, cree que la sociedad está teniendo dificultades para encontrar el equilibrio entre el control y la publicación de información que podría ayudar a la nación “a encontrar mejor su propia trayectoria”. Los gobiernos y las corporaciones deberían centrarse menos en WikiLeaks y más en la fuente inicial de las filtraciones, señala, porque “una vez que la información se cuelga en Internet es imposible hacerla volver del ciberespacio”.
De hecho, el ministro australiano de exteriores Kevin Rudd, que ha sido descrito como “obsesionado por el control” en los telegramas, dice que no es Assange el responsable de la publicación no autorizada de más de 200.000 documentos diplomáticos. “En este caso los malos son los que le proporcionaron la información, ya que son los que han quebrantado la confianza. Se merecen ser perseguidos y llevados a juicio”, afirmaba Rudd a los periodistas. El soldado Bradley Manning ha confesado online haber descargado documentos clasificados desde las redes del ejército estadounidense –incluyendo telegramas del Departamento del Estado-, que posteriormente facilitó a WikiLeaks. En estos momentos está recluido en la base militar de Quantico, Virginia, y se enfrenta a 52 años de prisión acusado de pasar información no autorizada desde ordenadores militares.
Además de prevenir una mala publicidad, Matwyshyn subraya la importancia de una estrategia proactiva para proteger los secretos comerciales corporativos en los juzgados. Matwyshyn señala que una empresa no sabe realmente si su información es secreto comercial hasta que se ve obligada a denunciar en los juzgados al sospechoso de infracción. A la hora de demostrar si un secreto comercial legítimo ha sido infringido es muy importante que la empresa pueda demostrar que valoraba suficientemente determinada parte de su propiedad intelectual como para adoptar las medidas necesarias para protegerla y no permitir su filtración fuera de la organización.
Las empresas han fracasado “de forma crónica” a la hora de establecer un enfoque general para todo el sistema y proteger su información; a menudo confían en soluciones de seguridad con base tecnológica, dice Matwyshyn. “Creen que si tienen un departamento de tecnologías de la información fuerte, entonces están cubiertas. Es el enfoque equivocado, porque los flujos de información deben ser monitorizados no sólo a través de las tecnologías de la información sino también holísticamente a través de toda la organización”.
El profesor de Gestión de Wharton Lawrence Hrbeiniakafirma que las filtraciones de WikiLeaks le han hecho pensar sobre las implicaciones estratégicas del outsourcing ó subcontratación… tanto para lo bueno como para lo malo. Así, Hrbeiniak señala que WikiLeaks publicó una lista de lugares estratégicos tanto del sector privado como de los gobiernos –incluyendo fábricas de vacunas y medicamentos fundamentales, minas y empresas industriales-, que en caso de ataque podrían causar daños a la población estadounidense. “Se derivan ventajas del outsourcing, tanto si lo hacen los gobiernos como las empresas; pero también aumenta la dependencia o vulnerabilidad ante los que controlan aquello que las empresas o gobiernos necesitan”, explica. “Con WikiLeaks se intuye esta vulnerabilidad para los gobiernos, pero existen esas mismas implicaciones para las empresas. Depender en exceso de otros puede incrementar su poder y control sobre nosotros”.
“Dinámica Cyborg”. Los altos directivos deben tener una mentalidad que conceda importancia a la seguridad de la información y a trabajar de manera colaborativa entre las divisiones internas para detectar toda fuente potencial de filtraciones, señalan Matwyshyn y otros expertos. En el caso de los telegramas diplomáticos, el Departamento del Estado decidió que, por comodidad, lo mejor era que los empleados pudiesen utilizar lápices de memoria, lo cual según Matwyshyn supone un “permiso por defecto” para copiar materiales. “Y esta persona copió y salió por la puerta”.
Incluso empleados que han firmado acuerdos de confidencialidad infringen esos contratos, lo cual tiene consecuencias que van más allá de las relaciones empleador-empleado, señala Matwyshyn. Organizaciones en las que es fundamental que se mantengan el secreto deben desarrollar procesos sistémicos que cubran el compartir información. Así, Matwyshyn observa que en el entorno corporativo se está produciendo cierta dualidad de enfoques frente a la información. Por un lado, el incremento de los medios sociales ha hecho que las empresas deseen adoptar Internet para conectarse con nuevos clientes y tener una mayor presencia en las comunidades. “Para el marketing la tecnología y su alcance son de gran ayuda”. Pero al mismo tiempo, se está poniendo en marcha una “dinámica cyborg”, esto es, las empresas cada vez dependen más del uso de tecnologías y a medida que se vuelven más mecanizadas –y menos humanas-, dependen más de la integración de sistemas informáticos para proteger la información delicada, “lo cual podría -o no- funcionar de manera óptima” señala Matwyshyn.
Matwyshyn sostiene que los sistemas de información basados en ordenadores necesitan “respaldo humano” para adoptar una visión más general sobre la seguridad de la información de manera continua y determinar dónde se están utilizando los flujos de información y si deberían ser redirigidos. Matwyshyn sugiere que las corporaciones desarrollen nuevos sistemas para compartir información “de arriba abajo” a través de colaboraciones entre el director tecnológico, el director de seguridad, el consejero delegado y otros puestos directivos. Trabajando juntos, los altos ejecutivos deberían ser capaces de desarrollar políticas integradas para compartir información en consonancia con la cultura corporativa para mejorar y hacer cumplir las normas. “Éstas son decisiones que deben partir de los directivos y crear una cultura de cuidado de la información dentro de la organización, no sólo para su propia información sino también para la seguridad de las información de los consumidores en manos de las organizaciones”.
Las empresas ahora poseen cantidades enormes de datos sobre clientes que podrían ser vulnerables, tanto de manera accidental o premeditada, señala Matwyshyn. Los consumidores cada vez están más alarmados por las cartas que reciben de empresas informándoles que se ha accedido a su información privada. En la última década 45 estados han creado estatutos obligando a las empresas a notificar a los consumidores sobre la posibilidad de que alguien haya podido acceder a su información segura. “Se han aprobado medidas con una celeridad tremenda, lo cual refleja la protesta de los consumidores y su preocupación por los temas de control”. Los consumidores quieren poder compartir información para tener un mejor acceso a productos y servicios, pero también quieren que esa información esté controlada, algo que los académicos denominan paradoja de la privacidad”.
Los consumidores buscan un régimen de confianza y la capacidad de tener cierta capacidad de decisión sobre el uso que se hace de sus datos. En pocas palabras, quieren un régimen contractual más estricto en relación con las licencias de su información”, dice Matwyshyn añadiendo que no es difícil imaginar un mundo en el que las empresas puedan ser responsables de no haber sido capaces de proteger la información de los consumidores. “Pero los consumidores no están interesados en los posibles daños y perjuicios, sino en el control de su información”.
Al final la clave es la confianza. Tras la vorágine levantada por el caso WikiLeaks, oficiales del Pentágono y del Departamento de Estado han declarado que algunos oficiales extranjeros ahora parecen mostrarse reacios a confiar en los oficiales estadounidenses. “Ya estamos observando algunos cambios; reuniones en las que antes había varios diplomáticos ahora tienen lugar con unos pocos”, decía el portavoz del Departamento del Estados P.J. Crowley. “Somos conscientes de al menos una reunión en la que se solicitó que se dejasen los portátiles fuera”.
Para Turow, es muy difícil encontrar equilibrio entre la necesidad de los ejecutivos de poder comunicarse honestamente y de manera abierta y, por otro lado, las consecuencias que se derivan en caso de que esas discusiones abiertas y francas sean más tarde desveladas. Turow sugiere que las cuestiones “altamente delicadas” no deberían tratarse por escrito, ni ser transcritas ni estar sometidas a controles de información. Aunque las empresas pueden adoptar las mejores prácticas de gestión de información –como limitar la cantidad de material que un individuo puede descargar-, no existe tecnología capaz de proteger la información contra el ataque de un individuo con determinación. “Al final todo depende de la confianza de tus empleados. Su lealtad es lo que importa”.
Para Werbach, las recientes filtraciones de WikiLeaks reflejan una mayor importancia en el pasado que en el escándalo. Los telegramas son en su mayoría comunicaciones del día a día que no dejan de ser interesantes, pero no son secretos peligrosos. Con toda probabilidad el gobierno estadounidense tiene comunicados mucho más delicados que están mucho más protegidos, añade. No obstante, “la cifra de portátiles corporativos que han sido robados y no estaban encriptados es realmente escalofriante”.
Aunque el volumen de filtraciones parece enorme, es muy probable que sólo suponga una diminuta fracción de los comunicados diarios que se producen en las redes de la diplomacia estadounidense, señala Werbach. En su opinión, el acceso a las conversaciones de alto nivel entre el presidente estadounidense y los líderes chinos o los debates sobre la estrategia nuclear está muy restringido. Cualquier organización debe priorizar el nivel de información que quiere proteger y fijar niveles apropiados de seguridad, explica. “No puedes simplemente proteger todo”.
