(Este artículo fue publicado previamente por José Rosell en la revista Economia3)

Es un hecho, y por tanto no vamos a extendernos en su justificación en estas líneas, que los procesos de negocio son altamente dependientes de la tecnología y que cada vez lo son más y no solo de la tecnología en sí misma, sino del uso que hacemos de ella.

En los últimos años hemos asistido asombrados al nacimiento y desarrollo vertiginoso de las redes sociales en el mundo. La rapidez de su expansión y su intensidad de uso, así como su importancia en todos los campos de nuestra sociedad, están obligando a organizaciones de todo el mundo a tomar cartas en el asunto. Por si fuera poco, la reciente proliferación de dispositivos móviles, “smartphones” y tabletas, que nos permiten un acceso ubicuo a la información, ha terminado de complicar el panorama desde el punto de vista de la gestión y el control de la información.

En 2008 el 45% de los internautas eran usuarios de redes sociales mientras que en 2011 lo son el 91%, de los que el 55% usan las redes sociales a través de dispositivos móviles. (Fuente: Observatorio de redes sociales del BBVA. IV Oleada. Abril de 2012)

Un factor adicional que hace más complicado el análisis del uso de las redes sociales y su impacto en nuestras organizaciones son los continuos vaivenes de su tipología y forma de uso, como se desprende del citado informe. Cuando empezamos a entender sus implicaciones y diseñamos una tímida pauta de actuación en esta materia, nos podemos encontrar con que su uso haya cambiado o “mutado” hasta el punto de dejar nuestras medidas obsoletas. No hay más que ver que, según el mismo estudio, en 2008, el uso de twitter entre los internautas apenas alcanzaba el 1% mientras que en 2011 la cifra de usuarios activos de twitter alcanzaba el 32%, cifra que se incrementa hasta el 51% si contamos usuarios que no se consideran especialmente activos en la red social.

Es por tanto un movimiento imparable, de trascendencia incuestionable y de consecuencias indeterminadas hasta la fecha en múltiples campos, incluido el profesional. Decir que sabemos a ciencia cierta cómo actuar en cada caso sería como hacernos trampas jugando al solitario. Lo cierto es que, desde un punto de vista empresarial, no podemos ignorar este fenómeno por las implicaciones que tiene en distintos campos: reputación digital de la marca, fugas de información confidencial, productividad personal, riesgos de incumplimiento normativo, etc., aspectos que directa o indirectamente afectan a la seguridad de las organizaciones.

Pensemos en el impacto que ha tenido el uso de las redes sociales en movimientos recientes como pueden ser la primavera árabe o el 15M español. Pensemos en el terreno empresarial los ejemplos del potencial destructivo que el uso de las redes sociales está teniendo en algunos casos como los ataques organizados contra marcas determinadas o grandes empresas por grupos de “hacktivistas”, como “anomymous”, movidos por diferentes intereses, capaces de poner en jaque incluso a gobiernos y que se sirven de las redes sociales como medio de difusión y organización de sus ataques.

Las redes sociales y su uso, tanto en ámbitos privados como profesionales, es un fenómeno emergente, del que no hay registros, sobre el que nadie tiene actualmente control y del que no tenemos experiencia histórica alguna y que, además, está impactando positiva y negativamente, en nuestras vidas personales, en nuestras compañías y por tanto en nuestras vidas profesionales y en la sociedad en su conjunto.

Al margen de otras consideraciones, el uso masivo de las redes sociales proporciona un grado de conocimiento e información sobre individuos, sobre colectivos de todo tipo y sobre las organizaciones que componen que nunca ha sido tan profundo y fácil de obtener, conformando, si es mal utilizado, un caldo de cultivo perfecto para el diseño de vectores de ataque personalizados con un conocimiento detallado sobre los individuos que componen una organización con todo lo que esto implica.

La probabilidad, en este sentido, de diseñar “ciberataques” personalizados contra organismos y organizaciones de todo tipo y tamaño, va a crecer en los próximos años a no ser que tomemos cartas en el asunto. Tengamos en cuenta que un ciberataque no implica un gran ataque elaborado y sofisticado contra una gran empresa u organismo público. Asistimos a ciberataques diarios contra medianas y pequeñas empresas por motivos muy diversos: espionaje industrial, robo de información comercial, robo de información personal que puede ser vendida en el mercado negro, daños a la imagen de marca de la competencia, venganzas por situaciones laborales o personales, envío de spam y distribución de malware con fines puramente económicos, etc…

Otro aspecto importante a tener en cuenta, además del uso de la información de las redes sociales para diseñar ataques digitales a medida, es el uso que se está haciendo de las redes sociales para distribuir información, real o no, objetiva o subjetiva, de nuestros negocios. Cuando la información que se distribuye por las redes sociales es tendenciosa, está falseada o sacada de contexto intencionalmente o contiene información adulterada con un fin malicioso, podemos estar hablando de lo que se conoce como un “ataque semántico”. En este sentido se define la “seguridad semántica” como el conjunto de medidas orientadas a prevenir, detener o minimizar el efecto de cualquier ataque de este tipo. Los ataques relacionados con la seguridad semántica encuentran en las redes sociales el medio ideal para su difusión y distribución masiva en muy poco tiempo y con un coste nulo.

A pesar de que el término pueda parecer sofisticado, podemos encontrar a menudo ataques de este tipo a pequeña escala en los que se “ataca” la reputación o el prestigio de la competencia, de forma anónima, haciendo uso de foros y redes sociales. Pensemos en un ejemplo simple y cotidiano en determinados segmentos de edad, ¿cuántas personas miran hoy en día los comentarios negativos sobre un hotel o un restaurante antes de probarlo? Les aseguro que bastantes y este número va en ascenso.

Las redes sociales son por tanto, un fenómeno que debemos contemplar de forma activa, desde las organizaciones y empresas, dentro de nuestras políticas. Para gestionar los riesgos derivados de la existencia de las redes sociales deberemos: diseñar una política de uso de las redes sociales, concienciar al personal y su entorno en el uso de las redes sociales y sus riesgos y monitorizar el uso de las redes sociales y la presencia de nuestra marca y su entorno en las mismas.