Esta semana una de las grandes cadenas de tiendas de ropa americanas, TJX (TJ Max, Marshalls, etcétera), ha vivido su particular versión de la peor pesadilla informática para grandes empresas: un agujero en las bases de datos de clientes. Un número aún indeterminado de transacciones, en las que se utilizaron unos 45 millones de tarjetas de crédito, han sido expuestas y robadas debido a fallos de seguridad en sus sistemas informáticos.
Bienvenidos al siglo XXI, donde a uno le roban si decirle ni hola.
Lo más triste, e irritante, es que esta noticia no es ni de lejos sorprendente. En los últimos meses, ha habido un goteo constante de informaciones de compañías, universidades e incluso administraciones públicas varias en Estados Unidos que han avisado de agujeros de seguridad y los consiguientes robos de datos. El caso de TJX es de lejos el que tiene una
cifra más catastróficamente alta de víctimas potenciales (estamos hablando de todas las transacciones de una compañía con 2.500 tiendas durante casi un año), pero no es que hayan faltado avisos; de hecho se está convirtiendo en un problema recurrente en el país. ¿Por qué está sucediendo?
Para empezar, resulta relativamente difícil para los consumidores informarse y poder atribuir un culpable en caso que sus datos sean utilizados. Las tarjetas de crédito no son instrumentos que se usan una vez cada tres meses, y que en cuanto tienes un problema sabes qué pago fue el que te dejó expuesto; en caso de un robo de información y uso fraudulento, saber qué compañía la pifió protegiendo los datos no es sencillo.
Los costes de un robo de identidad en general permanecen relativamente ocultos. No hace demasiado, un tipo en Malasia sacó €300 de cajeros automáticos utilizando una tarjeta de débito que estaba en principio anulada. Para mi alivio, un par de llamadas a Cajamadrid bastaron para recuperar
el dinero en un par de días, sin más gasto que 50 céntimos en el Skype. Lo cierto es que cuando me devolvieron el dinero me olvidé rápidamente del problema; cambié contraseñas en todas partes, evidentemente, y ahora miro el saldo de forma aún más obsesiva que antes, pero aparte de cagarme en un hacker malayo, mis iras no se dirigieron contra nadie en especial.
En una situación normal, si un restaurante te carga €300 de más en una cena, la reacción habitual una vez devuelto el dinero es no volver a poner los pies en ese sitio nunca más. Sin embargo, yo no sé de dónde han salido los datos que permitieron a algún tipo en el otro lado del mundo correrse una juerga a mi costa; Cajamadrid no me lo ha dicho, y Visa evidentemente tampoco. Dios sabe si compré en TJ Max, o si por culpa de algún idiota en Cardsystems las cosas se salieron de madre, o bien por alguna otra megacompañía que ha sufrido el mismo percance y todavía no lo ha hecho público.
No puedo dejar de comprar en ninguna parte como venganza, o siquiera seguir la gran tradición local de ponerle un pleito a alguien. No tengo culpables, simplemente.
Estamos en un mercado que no puede funcionar; el mecanismo de pérdida de clientes ante un mal servicio está roto, ya que nadie sabe quien ha metido la pata. Los intermediarios, Visa y Mastercard, son los que se dedican a dar tortas a los que se portan mal, cuando no son ellos los que se equivocan. Si en un mercado hay falta de confianza en la eficacia o seguridad de las formas de pago, los costes de transacción suben; conforme el problema de robo de datos y identidades se agudiza, estos costes acabarán siendo pagados (y haciendo daño) a alguien.
Es un caso clásico de problema que afecta a todos, pero que nadie realmente parece tener interés en solucionar: todos los actores implicados confían en que sean otros los que carguen el muerto. Visa y Mastercard penalizan a los bancos o a los comercios, pero siguen rascando
comisiones, los comercios tratan de ahorrar costes y confiar que no les toque a ellos, y los consumidores ponen velas a los Santos para que cuando alguien les sable, no pierdan demasiado dinero.
¿Solución a la vista? De hecho, es bastante sencilla. Curiosamente, como señala el Economist, este problema es una epidemia americana, no europea. El motivo principal es la inefable Comisión Europea, y la draconiana directiva de protección de datos que tantos gruñidos atrajo en su día. En vista de los problemas de información de estos sistemas, y la más que probada afición de unos y otros de tratar de ofuscar el origen de los problemas, se decidió obligar a las compañías a ciertos criterios de seguridad, dejando bien claro quién paga y qué castigo lleva el incumplimiento. Con todo el mundo bien consciente de las
reglas del juego, los problemas han sido mucho menores.
Lo que me lleva a pensar en ese principio que dice que las mejores leyes son las que nunca se hacen cumplir, ya que todos las respetan. A veces el tener las reglas bien claritas basta para quitar una enorme cantidad de fricción y costes a un mercado que no se acababa de ajustar por si sólo. Cosas tan simples como tener una hora oficial común o una manera equivalente de listar cosas en bolsa hacen todo mucho más sencillo.
Por cierto. lo contrario también se cumple; si una ley es cara, compleja e incomoda de aplicar, es muy probable que sea mala. Pero eso es para otro día.
Probablemente tengas razón en cuanto al punto general, pero el ejemplo concreto de la protección de datos me parece dudoso.
En materia de seguridad, la directiva 95/46/CE no establece reglas claritas; sólo dice que cada ley nacional tiene que prever unas. Es después cada Estado miembro quien decide, según su leal saber y entender, qué medidas deben aplicarse. Por eso, me parece difícil sacar conclusiones a nivel europeo sobre la claridad de las leyes: hay 27 conjuntos de normas sobre seguridad.
Por otro lado, el ejemplo concreto de la protección de datos sería bueno si las leyes sobre protección de datos fuesen respetadas. Sin embargo, el porcentaje de empresas que no cumplen en absoluto, o sólo formalmente (las notificaciones a la Agencia Española de Protección de Datos, pero nada más), es abrumadoramente alto. Entre otras cosas, porque un régimen como el español, imposible de cumplir al cien por cien, hace que la gente pase de cumplir o lo haga sólo
selectivamente, especialmente en cuando a las medidas de seguridad.
No sé qué pasaría si los hackers más expertos del mundo intentasen atacar a una empresa española. El hecho de que aquí no hayamos sufrido casos tan espectaculares quizá no se deba a la ley en vigor, ni mucho menos al cumplimiento real de esa ley, sino a que no tenemos compañías tan gigantescas que pongan sus datos en un entorno más o menos vulnerable, de modo que los hackers tengan un incentivo real para explotar agujeros en su seguridad. Puede ser que las compañías americanas sean especialmente golosas para esos piratas.
O quizá sea otro el motivo, no tengo ni idea. En cualquier caso, pese a lo que dice The Economist, el argumento ‘normativo’ no me parece muy convincente.
Bueno, la cuestión es que al menos en Europa hay una serie de reglas. En Estados Unidos, a nivel federal, hay cero, zilch, nothing, nada. Vacio absoluto. Si te roban datos, puedes irle a reclamar a rita la cantaora, que la responsabilidad judicial no es posible reclamar a la empresa directamente, o al menos utilizando una norma específica.
Sobre empresas europeas vulnerables, no creas que no hay falta de objetivos. Inditex solita tiene más de 3.000 comercios por todo el mundo, Carrefour tiene 5.800 sólo en Europa (creo ya andan por 7.500 en el mundo), y no son los únicos. Incluso una empresa relativamente pequeña como El Corte Inglés o Caprabo es un objetivo más que jugoso.