Responsabilidad Civil o Patrimonial en Eventos de Ciberextorsión
Medellín, 25 de septiembre de 2023
Apreciados clientes y amigos,
Con ocasión de los recientes ataques informáticos a entidades públicas y privadas, les presentamos algunas apreciaciones relacionadas con la eventual responsabilidad patrimonial que pueden enfrentar las personas jurídicas y sus administradores en el marco de una Ciberextorsión.
1. Ciberextorsión
Con el término Ciberextorsión, nos referimos a ataques de ransomware. Dependiendo de la modalidad, se trata de un ataque de código malicioso que exige a la víctima el pago de una recompensa, so pena de:
- a) Mantener encriptados e inutilizables los archivos infectados (crypto ransomware).
- b) Mantener inhabilitadas determinadas funciones de los sistemas infectados, impidiendo su uso (locker ransomware).
- c) Divulgar información reservada (doxing ransomware).
2. Administradores
Además de analizar los riesgos frente a la responsabilidad de la Sociedad, nos referimos también a los criterios con los que debe analizarse la responsabilidad de sus Administradores, término que cubre tanto a sus representantes legales como a los miembros de la Junta Directiva (Art. 22 Ley 222 de 1995).
3. Responsabilidad Civil o Patrimonial
Al margen de otras formas de responsabilidad, como la penal, nos concentraremos en la eventual obligación de las personas jurídicas o sus administradores de reparar daños sufridos por la sociedad, accionistas o por terceros a causa de una Ciberextorsión y la forma en que ésta sea gestionada. Con ligeras diferencias, todas las formas de responsabilidad patrimonial que se plantearán requieren los mismos elementos: (i) un daño o perjuicio (ii) causado por (iii) una acción u omisión imputable a la persona jurídica o sus Administradores. El escenario de Ciberextorsión representa algunas dificultades jurídicas generales y merece especiales consideraciones en materia de imputación.
4. Ausencia de Regulación Especial
Una de las principales dificultades del tema que se analiza es la ausencia de regulación legal especial para eventos de Ciberextorsión. En ninguno de los ámbitos de responsabilidad planteados encontramos antecedentes legislativos ni jurisprudenciales específicamente dirigidos a regular o analizar la responsabilidad patrimonial en eventos de Ciberextorsión, ni a reprochar o avalar el pago de la recompensa. Ello implica la necesidad de acudir a conceptos, líneas de análisis y criterios de decisión más generales, que podrían no reflejar todas las complejidades de un escenario de Ciberextorsión.
5. Estándares de Imputación
Cada una de las formas de responsabilidad supone distintos estándares de imputación, que a continuación sintetizamos:
- a) Responsabilidad Extracontractual de la Sociedad: La eventual obligación de reparar los perjuicios por la ocurrencia de la Ciberextorsión o que la decisión de pagar o no pagar el rescate cause a terceros con quienes la sociedad no tiene una relación contractual, supondría demostrar que los perjuicios fueron causados por una culpa o dolo de la sociedad o sus empleados (Art. 2341 Código Civil). En el marco empresarial, ello equivale a demostrar que no se habrían comportado como un modelo abstracto de conducta –un buen hombre de negocios– o que habrían obrado con la intención de causar un daño. A la inversa, la sociedad podría defenderse de este tipo de reclamaciones demostrando su diligencia y cuidado en la prevención y mitigación de la Ciberextorsión. Igualmente, podrá demostrar que en el caso concreto , la Ciberextorsión constituye una causa extraña (hecho exclusivo de un tercero) por su carácter imprevisible, irresistible y por haber existido una conducta diligente en materia de prevención y reacción.
- b) Responsabilidad Contractual de la Sociedad: La eventual obligación de reparar los perjuicios que la materialización de una Ciberextorsión o que la decisión de pagar o no pagar el rescate cause a los acreedores contractuales de la sociedad, supondría demostrar que los perjuicios fueron causados por el incumplimiento de una obligación contractual de la sociedad. En algunos de estos casos, podría tratarse de obligaciones de resultado, en las que a la sociedad no le bastaría demostrar su diligencia y cuidado en la prevención y mitigación de la Ciberextorsión, sino que tendría que demostrar que el evento determinante, desde el punto de vista causal, fue una causa extraña. En la práctica, ello consistiría principalmente en demostrar que el ataque de Ciberextorsión fue imposible de prever, imposible de resistir y no provino de sus empleados, contratistas o proveedores.
- c) Responsabilidad Fiscal de la Sociedad o sus Administradores cuando ejerzan funciones de gestión fiscal: La eventual obligación de reparar los perjuicios que la decisión de pagar o no pagar la Ciberextorsión cause al patrimonio público, supondría demostrar que una culpa grave o dolo de la sociedad o sus empleados causó un daño a los recursos públicos o intereses patrimoniales del Estado, en el marco de una gestión fiscal indebida (Art. 6 Ley 610 de 2000). Ello equivale a demostrar que no se habrían comportado como un modelo abstracto de conducta –un mal gestor de recursos públicos– o que habrían obrado con la intención de causar un daño. A la inversa, la entidad y sus funcionarios podrían defenderse de este tipo de reclamaciones demostrando su diligencia y cuidado en la gestión de recursos públicos destinados a la prevención y mitigación de la Ciberextorsión, así como acreditando que la Ciberextorsión reúne los elementos de la causa extraña.
- d) Responsabilidad Profesional de los Administradores: La eventual obligación de reparar los perjuicios que la ocurrencia de una Ciberextorsión o que la decisión de pagar o no pagar el rescate cause a la sociedad y a sus accionistas, supondría demostrar que el incumplimiento de los deberes legales de los Administradores (Art. 23 Ley 222 de 1995) causó un daño a la sociedad y a sus accionistas. En términos generales, debería demostrar que un Administrador no obró con la diligencia y cuidado o lealtad esperable de un buen hombre de negocios, con cierta deferencia hacia la discrecionalidad negocial (la Regla de Discrecionalidad o Business Judgment Rule).
Como puede observarse, salvo en lo que tiene que ver con obligaciones contractuales de resultado, la responsabilidad patrimonial de la Sociedad y sus Administradores debe analizarse bajo un título de imputación subjetivo o con culpa. En esencia, ello significa que para comprometer su responsabilidad, deberá acreditarse un error de conducta o una desviación de un modelo de conducta.
6. Etapas Causales
Para comprometer la responsabilidad de la sociedad o sus Administradores, basta con acreditar que alguna de las conductas señaladas en los Estándares de Imputación tuvo una incidencia causal en los daños reclamados. En el escenario de Ciberextorsión planteado, podría cuestionarse incluso la incidencia causal de los esfuerzos de prevención.
Para la construcción del modelo de conducta exigible a una Sociedad y a sus Administradores, conviene separar los eventos de Ciberextorsión en dos etapas. Una anterior al evento de Ciberextorsión, en la que en nuestro criterio le son exigibles esfuerzos de prevención (el “Modelo Preventivo”); y otra posterior al evento de Ciberextorsión, en la que en nuestro criterio le son exigibles esfuerzos de mitigación (el “Modelo Reactivo”).
7. Modelo Preventivo
Bajo el Modelo Preventivo, la Sociedad y sus Administradores deben desplegar esfuerzos dirigidos a evitar una Ciberextorsión. Al margen de la decisión sobre el pago de la recompensa, la falta de diligencia y cuidado en la adopción de medidas preventivas que hubiesen podido evitar el evento de Ciberextorsión, podría comprometer la responsabilidad de la Sociedad y sus Administradores.
En las fuentes de tecnología se señalan como medidas preventivas el entrenamiento de los empleados, así como la adopción de medidas de seguridad y controles de acceso. Se hace especial énfasis en los respaldos periódicos y aislados de información, que eviten su contagio y permitan restablecerla en caso de cifrado.
A la fecha, no existen reglamentos o normas técnicas en Colombia que exijan determinadas medidas preventivas frente a la Ciberextorsión o fenómenos análogos. A falta de normas específicas en Colombia, la sociedad debería aplicar las buenas prácticas en la industria, mediante asesoramientos periódicos con expertos en ciberseguridad.
8. Modelo Reactivo
Bajo el Modelo Reactivo, la Sociedad y sus Administradores deben desplegar esfuerzos dirigidos a mitigar el impacto de una Ciberextorsión, ponderando en cada caso todos los intereses en juego. Según se advirtió, no es posible reprochar en abstracto la simple decisión de pagar o no pagar una Ciberextorsión. En cambio, el proceso mismo de toma de decisiones sí podría reprocharse y constituir una conducta culposa capaz de comprometer la responsabilidad de la Sociedad y sus Administradores.
En las fuentes de tecnología, se señalan como medidas reactivas la contención de la infección, la evaluación de su impacto y la notificación a los distintos grupos de interés y potenciales afectados. Agregaríamos la denuncia ante las autoridades, en cumplimiento del deber de denuncia; la notificación inmediata a la aseguradora y la contratación del experto amparado por la Póliza –si los hubiere–.
También se enfatiza en algunos de los criterios que deben considerarse en la toma de la decisión de pagar o no pagar el rescate. Destacamos la imposibilidad de garantizar que los extorsionistas cumplirán lo prometido a cambio del pago; las demoras, costos y restricciones técnicas para recuperar el acceso a los archivos cifrados o sistemas bloqueados –en ocasiones superiores a medidas alternativas, como el restablecimiento de respaldos–; y el incentivo a ser atacado nuevamente, dada la decisión de pago.
De otro lado, al margen de la responsabilidad patrimonial de la Sociedad y sus Administradores, deberían considerarse potenciales implicaciones del pago bajo normas extranjeras que pudieran tener alguna incidencia en los negocios de las sociedades. Por ejemplo, la Oficina de Control de Activos Extranjeros (“OFAC”) de Estados Unidos, emitió la siguiente advertencia sobre el pago de recompensas por Ciberextorsión en determinadas circunstancias (traducción libre):
“El Departamento del Tesoro de los EE. UU., a través de la Oficina de Control de Activos Extranjeros (OFAC), emite este aviso para destacar los riesgos de sanciones asociados con los pagos de Ciberextorsión relacionados con actividades cibernéticas maliciosas. La demanda de pagos de Ciberextorsión ha aumentado durante la pandemia de COVID-19, ya que los actores cibernéticos atacan los sistemas en línea en los que las personas de EE. UU. dependen para continuar realizando negocios. Las empresas que facilitan pagos de Ciberextorsión a actores cibernéticos en nombre de las víctimas, incluyendo instituciones financieras, empresas de seguros cibernéticos y compañías involucradas en la informática forense y la respuesta a incidentes, no solo fomentan futuras demandas de pago de Ciberextorsión, sino que también pueden correr el riesgo de violar las regulaciones de la OFAC. Este aviso describe estos riesgos de sanciones y proporciona información para contactar a las agencias gubernamentales relevantes de los EE. UU., incluyendo la OFAC, si hay razones para creer que el actor cibernético que exige el pago de Ciberextorsión puede estar sancionado o tener de otra manera una conexión con sanciones.”
Por lo tanto, es necesario consultar con expertos en las directrices de cumplimiento de la OFAC el estado de la cuestión, para determinar posibles impactos bajo ese marco derivados de una Ciberextorsión.
En la medida en que reglas vinculantes en materia de estándares de cumplimiento impidan realizar pagos derivados de una Ciberextorsión, la Sociedad y el Administrador podrán invocar el cumplimiento de un deber legal como motivo de defensa.
9. Pólizas
Actualmente, el mercado asegurador ofrece pólizas que proporcionan cobertura por los daños y gastos asociados a la mitigación de un incidente de Ciberextorsión, cubriendo tanto la responsabilidad frente a terceros, como las pérdidas propias por actos maliciosos o por falla en la diligencia. En esencia, la cobertura incluye, en algunos casos, el pago de rescates, honorarios de asesores para gestionar la extorsión, pago de recompensas a informantes que contribuyan a la detención y condena de un extorsionista e intereses sobre préstamos para el pago de rescates.
La contratación de la Póliza constituye una medida prudente desde el punto de vista reactivo. No obstante, el hecho de gozar de cobertura de la recompensa no implica que la decisión deba ser necesariamente afectar todos los amparos de la Póliza. Además de la simple cobertura y las demás consideraciones acá esbozadas, antes de afectar la Póliza deberían considerarse aspectos como los montos de la retención, la afectación del límite único combinado, el riesgo de un pago ineficaz, el posible incentivo a futuros ataques y los riesgos reputacionales.
10. Documentación
En caso de un proceso en el que se atribuye responsabilidad patrimonial a una sociedad por el pago o no pago de una Ciberextorsión, será fundamental poder demostrar que su conducta se ajustó tanto al Modelo Preventivo como al Modelo Reactivo ya referido. Si bien en Colombia no existe una tarifa probatoria para este tipo de hechos, los documentos constituyen un medio de prueba por excelencia, en la medida en que dejan constancia contemporánea de lo ocurrido.
En esta medida, se sugiere a las compañías la preparación y conservación de documentos como:
- Manuales y políticas dirigidas a los empleados, sobre buenas prácticas en materia de ciberseguridad.
- Constancias de entrenamiento o capacitación a los empleados sobre buenas prácticas en materia de ciberseguridad.
- Arquitectura de ciberseguridad de la compañía.
- Perfiles y controles de acceso a archivos y sistemas, con especial énfasis en aquellos que pudieran afectar infraestructuras críticas.
- Políticas de respaldo periódico de información y almacenamiento aislado de los respaldos.
- Contratación de expertos en ciberseguridad e informes preparados por estos.
- Manuales y políticas de contención de la infección y la notificación a los distintos grupos de interés y potenciales afectados, incluyendo la notificación a la aseguradora y la denuncia ante las autoridades.
- Actas de las reuniones de la Junta Directiva, en las que sugerimos dejar espacios para definir políticas en materia de ciberseguridad.
- Actas de un eventual comité de seguimiento en materia de ciberseguridad, para analizar avances en la implementación de las políticas definidas por la Junta Directiva.
- Contratación de expertos en hacking ético e implementación de sus recomendaciones.
- Actas de cualquier reunión dirigida a evaluar casos puntuales de Ciberextorsión y adoptar una decisión, en la que se deje constancia del proceso de decisión, la intervención de expertos en la materia y la ponderación de las alternativas disponibles y sus consecuencias.
11. Conclusiones y recomendaciones
Con fundamento en lo expuesto, presentamos las siguientes conclusiones y recomendaciones:
- La Ciberextorsión representa nuevos riesgos para las Sociedades, sus Administradores y otras personas naturales o jurídicas que, teniendo o no una relación contractual con la sociedad, pueden resultar afectadas por estos eventos y su gestión por parte de la misma.
- Salvo en lo que tiene que ver con obligaciones contractuales de resultado, la responsabilidad patrimonial de la Sociedad y sus Administradores debe analizarse bajo un título de imputación subjetivo o con culpa. En esencia, ello significa que para comprometer su responsabilidad, deberá acreditarse un error de conducta o una desviación de un modelo de conducta.
- Para la construcción del modelo de conducta exigible a la Sociedad y a sus Administradores, conviene separar los eventos de Ciberextorsión en dos etapas. Una anterior al evento de Ciberextorsión, en la que en nuestro criterio le son exigibles esfuerzos de prevención (el “Modelo Preventivo”); y otra posterior al evento de Ciberextorsión, en la que en nuestro criterio le son exigibles esfuerzos de mitigación (el “Modelo Reactivo”).
- Bajo el Modelo Preventivo, la Sociedad y sus Administradores deben desplegar esfuerzos de entrenamiento de sus empleados, adopción de medidas de seguridad y controles de acceso, y respaldos periódicos y aislados de información.
- Bajo el Modelo Reactivo, la Sociedad y sus Administradores deben desplegar esfuerzos dirigidos a contener la infección, evaluar su impacto, notificar a los distintos grupos de interés para que adopten sus propias medidas y, caso por caso, adoptar una decisión técnica y jurídicamente informada de pagar o no pagar la recompensa.
- En nuestro criterio, con la legislación vigente en Colombia, bajo ninguno de los dos Modelos es exigible un resultado concreto, sino simple diligencia y cuidado, que deberá evaluarse siempre de cara a las medidas preventivas y reactivas disponibles en cada momento y considerando en todo caso la relación costo-beneficio de su implementación.
- La contratación de una Póliza constituye una medida prudente desde el punto de vista reactivo. No obstante, el hecho de gozar de cobertura de la recompensa no implica que la decisión deba ser necesariamente afectar la Póliza. Además de la simple cobertura y las demás consideraciones acá esbozadas, antes de afectar la Póliza deberán considerarse los montos de la retención, la afectación del límite único combinado, el riesgo de un pago ineficaz y el posible incentivo a futuros ataques.
- La regla de discrecionalidad en el ámbito de la responsabilidad de los administradores y la exigencia de una culpa grave o dolo en el ámbito de la responsabilidad fiscal, hacen particularmente difícil reprochar en abstracto la decisión de pago o no pago de una recompensa. En estos eventos, los reproches estarán dirigidos a la razonabilidad de los esfuerzos –fallidos– de prevención y al proceso de análisis que dio lugar a adoptar la respectiva decisión.
- La filtración de información reservada de contrapartes contractuales, el eventual pago de recompensas en casos de Ciberextorsión y la eventual imposibilidad de operar los sistemas, podrían constituir incumplimientos de obligaciones contractuales que den lugar al pago de indemnizaciones, penalidades o a la terminación del contrato. Estas consideraciones deben ser incorporadas a la toma de decisiones preventivas y reactivas, analizando e interpretando las condiciones de cada contrato potencialmente afectado.
- Se sugiere documentar todos los esfuerzos desplegados por la Sociedad y sus Administradores, tanto bajo el Modelo Preventivo como bajo el Modelo Reactivo. Particularmente, se sugiere dejar constancia de los dilemas o alternativas discutidos, la intervención de expertos y autoridades en la materia y los análisis y ponderaciones efectuadas para adoptar cada decisión. En el caso de un eventual litigio, tales documentos facilitarán demostrar la diligencia y cuidado exigible bajo ambos modelos de conducta, al margen de la decisión finalmente adoptada.