Inicio / Protege tu empresa / Blog / Historias reales: Fuga de información en un equipo de motociclismo

Historias reales: Fuga de información en un equipo de motociclismo

Publicado el 19/04/2016, por INCIBE
Historias reales: Fuga de información en un equipo de motociclismo

« ¡Las motos del equipo rival me adelantan gracias a mi propia tecnología! ¡Me han robado los diseños de mis motos de competición! ¿Cómo es posible? »

Alfonso gestiona un taller de motos donde hace todo tipo de reparaciones. A parte dirige una escudería de motos, aprovechando las instalaciones del taller para realizar el diseño y fabricación de las piezas de las motos de carreras.

Desde el año pasado ha estado investigando y desarrollando unas mejoras en el chasis de sus motos que les están permitiendo ganar muchas carreras esta temporada.

El trabajo de desarrollo de la mejora mecánica de sus motos los realiza, junto a su equipo de mecánicos, desde el ordenador de trabajo del taller. Aquí almacena toda la información del taller y de la escudería.

¡La temporada iba viento en popa! Sus pilotos estaban en las primeras posiciones de la clasificación del campeonato y los rivales se mantenían a distancia. Esto hacia que nuevos patrocinadores se interesasen por invertir en su escudería. Todo gracias a la ventaja que les suponía las nuevas mejoras del chasis de su moto.

Hasta que llegó un momento en que uno de los equipos rivales por el título empezó a mejorar resultados de forma espectacular. Puso inmediatamente a su equipo a trabajar para averiguar que mejoras podrían estar introduciendo. Tras un primer análisis de la situación, se dieron cuenta que habían introducido unas modificaciones en el chasis de sus motos que eran «extrañamente» muy similares a las suyas.

¡Les habían robado los diseños que habían desarrollado en su escudería! ¿Cómo es posible que tuviesen los datos de sus diseños?

¿Qué fue realmente lo que pasó?

Al final de la temporada pasada, dejó el taller (y la escudería) uno de los mecánicos. Este mecánico acabo fichando por el equipo rival que estaba utilizando los diseños de su nuevo chasis. ¿Es posible que el mecánico se hubiera llevado los nuevos diseños y que no se hubiesen dado ni cuenta?

La información confidencial de los diseños de las motos estaba almacenada en el equipo de trabajo del taller, organizada en diferentes directorios de trabajo, donde se almacenaba toda la información referente a la mecánica de las motos (como los diseños del chasis y los motores, o la composición del combustible), los datos de las telemetrías de competición, los resultados de los test de pruebas realizadas, etc.

Aunque el acceso a la información se realiza mediante la utilización de sesiones personales de usuarios protegidas con contraseña, no existía ningún tipo de restricción de acceso a los documentos, y todos los usuarios tenían los mismos permisos de consulta y modificación para todos los documentos de trabajo. La información tampoco estaba protegida por ningún sistema de cifrado de datos. Esto hizo que cualquier empleado tuviese acceso sin restricciones a la totalidad de la información confidencial de la escudería y, como en el caso del mecánico, pudiera robarla fácilmente.

Tampoco tenían una política de seguridad donde se estableciesen las pautas y obligaciones de los trabajadores en materia de ciberseguridad, donde se estableciesen los mecanismos y procedimientos para disminuir el riesgo de producirse una fuga de información.

¿Qué consecuencias hubo?

La filtración de la información produjo un impacto muy negativo en su escudería, con consecuencias muy graves como:

  • Daño en la imagen de marca del equipo, que provocó la desconfianza de algunos de sus patrocinadores y el menoscabo de su reputación entre los aficionados.
  • Consecuencias legales que podrían haberse producido por la desaparición de la información, y que podrían haber conllevado sanciones económicas o administrativas. En este caso, no hubo consecuencias de este tipo pero, si el robo hubiera sido de datos de información personal de clientes o proveedores, podrían haber incumplido la de la Ley Orgánica de Protección de Datos (LOPD).
  • Consecuencias económicas relacionadas con el impacto negativo de la pérdida del apoyo de uno de los patrocinadores por no poder mantener el nivel de resultados.
  • También tuvieron otro tipo de consecuencias, como el retroceso del nivel técnico del equipo respecto a sus competidores, que hizo que sus resultados deportivos disminuyesen significativamente el resto de la temporada.

Consecuencias de fuga de información

¿Qué hacer para que no nos suceda?

Para controlar el acceso indiscriminado a la información confidencial, debemos controlar que personas acceden a determinado tipo de documentación y en qué condiciones.

Es conveniente diseñar e implementar una política de seguridad donde se regulen los mecanismos de control de acceso a la información especialmente crítica, como por ejemplo en este caso son los diseños de los componentes de las motos, los datos de las telemetrías de competición, los resultados de los test de pruebas realizadas, etc.

Para ello deberemos seguir los siguientes pasos:

  • Toda la información crítica debe estar cifrada y protegida por un sistema de contraseñas.
  • Crearemos grupos de acceso, en función del tipo de información a la que se tenga acceso. De esta forma crearemos grupos específicos para los mecánicos, los ingenieros de desarrollo, administración y el jefe de equipo.
  • Estableceremos permisos específicos a cada uno de los grupos sobre la información. De esta forma, los mecánicos podrán consultar la información sobre las especificaciones de las motos, mientras que los ingenieros tendrán permisos para modificarlas.
  • Deberemos contemplar un procedimiento especial para accesos puntuales a la información. De esta forma, podemos dar permisos extraordinarios, de manera temporal, a un mecánico para añadir unas anotaciones a la información de diseño de los chasis.
  • Dentro de la política de control de acceso se regulará la periodicidad con la que se actualizarán los permisos asociados a los grupos y los componentes de los mismos.
  • Debemos diseñar un procedimiento de eliminación de permisos que nos permita, de forma rápida y ágil, revocar permisos sobre usuarios. De esta forma podremos eliminar de un grupo a un usuario que haya causado baja en la empresa.

Debemos de elaborar acuerdos de confidencialidad donde los empleados acepten, firmando por escrito, las políticas internas de confidencialidad y seguridad, especificando las sanciones en el caso de incumplirse.

Alfonso tomo inmediatamente todas estas medidas para que no le volviese a pasar nunca más. Comprendió que la información de su empresa era su activo más preciado para el negocio, y que debía protegerla con todos los medios a su alcance.

Haz como él y evita la fuga de información de tu empresa. Unos pocos minutos, pueden ahorrarte grandes disgustos.

Etiquetas: 
Comercio minorista
Empresa
Políticas
Protección información
Testimonios
Artículos relacionados
Imagen de acompañamiento
INCIBE | 08/06/2022
Nueva edición del curso MOOC de ciberseguridad para microempresas y autónomos, ¿te apuntas?
Historias Reales INCIBE
Elisa Vivancos (INCIBE) | 24/05/2022
Historia real: cómo pagué una factura a un ciberdelincuente que entró en mi cuenta de correo
Vista aérea del teclado de un ordenador
José Manuel Roviralta Puente (INCIBE) | 01/03/2022
Protege tu puesto de trabajo, protege tu negocio