El espionaje corporativo es el espionaje realizado con fines comerciales o financieros. El espionaje corporativo también se conoce como espionaje industrial, espionaje económico o espionaje corporativo.
Dicho esto, el espionaje económico es orquestado por los gobiernos y es de alcance internacional, mientras que el espionaje industrial o corporativo generalmente ocurre entre organizaciones.
Los gobiernos extranjeros, especialmente aquellos en los que muchas empresas son de propiedad estatal y tienen un fuerte enfoque en el desarrollo económico, son usuarios comunes del espionaje corporativo. Como resultado, otros gobiernos también se ven involucrados en él. Una de las principales motivaciones que ha dado el presidente de Estados Unidos, Donald Trump, para intensificar la guerra comercial con China ha sido luchar contra el robo chino de secretos comerciales de empresas estadounidenses.
¿Cuáles son las formas de espionaje económico e industrial?
El espionaje económico e industrial tiene dos formas:
- Adquisición de propiedad intelectual, como procesos o técnicas de fabricación, ubicaciones de producción, información propietaria u operativa como datos de clientes, precios, ventas, investigación y desarrollo, políticas, ofertas prospectivas, planificación o estrategias de marketing.
- Robo de secretos comerciales, soborno, chantaje o vigilancia tecnológica con diferentes tipos de malware.
Además de orquestar el espionaje a organizaciones comerciales, los gobiernos también pueden ser objetivos. Por ejemplo, para determinar las condiciones de una licitación para un contrato gubernamental.
¿Qué es un secreto comercial?
Los secretos comerciales se definen en la Ley Uniforme de Secretos Comerciales (UTSA) y en las leyes estatales basadas en la UTSA.
El término secreto comercial significa todas las formas y tipos de información financiera, empresarial, científica, técnica, económica o de ingeniería, incluyendo patrones, planes, compilaciones, dispositivos de programas, fórmulas, diseños, prototipos, métodos, técnicas, procesos, procedimientos, programas o códigos, ya sean tangibles o intangibles, y ya sean almacenados, compilados o memorizados física, electrónica, gráfica, fotográficamente o por escrito si:
- El propietario de la misma ha tomado medidas razonables para mantener dicha información en secreto; y
- La información obtiene un valor económico independiente, real o potencial, por no ser generalmente conocida por el público y no ser fácilmente determinable por los medios adecuados.
¿Cómo se realiza el espionaje industrial?
Hay una serie de técnicas que se engloban dentro del espionaje industrial:
- Intervenir en la propiedad de un competidor u obtener acceso no autorizado a sus archivos
- Ponerse como empleado de un competidor para conocer secretos comerciales u obtener acceso a la información de identificación personal (PII) de sus clientes
- Utilizar escuchas telefónicas, una falta de SSL u otra forma de ataque man-in-the-middle para escuchar las comunicaciones del competidor.
- Hackear o inutilizar el ordenador de un competidor utilizando un ciberataque como el del ransomware WannaCry.
- Cambiar el registro del nombre de dominio de un competidor utilizando el secuestro de dominios.
- Obtener acceso a la red interna de un competidor abusando de las malas prácticas de seguridad de la red.
- Atacar el sitio web de un competidor explotando una vulnerabilidad de la lista CVE.
- Utilizar la suplantación de correo electrónico y el phishing para engañar a los empleados de un competidor para que revelen información confidencial o datos sensibles.
- Buscar filtraciones de datos de terceros en la web oscura.
Dicho esto, no todo el espionaje corporativo es tan dramático. Gran parte de él proviene de una persona con información privilegiada que transfiere secretos comerciales de una empresa a otra. Los empleados descontentos o un ex empleado que ahora trabaja para un competidor pueden revelar inadvertidamente o directamente información de propiedad y secretos corporativos.
Dada la ventaja competitiva que supone la innovación, no es difícil ver por qué el espionaje corporativo se ha convertido en un riesgo de ciberseguridad tan grande.
¿Cuál es la diferencia entre la inteligencia competitiva y el espionaje corporativo?
La inteligencia competitiva, para decirlo en términos de seguridad de la información, es la versión de sombrero blanco del espionaje corporativo.
Las empresas de inteligencia competitiva suelen utilizar métodos legales para recopilar y analizar información que está disponible públicamente, ya sean noticias sobre fusiones y adquisiciones, nuevas normativas gubernamentales, contenido de blogs o ruido de las redes sociales. De hecho, la contrainteligencia basada en información pública puede tener tanto éxito que muchas empresas tienen ahora equipos de OPSEC que gestionan la información que se hace pública.
Dicho esto, otras empresas de inteligencia competitiva cruzan la línea y caen en el espionaje corporativo ilegal.
¿Es ilegal el espionaje industrial?
No es ilegal espiar a una empresa privada siempre que la información se obtenga por medios legales. Por ejemplo, es totalmente legal comprar imágenes por satélite del aparcamiento de un competidor para determinar cuántos clientes atienden al año o pagar a un investigador privado para que se pasee por una feria y comparta lo que oye.
Sin embargo, la adquisición de secretos comerciales sin el consentimiento del titular de la propiedad intelectual suele ser contraria a la ley.
El gobierno de Estados Unidos regula el espionaje corporativo mediante la Ley de Espionaje Económico de 1996.
La ley codificó lo que era un secreto comercial y convirtió el robo de secretos comerciales en un delito federal. Las penas por espionaje corporativo pueden suponer penas de prisión y millones de dólares en daños y perjuicios. Sus castigos más severos se dirigen a quienes transfieren secretos comerciales a empresas o gobiernos extranjeros. De hecho, la primera condena en un juicio en virtud de la Ley de Espionaje Económico de 1996 se refería a un ingeniero de Boeing que vendió secretos comerciales a China.
¿Cómo decide el Departamento de Justicia de EE.UU. qué casos de espionaje industrial perseguir?
No todos los casos merecen ser perseguidos penalmente, el Departamento de Justicia de EE.UU. tiene directrices de qué casos perseguirá en base a:
- Alcance de la actividad delictiva
- Evidencia de participación extranjera
- Grado de perjuicio económico para el titular de la propiedad intelectual
- Tipo de secreto comercial robado
- Eficacia de los recursos civiles disponibles
- Valor del caso como potencial disuasorio
Dicho esto, el hecho de que el Departamento de Justicia no persiga un caso de espionaje industrial no hace que el robo de secretos comerciales sea legal. Muchas violaciones pueden servir de base para demandas en los tribunales civiles y muchos estados de Estados Unidos tienen leyes adicionales sobre el espionaje corporativo que pueden ser más estrictas que la ley federal.
¿Qué industrias son objetivos comunes del espionaje corporativo?
El espionaje industrial y económico se asocia comúnmente con las industrias de alta tecnología como:
- Software informático
- Hardware
- Biotecnología
- Aeroespacial
- Telecomunicaciones
- Transporte y tecnología de motores
- Automóviles
- Máquinas-herramienta
- Energía
- Materiales
- Recubrimientos
Silicon Valley es una de las zonas del mundo más señaladas para el espionaje empresarial. Junto con Silicon Valley, los fabricantes de automóviles suelen disfrazar los próximos modelos de coches con patrones de pintura de camuflaje, cubiertas acolchadas y calcomanías engañosas para ofuscar el diseño del vehículo.
En realidad, cualquier organización con información sensible puede ser objeto de espionaje corporativo.
¿Cómo han cambiado los ordenadores el espionaje corporativo?
Debido al auge de Internet y a la creciente conectividad de las redes informáticas, el alcance y el detalle de la información disponible, así como la facilidad de acceso, han aumentado enormemente la popularidad del ciberespionaje.
El uso del espionaje corporativo basado en la informática aumentó rápidamente en la década de 1990. La información es comúnmente robada por individuos que se desempeñan como trabajadores, tales como limpiadores o reparadores, que obtienen acceso a computadoras desatendidas y copian información de ellas. Los ordenadores portátiles también siguen siendo un objetivo principal para quienes viajan al extranjero por motivos de trabajo.
Se sabe que los autores del espionaje engañan a los individuos para que se desprendan, a menudo sólo temporalmente, de su ordenador portátil, lo que les permite acceder y robar información. Los hoteles, los taxis, los mostradores de equipaje de los aeropuertos, los carruseles de equipaje y los trenes son lugares comunes en los que esto ocurre.
Los ciberatacantes basados en Internet también son comunes, aunque normalmente entran en la categoría de espionaje económico llevado a cabo por los gobiernos y no por los competidores.
Además del robo de información sensible, la creciente dependencia de los ordenadores significa que el espionaje industrial puede extenderse al sabotaje. Esto es una preocupación creciente para los gobiernos debido a los posibles ataques de grupos terroristas o gobiernos extranjeros hostiles a través de la denegación de servicio distribuido (DDoS) u otros ataques cibernéticos.
Cómo prevenir el ciberespionaje
Prevenir el ciberespionaje es similar a prevenir cualquier forma de incidente de seguridad.
Una estrategia de defensa en profundidad que utilice una serie de medidas defensivas redundantes en capas es la clave.
Los datos se han convertido en un objetivo clave del espionaje industrial debido a la facilidad con la que pueden copiarse y transmitirse, lo que ha llevado a muchas organizaciones a la ciencia forense digital y a la atribución de la IP para tratar de determinar si, cuándo, cómo y quién ha causado una violación de datos o una fuga de datos. Si a esto le unimos el hecho de que la mayoría de las empresas están subcontratando más que nunca y que muchos proveedores externos tienen medidas de seguridad deficientes, la necesidad de prevenir las filtraciones de datos nunca ha sido mayor.
Operar un marco de gestión de riesgos de terceros, una política de gestión de proveedores y un programa de gestión de riesgos de proveedores (VRM) es laborioso. En los últimos años, el coste de una filtración de datos se ha disparado hasta una cifra estimada de 3,92 millones de dólares. Se estima que las violaciones de datos que implican a terceros son 370.000 dólares más caras, con un coste total medio de 4,29 millones de dólares.
Esto ha llevado a muchas organizaciones a recurrir a programas informáticos para automatizar la gestión de riesgos de los proveedores con el fin de reducir el riesgo de los terceros y de los cuartos.
Ya no basta con que su política de seguridad de la información se centre únicamente en su organización. Las amenazas cibernéticas dentro y fuera de su organización pueden conducir al robo de secretos comerciales y su proceso de gestión de riesgos de la información y evaluación de riesgos de ciberseguridad debe reflejar esto. Nunca ha sido tan importante tener una ciberseguridad robusta para prevenir el espionaje corporativo.
¿Cuáles son los orígenes del espionaje corporativo?
Francois Xavier d’Entrecolles en Jingdezhen, China, revelando los métodos de fabricación de la porcelana china a Europa en 1712 fue un primer caso de espionaje industrial.
Hay relatos históricos de espionaje empresarial entre Gran Bretaña y Francia en el siglo XVIII, atribuidos a la aparición de Gran Bretaña como acreedor industrial. Hubo un esfuerzo a gran escala patrocinado por el Estado para robar tecnología industrial británica para Francia.
En el siglo XX, el espionaje económico entre Oriente y Occidente se hizo popular. El espionaje industrial soviético fue una parte bien conocida de sus actividades generales de espionaje hasta la década de 1980, con muchas CPUs que parecían ser copias cercanas o exactas de productos estadounidenses.
Tras la desaparición de la Unión Soviética y el fin de la Guerra Fría, muchos países occidentales y ex comunistas comenzaron a utilizar a sus espías subempleados para el espionaje corporativo internacional. No sólo se reorientó el personal, sino que también se emplearon equipos de espionaje como bases de datos informáticas, herramientas de escucha, satélites espía, micrófonos y cables para el espionaje industrial.
¿Cuáles son los ejemplos más notables de espionaje industrial?
- Hewlett-Packard: En 2006, Hewlett-Packard, en su afán por descubrir la filtración de secretos a la prensa, contrató a investigadores que utilizaron el «pretexting», un método engañoso e ilegal de obtener información privada, para recopilar los registros telefónicos de varios periodistas. Hewlett-Packard acabó pagando 14,5 millones de dólares al estado de California y dinero adicional a los reporteros a los que espió.
- IBM y Texas Instruments: Entre 1987 y 1989 se cree que IBM y Texas Instruments fueron objetivo de espías franceses con la intención de ayudar al Grupo Bull de Francia.
- General Motors: Opel, la división Germain de General Motors, acusó a Volkswagen de espionaje industrial en 1993, después de que el jefe de producción de Opel y otros siete ejecutivos se trasladaran a Volkswagen. El caso se resolvió en 1997 con el acuerdo de Volkswagen de pagar a General Motors 100 millones de dólares y de comprar al menos 1.000 millones de dólares en piezas de automóviles durante 7 años.
- Google: El 13 de enero de 2010 Google anunció que operadores de China habían hackeado su operación de Google China y robaron propiedad intelectual y accedieron a cuentas de correo electrónico de activistas de derechos humanos. Se cree que el ataque forma parte de un ciberataque generalizado contra empresas dentro de China y se conoce como Operación Aurora.
- Oracle: En el año 2000, Oracle fue sorprendida pagando a los investigadores para que adquirieran la basura de Microsoft porque sospechaban que estaba pagando a dos organizaciones de investigación supuestamente independientes para que publicaran informes a favor de Microsoft.
- Gillette: En 1997, un ingeniero de control de procesos de Wright Industries Inc, subcontratista de Gillette había sido degradado a un puesto inferior en el proyecto Mach 3 de la empresa y decidió enviar secretos comerciales a múltiples rivales de Gillette. Schick denunció el hecho a Gillette, que hizo intervenir al FBI.
Cómo UpGuard puede proteger a su organización de las violaciones y fugas de datos
No hay duda de que la ciberseguridad es más importante que nunca. Por eso, empresas como Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar y la NASA utilizan UpGuard para proteger sus datos y prevenir las filtraciones de datos.
Somos expertos en filtraciones de datos, de hecho nuestra investigación sobre filtraciones de datos ha aparecido en el New York Times, Bloomberg, Washington Post, Forbes, Reuters y Techcrunch.
UpGuard BreachSight puede ayudar a combatir el «typosquatting», a prevenir las violaciones de datos y las fugas de información, a evitar las multas reglamentarias y a proteger la confianza de sus clientes mediante clasificaciones de ciberseguridad y la detección continua de la exposición.
UpGuard Vendor Risk puede minimizar la cantidad de tiempo que su organización dedica a la gestión de las relaciones con terceros mediante la automatización de los cuestionarios de los proveedores y la supervisión continua de la postura de seguridad de sus proveedores a lo largo del tiempo, al tiempo que los compara con su sector.
Cada proveedor se califica según más de 50 criterios, como la presencia de SSL y DNSSEC, así como el riesgo de secuestro de dominios, los ataques man-in-the-middle y la suplantación de correo electrónico para el phishing.
Cada día, nuestra plataforma puntúa a sus proveedores con una calificación de ciberseguridad de 950. Incluso podemos alertarle si su puntuación baja.
Reserve una demostración hoy mismo.