10% OFF CON TRANSFERENCIA BANCARIA / HASTA 6 CUOTAS SIN INTERÉS A PARTIR DE $ 100.000 / ENVÍO GRATIS A TODO EL PAÍS
Español Español Español Español Español Español Español Español Español Español Español
Ayuda
Mi cuenta
Mi carrito 0

Moyano, Lucas - Ransonware: el precio de la ciberinseguridad...


Por Lucas Moyano*

 

RANSONWARE: EL PRECIO DE LA CIBERINSEGURIDAD. ¿NEGLIGENCIAS O RIESGO INEVITABLE? LA RESPONSABILIDAD CIVIL POR RANSONWARE

 

La seguridad digital ha dejado de ser una mera preocupación técnica para convertirse en un imperativo legal y económica en las empresas argentinas. Los ciberataques, en particular el ransonware, se consolido como una de las amenazas mas destructivas, transformando la gestión de riesgo de una cuestión de previsibilidad a una de responsabilidad.

La magnitud del problema en nuestro país es alarmante, estudios recientes indican que cuatro de cada diez empresas argentinas sufren ciberataques (informe de Global Cybersecurity Outlook), como vemos casi la mitad, lo que refleja la fragilidad de las defensas corporativas en ciberseguridad.

Cuando un ataque de ransonware, logra su cometido, no solo paraliza las operaciones, exige un rescate, su efecto cascada puede generar daños catastróficos que excedan la esfera patrimonial directa de la empresa, afectando a clientes, proveedores e incluso la vida de las personas, como ocurre en el sector de salud.

El presente articulo se propone analizar el marco de responsabilidad civil que podría aplicarse a las empresas que sufren o negligentemente provocan un ransonware como disparador de daños a terceros. ¿De quién es la responsabilidad?  Debemos para ello analizar: Por un lado el factor riesgo y por el otro el factor culpa. ¿La acción del atacante  es un excusa que nos permite eximirnos de responsabilidad? ¿La empresa adopto debida diligencia en medias de seguridad?

En un entorno donde la conectividad es vital, determinar quien responde por el colapso digital es clave para la tutela efectiva de los derechos y la supervivencia del tejido empresarial.

 

Definición de ransomware y contexto

El ransomware es un tipo de malware que cifra los datos de una víctima y exige un rescate para restaurar el acceso. Desde la perspectiva legal, este acto constituye un ciberdelito que puede generar responsabilidad civil tanto para la víctima (por ejemplo, una empresa que no protegió adecuadamente los datos) como para los atacante, además de posibles consecuencias penales.

 

Marco normativo aplicable

  • La responsabilidad civil en casos de ransomware en Argentina se analiza principalmente bajo:
  • Código Civil y Comercial de la Nación (CCyCN): Regula la responsabilidad civil por daños (art. 1708 y ss.).
  • Ley de Protección de Datos Personales (Ley 25.326): Establece obligaciones para los responsables de bases de datos, especialmente en casos de violación de datos personales.
  • Normas de derecho del consumidor (Ley 24.240): Aplicable si el ransomware afecta a usuarios o clientes de una empresa.

 

Responsabilidad civil en casos de ransomware

La responsabilidad civil surge cuando una persona (física o jurídica) causa un daño a otra por acción u omisión, sea por dolo o culpa (art. 1716 CCyCN).

En el caso de un ransomware, la responsabilidad puede recaer en distintos sujetos:

a) Responsabilidad de la víctima (empresa u organización afectada)Una empresa afectada por ransomware puede ser civilmente responsable frente a terceros (clientes, empleados, socios) si se demuestra que incumplió con su deber de diligencia en la protección de datos o sistemas. Esto se basa en: Art. 1710 CCyCN: Toda persona debe  adoptar las medidas razonables para  evitar que se produzca un daño.

En el contexto de ciberseguridad, esto implica implementar medidas técnicas y organizativas adecuadas para prevenir ataques.

Ley 25.326 (Protección de Datos Personales): El art. 9 obliga a los responsables de bases de datos a adoptar medidas de seguridad para proteger los datos personales. Si un ransomware compromete datos personales, la empresa podría ser responsable por:

  • Daño patrimonial: Pérdidas económicas de los afectados (por ejemplo, clientes cuyos datos fueron filtrados).
  • Daño moral: Perjuicio a la privacidad o reputación de las personas (art. 52 CCyCN).
  • Sanciones administrativas: La Agencia de Acceso a la Información Pública puede imponer multas por incumplimiento de la Ley 25.326.

Ejemplo práctico: Si una empresa no actualiza sus sistemas de seguridad o no capacita a su personal, y un ransomware afecta datos de clientes, podría ser considerada negligente (art. 1724 CCyCN) y obligada a indemnizar a los damnificados.

b) Responsabilidad del atacante (perpetrador del ransomware): El autor del ransomware es directamente responsable por los daños causados, según el art. 1716 CCyCN (responsabilidad por hecho ilícito). Sin embargo, identificar al atacante suele ser difícil debido a la naturaleza anónima de los ciberdelitos. Si se identifica, puede enfrentar:

  • Responsabilidad civil: Indemnización por daños materiales (pérdida de datos, costos de recuperación) y no materiales (daño moral, reputación).
  • Responsabilidad penal: Según la Ley 26.388, el ransomware puede encuadrar en delitos como:        - Acceso indebido a sistemas informáticos (art. 153 CP)
    - Daño informático (art. 183 CP):
    - Extorsión (art. 168 CP): Si se exige un rescate.

c) Responsabilidad de terceros (proveedores, aseguradoras, etc.) Proveedores de servicios tecnológicos: Si una empresa contrata a un proveedor de ciberseguridad que incumple sus obligaciones contractuales (por ejemplo, no implementar medidas adecuadas), este puede ser responsable por los daños (art. 1721 CCyCN).

Aseguradoras: Si la empresa cuenta con un seguro de ciberriesgos, la aseguradora podría cubrir los costos asociados al ransomware (rescate, recuperación de datos, daños a terceros), según las condiciones de la póliza.

 

Elementos de la responsabilidad civil

La responsabilidad civil se rige por los  Art. 1708 CCyCN, que establece que todo aquel que cause un daño a otro por acción u omisión, con dolo o culpa, debe repararlo.

Los elementos esenciales para que surja la responsabilidad son :

  • Hecho dañoso: El ataque de ransomware que causa cifrado y pérdida de datos, interrupción de servicios o filtración de información.
  • Daño: Puede ser patrimonial (pérdidas económicas, costos de recuperación, pago del rescate, pérdida de ingresos) o extrapatrimonial (daño moral, afectación a la privacidad).
  • Nexo causal: El daño debe ser consecuencia directa del ransomware o de la negligencia en su prevención.
  • Factor de atribución: Puede ser: Dolo o culpa de la empresa, o en ciertos casos, responsabilidad objetiva (por ejemplo relaciones de consumo)

 

Preguntas clave para determinar la responsabilidad civil

Para evaluar la responsabilidad civil en un caso de ransomware, las siguientes preguntas son fundamentales:

a)    ¿La empresa adoptó medidas de seguridad razonables?

Para responder a la pregunta debemos tener en cuenta lo establecido por la normativa: el art. 9 de la Ley 25.326 exige que los responsables de bases de datos adopten medidas técnicas y organizativas para garantizar la seguridad y confidencialidad  de los datos personales. En tanto el art. 1710 CCyCN  refiere: Deber de prevención del daño. Toda persona tiene el deber, en cuanto de ella dependa, de: a) evitar causar un daño no justificado; b) adoptar, de buena fe y conforme a las circunstancias, las medidas razonables para evitar que se produzca un daño, o disminuir su magnitud; si tales medidas evitan o disminuyen la magnitud de un daño del cual un tercero sería responsable, tiene derecho a que éste le reembolse el valor de los gastos en que incurrió, conforme a las reglas del enriquecimiento sin causa; c) no agravar el daño, si ya se produjo.

El análisis dependerá conforme al factor de atribución de responsabilidad, dentro de ellos: Una empresa podrá responder de forma objetiva o subjetiva según el factor de atribución que el damnificado logre probar, o el que la ley presuma, en este sentido;

La empresa responderá de forma objetiva, cuando se le impute el daño basándose en el riesgo creado por su actividad o cosas que utiliza, sin que sea necesario para el damnificado acreditar la culpa. En casos de relaciones de consumo, la empresa puede ser responsable objetivamente por los daños sufridos por los consumidores, sin necesidad de probar la culpa. Siendo en este caso analizar si el daño se produjo en el marco de una relación contractual.

La empresa responderá de forma subjetiva, cuando el damnificado pruebe que el daño ocurrió por una conducta reprochable de la empresa o directivos, basada en dolo o culpa

Alguno de los puntos que se podrán considerar para determinar si una empresa cumplió con sus obligaciones, serán los siguientes:

  • ¿La empresa implementó firewalls, sistemas de detección de intrusos, cifrado y backups regulares?
  • ¿Se realizaron auditorías de seguridad periódicas?
  • ¿El personal estaba capacitado para prevenir ataques como el phishing, una causa común de ransomware?

Si la empresa no cumplió con estas obligaciones, puede ser considerada culposa (art. 1724 CCyCN) y responsable de los daños sufridos por terceros (clientes, empleados, socios, en función de la omisión de la diligencia debida.

La empresa podría responder de forma objetiva en los términos.

b)    ¿Qué tipo de daños se produjeron?

Los daños que se originan a partir de un ataque de ransonware, los podemos clasificar en dos grandes grupos: Patrimoniales y no patrimoniales, dentro de los puntos a tener en cuenta encontramos:

  • Daños patrimoniales: Costos de recuperación de datos (contratación de expertos en ciberseguridad).
  • Pérdidas económicas por interrupción de operaciones.
  • Costos asociados al pago del rescate (aunque no recomendado).
  • Multas administrativas impuestas por la Agencia de Acceso a la Información Pública por incumplimiento de la Ley 25.326.
  • Daños extrapatrimoniales: Daño moral (art. 52 CCyCN): Afectación a la privacidad, reputación o bienestar emocional de los afectados (por ejemplo, clientes cuyos datos personales fueron filtrados).
  • Daño reputacional para la empresa, que puede traducirse en pérdida de confianza de los clientes.

Se podrán considerar para evaluar la extensión del daño causado:

  • ¿Se filtraron datos personales sensibles (como información financiera o médica)?
  • ¿Los afectados pueden demostrar un perjuicio concreto, como robo de identidad o pérdidas económicas directas?
  • ¿La empresa notificó a los afectados y a las autoridades en tiempo y forma (art. 9, inc. 5, Ley 25.326)?

Consecuencias prácticas

  • Para la empresa víctima: Debe notificar a la Agencia de Acceso a la Información Pública en caso de afectación de datos personales (art. 9, Ley 25.326). Además, puede enfrentar demandas civiles de los afectados y sanciones administrativas.
  • Para los usuarios afectados: Pueden reclamar indemnizaciones por daños y perjuicios ante los tribunales civiles.
  • Para el atacante: Si es identificado, enfrenta consecuencias penales y civiles, aunque la persecución es compleja debido a la jurisdicción internacional de muchos ciberdelitos.

Estrategias para minimizar la responsabilidad civil

Para una empresa que maneja datos personales y sensibles, la implementación proactiva de defensas digitales no es una opción en su negocio, sino un deber de diligencia mínimo. Ignorar esta obligación expone a la empresa a atribución de responsabilidad.

Dentro de las medidas a adoptar se encuentran;

  • Auditorías proactivas: Realizar evaluaciones regulares de ciberseguridad para identificar y corregir vulnerabilidades.
  • Capacitación del personal: Reducir el riesgo de errores humanos, como clics en enlaces maliciosos.
  • Backups seguros: Mantener copias de seguridad cifradas y fuera de línea para garantizar la continuidad operativa.
  • Contratos claros con proveedores: Establecer responsabilidades y estándares de seguridad en los contratos con terceros.
  • Seguros de ciberriesgos: Evaluar pólizas que cubran los costos asociados al ransomware, incluyendo indemnizaciones a terceros.
  • Plan de respuesta a incidentes: Contar con un protocolo documentado para reaccionar rápidamente ante un ataque.

 

Conclusión

En presente trabajo se ve reflejada como impacta los ciberataques en las empresas como también los posibles daños que se generan. La responsabilidad civil en casos de ransomware depende de la diligencia de la empresa afectada, la naturaleza de los daños y el nexo causal con el ataque.

Las preguntas clave incluyen si se adoptaron medidas de seguridad razonables, qué daños se produjeron y si la empresa actuó con diligencia tras el incidente. Para minimizar riesgos, las organizaciones deben implementar medidas preventivas robustas, notificar incidentes rápidamente y contar con asesoramiento legal especializado. La interacción entre el derecho civil, penal y de protección de datos requiere un enfoque integral para gestionar las consecuencias de un ransomware. 

* Especialista en Cibercrimen y Evidencia Digital. Autor de Ciberdelitos como Investigar en Entornos Digitales. Tomo 1 y 2 Editorial Hammurabi.

 

Si desea participar de nuestra «Sección Doctrina», contáctenos aquí >>