Georgina Hilton venderá “El Gran Espectáculo” de Basquiat en 2023.Proporcionado por Christie’s
Un reciente ciberataque dirigido a Christie’s eliminó su sitio web y pudo haber afectado a otros sistemas, causando ansiedad en la industria de las subastas. Christie’s celebró con éxito sus ventas semanales programadas en los Estados Unidos y en el extranjero, y la 20th Century Evening Sale generó 413,3 millones de dólares en ventas. Sin embargo, la brecha de seguridad, que la casa de subastas sigue calificando de “incidente técnico”, no se ha resuelto del todo. Un portavoz de la empresa dijo que un “equipo de expertos técnicos” está “investigando el alcance y el impacto de este incidente”. Christie’s añadió: “Seguimos contactando y manteniendo informados a nuestros clientes. Seguimos centrados en minimizar el impacto en nuestros clientes”.
Christie’s y sus clientes capearán esta tormenta, pero quedan dudas. Si las principales casas de subastas corren el riesgo de sufrir interferencias de dicha tecnología, ¿qué problemas enfrentan otros actores más pequeños de la industria y sus compradores?
“Hemos tenido muchas locuras últimamente y es muy inquietante”, dijo al Observer Sandra Germain, propietaria de Shannon’s Fine Art Auctions en Connecticut. “Christie’s fue atacada justo antes de una gran venta. Es muy inquietante”.
Otros expertos en el campo tienen preocupaciones similares. “En el entorno digital actual, hay actores maliciosos que representan una amenaza”, dijo J. Frederick Krehbiel, presidente de Freeman’s/Hindman Auction House, con sede en Chicago. “Desafortunadamente, como hemos visto una y otra vez, y a pesar de nuestros mejores esfuerzos y los de nuestros aliados, ya sea dirigidos por una empresa o una agencia gubernamental, ningún sistema es impenetrable”.
Un portavoz de la casa de subastas de la ciudad de Nueva York, que solicitó el anonimato, describió la brecha de seguridad en Christie’s como “vivir en tu vecindario y haber asaltado la casa de alguien al otro lado de la cuadra. Te preocupa ser el próximo”. Lo comparé con
“Lo que pasó en Christie’s y el temor de que nos pueda pasar a nosotros nos genera una gran ansiedad”, dijo Georgina, presidenta y propietaria de la casa de subastas Grogan & Company de Boston. “Esto es muy importante para nosotros.”
No se trata sólo de una cuestión de apariencia. Aquellos que deseen comprar o vender en una subasta deben proporcionar información confidencial distinta del nombre y la dirección (cargo, información bancaria, número de tarjeta de crédito, número de seguro social, número de pasaporte, tarjeta de identificación, etc.) para confirmar la identidad y cumplir con leyes contra el lavado de dinero (por ejemplo, escaneos de Toda esta información es una fuente de tentación para los piratas informáticos ambiciosos que buscan objetivos ricos, y estos delincuentes tienden a lanzar sus redes por todas partes. En 2020, el mercado de arte y objetos coleccionables en línea LiveAuctioneers experimentó una violación de datos que afectó a 3,4 millones de compradores y vendedores.
“Sentimos que vivimos en un mundo más peligroso”, dijo al Observer el director de operaciones de Heritage Auctions, Paul Minshall, añadiendo que esto no era nada nuevo. “Los ataques son interminables. Los piratas informáticos investigan constantemente y trabajamos duro para detectar los ataques lo más rápido posible”.
Iniciativas de ciberseguridad de las casas de subastas
La mayoría de las casas de subastas subcontratan su ciberseguridad. Grogan & Company, por ejemplo, deja la parte técnica del negocio a los expertos. La empresa cuenta con un seguro de ciberseguridad y subcontrata sus operaciones de tecnología de la información a empresas locales de TI. El sitio web está alojado en el mercado de subastas en línea Invaluable. Lo mismo ocurre con muchas otras casas de subastas. La casa de subastas francesa Drouot confía en PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) con sede en Wakefield, Massachusetts, dijo la portavoz Sophie Dufresne, añadiendo que la compañía “supervisa de cerca la seguridad de los datos. Yo lo estoy haciendo”, repitió.
También es común que las casas de subastas contraten operadores externos como Bidsquare, Proxibid, LiveAuctioneers, Invaluable y ChasePaymentech para registrar posibles compradores y proporcionar canales para pujas remotas. Estas empresas separan la información de los clientes en diferentes áreas de la red, lo que dificulta a los piratas informáticos reunir información para un cliente en particular, incluso si los datos son interceptados durante una infracción. Además, estas empresas tienen sus propios sistemas de computación en la nube privados, lo que las hace menos susceptibles a los riesgos de la nube pública.
Al igual que Christie’s, Heritage también desarrolla su propio software de seguridad. Actualmente hay dos miembros del personal de seguridad dedicados que monitorean el sistema en busca de intrusiones e intentos de piratería.
Minshull dijo que los sistemas informáticos de Heritage reciben más de 3.000 ataques cada día. “Estas son cosas que están intentando acceder a nuestra red”. Las subastas de videojuegos han demostrado ser las ventas más buscadas por los ciberatacantes, con “10.000 investigaciones por segundo por venta”. Los correos electrónicos que contienen malware suelen ser el punto de partida de los ataques, por lo que el personal de las casas de subastas necesita formación periódica. “El eslabón más débil de un sistema de seguridad son las personas”. El personal de seguridad envía periódicamente correos electrónicos de “phishing” al personal para comprobar si siguen las reglas de la empresa. Minshull dijo que Heritage también monitorea a los proveedores en busca de vulnerabilidades que deben protegerse.
Los riesgos prácticos que enfrentan las casas de subastas incluyen la posibilidad de que la información confidencial de los clientes se vea comprometida. Igualmente preocupante, aunque más vaga, es la amenaza potencial a la reputación de una empresa en caso de un ataque exitoso. Las principales casas de subastas se han ganado una sólida reputación en el sector del arte y los artículos de colección durante más de un siglo, pero incluso una gran violación de datos o una intrusión en el sistema puede hacer que los clientes compren y vendan en otros lugares.
Es más probable que las debilidades de la ciberseguridad se encuentren en los seres humanos que en los sistemas. En lugar de ataques de fuerza bruta, los piratas informáticos suelen obtener acceso a información confidencial mediante contraseñas débiles, hardware robado o ataques de phishing exitosos. Los proveedores externos también son vulnerables. Los piratas informáticos que irrumpieron en los sistemas de Target y accedieron a la información de las tarjetas de crédito de los clientes en 2014 robaron las credenciales de red de un subcontratista de refrigeración, calefacción y aire acondicionado con sede en Filadelfia. El subcontratista también prestó servicios a BJ’s, Trader Joe’s y Whole Foods.
La mejor manera de proteger la información confidencial es mantenerla fuera del alcance de los atacantes para robarla. Germain dijo que Shannon’s Fine Art Auctions limita la exposición de la información personal de los clientes al no mantenerla archivada. “No queremos ser responsables de la información de tarjetas de crédito o transferencias bancarias, por lo que la destruimos inmediatamente”, dijo. Algunos clientes “nos envían correos electrónicos con números de tarjetas de crédito. Les diremos que no envíen dichos correos electrónicos y luego borra los.”
El ataque más reciente a Christie’s el 9 de mayo derribó el sitio web de la casa de subastas, dejando a los posibles compradores sin poder ver los artículos de su principal venta de primavera ni realizar ofertas desde el sitio. Sin embargo, las ofertas continúan realizándose en persona y por teléfono. Sin embargo, sólo una venta programada, una subasta de relojes en Ginebra, Suiza, se pospuso sólo por un día. Las ventas de Marquee Week continuaron según lo programado y esencialmente fueron ininterrumpidas.
“El hecho de que Christie’s haya podido responder con tanta rapidez y eficacia a la violación de seguridad demuestra que las personas que trabajan allí estaban pensando y planificando para estas situaciones”, dijo Allen Brandt, líder nacional de productos cibernéticos y tecnológicos, con sede en Boston. dijo al Observador. Proporciona seguros de ciberseguridad a un número cada vez mayor de casas de subastas, galerías de arte, asesores de arte y tasadores, y ha procesado “numerosas reclamaciones” en virtud de esas políticas. “A medida que la industria se vuelve más digital, estamos viendo un aumento en los ataques de phishing”, dijo, la mayoría de las veces en forma de malware incrustado en correos electrónicos abiertos accidentalmente por el personal.
“Es natural que nos hackeen. Lo aceptamos”, añadió. “La verdadera pregunta es cómo mitigar las pérdidas”.
Ver también: Cómo los países de todo el mundo abordan las falsificaciones de arte
A pesar de la estrategia de Shannon de eliminar información antes de que los ciberdelincuentes la roben, los datos que los postores y consignadores proporcionan a las casas de subastas generalmente deben almacenarse en algún lugar y deben estar cifrados. Los coleccionistas de arte que hacen negocios con casas de subastas (o galerías de arte, asesores de arte o incluso tasadores) deberían preguntar de manera proactiva a estas empresas cómo se mantiene segura su información. También debes preguntar si tienen un plan de emergencia en caso de una brecha de ciberseguridad. Por supuesto, determinar hasta qué punto la información está adecuadamente protegida estará fuera del control de la mayoría de los compradores de subastas. Además, las empresas no están necesariamente obligadas a notificar a los clientes afectados por un ciberataque.
La ley del estado de Nueva York, promulgada en 2005 y modificada en 2013, exige que las personas y las empresas que hacen negocios en el estado informen sobre las violaciones de datos informáticos a la oficina del fiscal general del estado, la policía estatal y el Departamento de Protección al Consumidor y notifiquen a los clientes afectados. La Unión Europea tiene reglas similares para sus estados miembros, el Reglamento General de Protección de Datos, que entró en vigor en 2018. Pero en la mayoría de los casos, la información sobre qué empresas han sufrido violaciones de seguridad de datos no se hace pública, y los compradores y vendedores que hacen preguntas al personal de la casa de subastas sobre ciberseguridad sólo pueden esperar respuestas informadas y comprensibles.
Por supuesto, las casas de subastas no son los únicos objetivos. Numerosos museos en los Estados Unidos han experimentado violaciones de seguridad (por ejemplo, la Institución Smithsonian en Washington, D.C.; el Museo de Arte Parrish en Southampton, Nueva York; el Museo del Vidrio de Corning en Corning, Nueva York; el Museo de Bellas Artes de Boston; el Museo Rubin de Arte en Nueva York; Museo Vassar en Arlington, Nueva York; Centro de Arte de la Universidad Frances Lehman Loeb, Museo de Arte Americano Crystal Bridges, Bentonville, AR). Fuera de la industria del arte, empresas comerciales conocidas como Home Depot, JPMorgan Chase, Anthem Blue Cross, Sony Pictures, Staples, Michaels y Community Health Systems han sido destacadas como objetivos de ataques a gran escala. Esto no es particularmente tranquilizador, pero proporciona cierta perspectiva.
Las casas de subastas no tienen más probabilidades de ser atacadas por piratas informáticos que otras empresas, afirmó Minshall. En otras palabras, Christie’s no fue un objetivo específico por la riqueza, la fama o la propiedad de obras de arte de sus clientes. “El negocio de esta gente es encontrar empresas que tengan la capacidad de pagar el rescate”, explica. “Los empleados van a sus escritorios y reciben una lista de empresas para intentar piratear. Luego, al final de su turno, otra persona va al mismo escritorio y comienza a piratear”.
Fuente: https://observer.com/2024/05/christies-cyberattack-may-sales-cybersecurity-art-buyers-protection/
