GDPR
cibercrimen
Protección de datos

Explicación de las brechas de datos: tipos, ejemplos e impacto

Cuando los datos se pierden en una filtración, los costes y las consecuencias para las empresas que los poseen y para los individuos cuyos datos son robados pueden ser importantes y duraderos.

Proteccion de datos UE

Una violación de datos es un incidente de seguridad en el que un agente malicioso rompe las medidas de seguridad para acceder ilícitamente a los datos.  

Los datos sobre las personas (nombres, fechas de nacimiento, información financiera, números de la seguridad social y del carné de conducir, etc.) viven en innumerables copias en un número incalculable de servidores de empresas privadas, organismos públicos y en la nube. Si alguien que no está autorizado a acceder a la información personal identificable (PII por sus siglas en inglés) consigue verla, eso puede tener consecuencias nefastas tanto para el individuo como para la organización que almacenaba los datos y que se suponía que debía mantenerlos a salvo.

La PII es valiosa para varios tipos de actores maliciosos, lo que da un incentivo a los hackers para violar la seguridad y buscar estos datos donde puedan. Por otro lado, las empresas y organizaciones gubernamentales que almacenan datos a menudo no los protegen adecuadamente, y en algunas jurisdicciones la legislación tiene como objetivo tomar medidas contra las prácticas de seguridad poco estrictas que pueden conducir a violaciones de datos.

Una última nota sobre la terminología antes de empezar: a veces se distingue entre una violación de datos y una fuga de datos, en la que una organización coloca accidentalmente datos sensibles en un sitio web o en otro lugar sin los controles de seguridad adecuados (o ninguno), de modo que cualquiera que sepa que están ahí puede acceder libremente a ellos. Pero la línea que separa una violación de una filtración no es necesariamente fácil de trazar, y el resultado final suele ser el mismo.

 

¿Cómo se producen las filtraciones de datos?

Una filtración de datos se produce cuando alguien accede a una base de datos a la que no debería tener acceso. Se trata de una descripción amplia y podría incluir algo tan simple como que un empleado de la biblioteca eche un vistazo a los libros que ha sacado un amigo cuando no tiene ninguna razón laboral legítima para hacerlo, por ejemplo.

A la mayoría de la gente no le parecería tan problemático, pero es cierto que algunas violaciones de datos son trabajos internos, es decir, los empleados que tienen acceso a la información de identificación personal como parte de su trabajo pueden filtrar esos datos para obtener beneficios económicos u otros fines ilícitos. En otros casos, sin embargo, las filtraciones de datos se producen siguiendo el mismo patrón de otros ciberataques por parte de personas ajenas a la empresa, en los que los hackers malintencionados rompen las defensas y consiguen acceder a las joyas de la corona de datos de su víctima.

La pregunta del cómo nos ayuda a diferenciar varios tipos de violaciones de datos.

 

Cuatro tipos de violaciones de datos

Robo de información privilegiada:  Los atacantes pueden comprometer a los internos, pueden tener sus propios problemas personales con los empleadores, o simplemente pueden estar buscando hacer dinero rápido.

Acceso no autorizado: Este es probablemente el escenario que la mayoría de nosotros imaginamos cuando nos imaginamos a un hacker robando información personal: un ciberdelincuente experto navegando por los cortafuegos y otros sistemas de defensa o aprovechando los días cero para acceder a bases de datos llenas de números de tarjetas de crédito o datos médicos que pueden explotar. Los atacantes pueden utilizar el phishing, el software espía (spyware) y otras técnicas para introducirse en sus redes objetivo. Una versión especializada de este tipo de ataque consiste en el robo físico del hardware donde se almacenan los datos sensibles, ya sea en una oficina o (cada vez más probable) por parte de personas que se llevan los portátiles a casa y los protegen de forma inadecuada.

Datos en movimiento: Los datos personales que se transmiten a través de redes abiertas sin un cifrado adecuado son especialmente vulnerables, por lo que hay que tener mucho cuidado en situaciones en las que se mueven grandes lotes de datos tentadores de esta manera.

Exposición accidental: Este es el escenario de fuga de datos que comentamos anteriormente. Es sorprendentemente común que las bases de datos sensibles terminen en lugares que no deberían: copiadas para servir como datos de muestra para fines de desarrollo y subidas a GitHub o algún otro sitio de acceso público, por ejemplo. Los atacantes cuentan con herramientas automatizadas que escanean Internet en busca de las firmas reveladoras de la información personal. También están las organizaciones que suben datos cruciales a un servicio en la nube pero configuran mal los permisos de acceso. También hay un análogo físico en este caso, cuando las empresas se deshacen de forma insegura de los viejos ordenadores portátiles y discos duros, lo que permite a los buzos del contenedor acceder a ellos.

Para aquellas organizaciones que buscan prevenir el daño de una violación de datos, vale la pena considerar lo que estos escenarios tienen en común. La mayoría de las empresas probablemente creen que su seguridad y sus procedimientos son lo suficientemente buenos como para que sus redes no sean vulneradas ni sus datos expuestos accidentalmente. Algunas tienen razón en esto; muchas se equivocan. Si se equivocan, y la creciente ubicuidad de las violaciones de la red hace que sea cada vez más probable que lo hagan, un enfoque de Zero Trust puede mitigar la posibilidad de un desastre de datos.

Incluso, si un atacante consigue acceder a su red, la información personal debería estar rodeada de defensas adicionales para mantenerla a salvo. Por ejemplo, el acceso a las bases de datos que almacenan PII debe estar tan restringido como sea posible, y la actividad de la red debe ser monitoreada continuamente para detectar la exfiltración. Las contraseñas almacenadas deben tratarse con especial cuidado, preferiblemente con cifrado criptográfico (algo que incluso las empresas que deberían saberlo mejor no hacen).

 

¿Cuáles son los ejemplos de violaciones de datos?

CSO ha recopilado una lista de las mayores violaciones de datos del siglo hasta ahora, con detalles sobre la causa y el impacto de cada una de ellas. Entre ellas se incluyen no sólo los grandes hackeos chinos mencionados anteriormente, sino también los cientos de millones de cuentas violadas en Yahoo, Adobe, LinkedIn y MyFitnessPal. Y lo que es peor, algunas empresas aparecen en la lista más de una vez.  

A continuación, una breve cronología de esas violaciones significativas:

2012
LinkedIn - 165 millones de usuarios

2013
Yahoo - 3.000 millones de cuentas
Adobe - 153 millones de registros de usuarios
Court Ventures (Experian) - 200 millones de registros personales
MySpace - 360 millones de cuentas de usuarios

2014
Yahoo - 500 millones de cuentas

2015
NetEase - 235 millones de cuentas de usuario
Adult Friend Finder - 412,2 millones de cuentas

2018
My Fitness Pal - 150 millones de cuentas de usuario
Dubsmash - 162 millones de cuentas de usuario
Marriott International (Starwood) - 500 millones de clientes

2019
Facebook - 533 millones de usuarios
Alibaba - 1.100 millones de datos de usuarios

2020
Sina Weibo - 538 millones de cuentas

2021
LinkedIn - 700 millones de usuarios

 

Violaciones de datos recientes: 2022

Aunque en 2022 no se ha producido ninguna filtración de datos tan importante como las mencionadas anteriormente, eso no significa que los hackers se hayan quedado de brazos cruzados:

  • En junio, Shields Healthcare Group reveló que sus datos podrían haber sido comprometidos, afectando a 2 millones de personas.
  • Ese mismo mes, los piratas informáticos robaron 1,5 millones de registros, incluidos los números de la Seguridad Social, de los clientes del Flagstar Bank, con sede en Michigan.
  • En febrero, los piratas informáticos filtraron los nombres de cientos de participantes en el llamado Convoy de la Libertad en Ottawa, tras acceder a GiveSendGo, una plataforma de crowdfunding cristiana utilizada por los organizadores.

 

Estadísticas de violaciones de datos

¿Busca algunas estadísticas clave sobre la violación de datos? El proveedor de software de seguridad Varonis ha recopilado una lista exhaustiva; aquí hay algunas que vale la pena destacar:

  • El 58% de las filtraciones de datos afectan a la información personal.
  • El 64% de los estadounidenses no saben qué hacer después de una violación de datos
  • En 2020, las empresas que sufrieron una violación de datos tardaron una media de 207 días en darse cuenta de que la habían sufrido.

 

Impacto de una violación de datos en los individuos

En cierto modo, la idea de que tu información personal sea robada en una filtración puede parecer bastante abstracta, y después de un interminable bombo de historias en las noticias sobre filtraciones de datos, puedes estar bastante insensibilizado al respecto. Pero hay muchas cosas que los delincuentes pueden hacer con tus datos personales si los recogen en una filtración (o, más probablemente, si se los compran a alguien que los ha recogido; el submundo de la delincuencia es cada vez más especializado).

La información personal proporciona los elementos fundamentales para el robo de identidad. Un delincuente inteligente puede aprovechar las técnicas de OPSEC y de ingeniería social para convertir incluso un conjunto parcial de información sobre usted en tarjetas de crédito u otras cuentas falsas que le perseguirán en su nombre. Si tu contraseña estaba en los datos robados, y si eres el tipo de persona que utilizas la misma contraseña en varias cuentas, los hackers pueden saltarse el fraude y simplemente vaciar su cuenta bancaria directamente.

Dicho esto, la correlación entre las violaciones de datos y las identidades robadas no siempre es fácil de probar, aunque la información personal robada tiene un valor de reventa lo suficientemente alto como para que alguien intente ganar dinero con ella. Algunas de las filtraciones de datos de mayor repercusión (como las grandes filtraciones de Equifax, OPM y Marriott) parecen haber sido motivadas no por la codicia de los delincuentes, sino por el espionaje de un Estado-nación por parte del gobierno chino, por lo que las repercusiones en el individuo son mucho más oscuras.

 

Qué hacer después de una brecha de datos

Las organizaciones deben contar con planes detallados para hacer frente a las violaciones de datos, que incluyan medidas como la creación de un grupo de trabajo, la emisión de las notificaciones requeridas por la ley y la búsqueda y solución de la causa principal.

Si usted es un individuo cuyos datos han sido robados en una filtración, lo primero que debe pensar es en las contraseñas. Si la cuenta que fue violada comparte una contraseña con otras cuentas que usted tiene, debe cambiarlas lo antes posible, especialmente si son de instituciones financieras o similares. Muchos gestores de contraseñas no sólo te ayudan a elegir diferentes contraseñas fuertes para todos los sitios web, sino que también incluyen funciones de inteligencia de datos que te permiten saber automáticamente si alguna de tus cuentas está asociada a una violación de datos publicada.

Además de eso, debes tener especial cuidado en mantener tu higiene financiera. En particular, congelar tu crédito para que nadie pueda abrir una nueva tarjeta o préstamo a tu nombre es una buena idea. 

 

Consecuencias 

Una empresa que permite que se vulneren los datos que se le han confiado sufrirá consecuencias negativas. Dicha violación puede dañar la reputación de la empresa y envenenar las relaciones con los clientes, especialmente si los detalles de la violación revelan una negligencia particularmente atroz.

También hay costes financieros directos asociados a las violaciones de datos; en 2020 el coste medio de una violación de datos fue de cerca de 4 millones de dólares. Gran parte de esos costes son el resultado de las regulaciones de privacidad que las empresas deben obedecer cuando su negligencia conduce a una violación de datos: no solo multas, sino también reglas sobre cómo se dan a conocer las violaciones a las víctimas (no pensaste que te lo dirían de buena gana, ¿verdad?) que implican trabajo administrativo y dolores de cabeza por parte de la empresa. El objetivo general es animar a las empresas a bloquear los datos de los usuarios para que no sean vulnerados, pero eso es un frío consuelo para los que sí lo son.

 

Las violaciones de datos y el GDPR

Hay una serie de regulaciones en diferentes jurisdicciones que determinan cómo las empresas deben responder a las violaciones de datos. La HIPAA en Estados Unidos es importante, aunque su alcance se limita a los datos relacionados con la salud. Pero el gorila de 800 libras en el mundo de la privacidad de los consumidores es el GDPR de la UE, al que muchas grandes empresas acaban ajustándose en general porque representa la regulación de datos más restrictiva de las jurisdicciones con las que tratan.

El GDPR exige que los usuarios cuyos datos hayan sido violados sean informados en un plazo de 72 horas desde el descubrimiento de la violación, y las empresas que no lo hagan pueden ser objeto de multas de hasta el 4 por ciento de los ingresos anuales de la empresa. Los detalles, sin embargo, son enormemente complejos, y dependen de que se pueda demostrar que se ha hecho un esfuerzo de buena fe para aplicar los controles de seguridad adecuados.  



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper