¿Por qué esperar a que nos ocurra una fuga de datos?
Ante fugas de datos como la sufrida recientemente por VTech, que expuso datos personales de 4,8 millones de clientes, o la que afectó a JP Morgan, Luis Ángel del Valle, CEO de SealPath, recuerda la importancia de proteger la información confidencial frente a amenazas internas y externas.
- Las brechas de datos supondrán unos costes de más de 2,1 billones de dólares en 2020
- ¿Por qué ser honesto es la mejor política cuando se produce una brecha de datos?
- Las brechas de datos se incrementaron un 49% el pasado año
- JPMorgan Chase & Co reconoce el ataque a 76 millones de cuentas
- Qué pasó en 2014: Sony lidera el ranking de las peores brechas de seguridad
La semana pasada una nueva fuga de datos, esta vez del fabricante de juguetes electrónicos VTech, pasaba a formar parte de las mayores de la historia en el ámbito del sector consumo, concretamente el cuarto puesto, según el website Have I Been Pwned. Los datos filtrados incluyen nombres, direcciones de email, passwords, direcciones de casas particulares de unos 4,8 millones de padres que han comprado productos de VTech. También se incluyen los nombres y fechas de cumpleaños de más de 200.000 niños. Es posible relacionar los niños con sus padres, sus identidades y dónde viven.
Ars Technica analiza esta fuga de datos, destacando la falta de cuidado en este caso a la hora de securizar la información. Como dice el autor, “las compañías no están cogiendo el mensaje, tomarse en serio la seguridad es algo que debes hacer antes de una fuga de datos, no algo que dices después para aplacar a la gente”.
La fuga de datos de VTech, parece tener su origen en un ataque de tipo SQL injection donde un hacker externo ha obtenido la información de las bases de datos de VTech. No siempre las fugas de datos tienen un origen externo. Hace un par de meses un exempleado de Morgan Stanley se declaraba culpable de haber robado información confidencial de más de 700.000 cuentas de clientes durante varios años. La compañía encontró los datos publicados de sus clientes en escaneos rutinarios de websites externos, pero pasó desapercibida para los sistemas de seguridad internos.
Analizando otro de los ciberataques más famosos del sector financiero en los últimos tiempos, el relacionado con JPMorgan Chase, el experto en seguridad Chuck Easttom destaca en una entrevista en Data Breach Today, que “simplemente no se está haciendo lo suficiente para proteger los datos”. La mayor parte de las compañías apenas hace uso de tecnologías de encriptación de información, donde en muchos casos, los envíos de datos personales por email van sin encriptar.
La mayor parte de las compañías centran sus esfuerzos en protegerse frente a las amenazas externas más que respecto a las internas. Sin embargo, unas de las principales causas de fugas de información confidencial son las amenazas internas. Según una encuesta realizada por el SANS Institute sobre amenazas internas, un tercio de las organizaciones encuestadas saben que han experimentado ataques internos. Sin embargo, esto es sólo la punta del iceberg ya que como se comenta en el informe, muchos de estos ataques pasan desapercibidos y otros son detectados únicamente por accidente. Tres cuartas partes de los encuestados reconocen estar preocupados por la amenaza que suponen empleados maliciosos o negligentes en lo que respecta a la protección de su información confidencial.
Un ejemplo de estas “amenazas internas” son las fugas de datos derivadas del envío de datos no encriptados en el ámbito sanitario que han saltado al “Wall of shame” (muro de la vergüenza) del sitio web de la HIPPA, donde empleados de un centro de salud realizan envíos de información con datos de pacientes no encriptados a terceros.
Es en la gestión del correo electrónico donde es más sencillo cometer errores y enviar la documentación que no se debe a terceros por error. Cuando se ha realizado el envío ya es demasiado tarde para darse cuenta del error y no podemos evitar que alguien que no deba pueda acceder a la información sensible. Hasta tal punto ha llegado esto a ser un problema en el Banco de Inglaterra que ha deshabilitado la función de auto-completar el email en su plataforma de correo después de que el director de prensa enviase accidentalmente un email con información altamente confidencial a un periodista.
Ahora es más sencillo que nunca proteger adjuntos enviados por email o los documentos que personal interno gestiona o comparte con terceros. Es posible destruir estos documentos en remoto si los hemos enviado a quien no debía o si tenemos sospechas de que un ex-socio puede actuar de forma negligente con la información.
Como se comentaba más arriba en el caso de la fuga de datos de VTech, no se debe esperar a que una fuga ocurra para poner los medios. Soluciones como SealPath ponen al alcance de las empresas la posibilidad de tener protegida y bajo control su información confidencial incluso aunque ya haya sido compartida o enviada a terceros.
