Lo sepas o no, es muy probable que tu información personal ya esté en Internet después de haber estado involucrada en una violación de datos. Además, los actores maliciosos pueden estar tratando de crear un perfil tuyo en función de tu huella digital, por lo que ahora es el momento adecuado para recuperar el control.
En la economía de datos donde tenemos un mundo de información en la palma de nuestras manos, las filtraciones de datos son tan omnipresentes como los iPhones. En esta guía, te contamos todo sobre las violaciones de datos: qué son, cómo prevenirlas y otra información útil. ¡Empecemos!
Indice
¿Qué es una violación de datos?
Una violación de datos ocurre cuando una persona no autorizada copia, transmite, ve, roba o accede a datos confidenciales. Para que un incidente de seguridad constituya una violación de datos, la exposición de datos confidenciales debe ser intencional. La presencia de intención diferencia una violación de datos de una fuga de datos, donde la exposición es accidental.
Una fuga de datos ocurre cuando los datos se exponen accidentalmente a través de una vulnerabilidad, como contraseñas débiles. Las fugas de datos y las filtraciones en la nube también pueden causar una violación de datos si un ciberdelincuente explota estas vulnerabilidades para obtener acceso no autorizado a información confidencial.
La definición de una violación de datos se refiere a la violación de la seguridad que implica la liberación de información segura o privada/confidencial en un entorno no confiable (como Internet público o la Dark Web) donde personas no autorizadas pueden acceder a ella (descargar, copiar, ver o de otra manera).
El tipo de información confidencial generalmente involucrada en las violaciones de datos se divide en las siguientes categorías:
- Datos financieros: tarjeta de crédito o datos bancarios, información sobre préstamos, pensiones y seguros.
- Información de identificación personal (PII): números de seguro social, direcciones de correo, números de teléfono, información de la licencia de conducir, direcciones de correo electrónico, pero también direcciones IP, ID de inicio de sesión, publicaciones en redes sociales, imágenes digitales, datos de geolocalización, datos de comportamiento.
- Información de salud personal (PHI): historial médico, recetas, datos biométricos (incluidas sus huellas dactilares e imágenes fotográficas completas de su rostro), resultados de pruebas, información de facturación de centros médicos.
- Propiedad intelectual: investigación (comercial, médica, científica, etc.), secretos comerciales, patentes, activos registrados.
No importa cómo lo llamar (fuga de datos, derrame de datos, fuga de información) o quién sea el responsable, las consecuencias de una violación de datos son las mismas.
Cuando intentes proteger tu privacidad en línea, debes hacer un buen uso de tus recursos y descubrir qué puedes y qué no puedes controlar.
Cuanto más te concentres en controlar y proteger tus datos, mayor será tu capacidad para administrar tu huella digital , incluso si tu información personal se filtra en una violación de datos.
Tipos
Las violaciones de datos vienen en dos tipos:
- Intencional: causado por actores maliciosos como ciberdelincuentes, actores estatales, infiltrados maliciosos, hacktivistas.
- No intencional: provocado por error, a menudo error humano, como dejar la opción de acceso público a una base de datos con información del cliente que debería ser privada.
Cuando se hace referencia a fugas de datos deliberadas, el black hat hacking (delito cibernético) a menudo está involucrado en una amplia gama de actividades que violan la seguridad informática y las disposiciones legales.
Miremos más de cerca.
Lo que todas las fugas de datos tienen en común es que exponen información a personas y entidades no autorizadas y que no son de confianza. Lo que los hace diferentes es como suceden.
Las violaciones de datos premeditadas implican acciones ilícitas como:
- Irrumpir ilegalmente en los sistemas informáticos
- Recolectar datos de varios sistemas y/o personas
- Corroborar esos datos para identificar los conjuntos de información más valiosa
- Monetizarlo a través de otras actividades delictivas, incluida la extorsión
- Venderlo en la Dark Web y usar para ataques posteriores más específicos
Los derrames accidentales de datos a menudo son causados por errores simples, pero pueden ser igual de dañinos. Los escenarios del mundo real incluyen configurar un archivo privado como «público» por error, configurar incorrectamente los cubos de almacenamiento en la nube, olvidar proteger con contraseña una base de datos y perder dispositivos (computadoras, teléfonos inteligentes, unidades USB).
A veces, los investigadores de seguridad cibernética (hackers de sombrero blanco) se encuentran con violaciones de datos no intencionales, alertando a las organizaciones a través de un proceso llamado divulgación responsable. Sin embargo, la mayoría de las veces, los delincuentes en línea (que también se encuentran con estas filtraciones accidentales de información) aprovechan al máximo estos datos y los posibles beneficios financieros involucrados.
¿Cómo ocurren?
La mayoría de las filtraciones de datos se originan en tres áreas principales:
- Ataques maliciosos, que involucran ciberdelincuentes o personas internas
- Error humano, como empleados o contratistas descuidados
- Fallas en los sistemas, incluidas fallas en los procesos comerciales.
Echemos un vistazo a las causas más comunes de violaciones de datos.
Denegación de servicio distribuido (ataque DDoS)
Los ciberdelincuentes inundan un sitio web o una red de destino con solicitudes hasta que sus recursos dejan de estar disponibles para los usuarios legítimos, lo que resulta en una denegación de servicio. Aunque no es una violación de datos en sí misma, un ataque DDoS se puede utilizar para desviar la atención del personal de TI o de seguridad mientras se instala el malware.
Secuestro de datos
Una forma de software malicioso (malware), el ransomware permite a los ciberdelincuentes cifrar datos en la red de destino y exigir el pago de un rescate para restaurarlos. En el caso de una violación de datos, esto puede combinarse con que el atacante vea, copie o exporte datos de la red antes de cifrarlos y amenazar con una fuga de datos si no se paga el rescate. Sin embargo, es importante tener en cuenta que el pago no garantiza la devolución segura de los datos.
Inyección de SQL
Muchas aplicaciones web utilizan bases de datos SQL para almacenar datos importantes e información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito de los clientes. En un ataque de inyección SQL, los ciberdelincuentes aprovechan las fallas de seguridad para manipular las consultas que una aplicación hace a su base de datos, lo que les permite acceder, modificar o eliminar datos.
Suplantación de identidad
Un ciberdelincuente puede comunicarse con una víctima por correo electrónico, teléfono o mensaje de texto haciéndose pasar por un contacto de confianza. Luego, el atacante convence a la víctima para que descargue malware o un virus, a menudo abre un archivo adjunto o hace clic en un enlace, o puede engañarlos para que entreguen los datos directamente.
Información privilegiada criminal
Un infiltrado criminal es alguien, a menudo un empleado o contratista que puede o no tener autoridad legítima para acceder a información confidencial, que abusa de su posición para filtrar datos. Su motivación suele ser el beneficio personal o causar daño a la organización.
Intruso accidental
Por el contrario, una persona interna accidental es alguien que sin querer provocar una violación de la seguridad cibernética, como ser víctima de un ataque de phishing, usar un dispositivo personal no autorizado o administrar una contraseña de manera deficiente. Los empleados que no han recibido capacitación básica en ciberseguridad son una vulnerabilidad para la empresa.
Robo o pérdida física
Cualquier dispositivo físico, como una computadora portátil, un disco duro, un teléfono móvil o un dispositivo USB no protegido que contenga información confidencial que se pierda o sea robada, podría poner en riesgo tu negocio.
Efectos
Puedes pensar que las violaciones de datos no pueden afectarte a nivel personal. Sin embargo, eso es exactamente lo que los ciberdelincuentes quieren que creas. Las correlaciones de datos que tienen lugar en la Dark Web, a la que solo tienen acceso los investigadores de seguridad, a menudo van más allá de sus suposiciones más descabelladas.
Con las filtraciones de datos alimentando la economía clandestina donde los ciberdelincuentes venden, intercambian, monetizan y definen la información en armas, el riesgo personal para cada uno de nosotros es muy real.
Lo más probable es que tu información personal ya haya estado involucrada en una violación de datos. Esto puede debilitar tu privacidad en línea y exponerte a riesgos como el robo de identidad digital y la suplantación de identidad en las redes sociales.
La mayoría de los ataques cibernéticos utilizan la técnica de “rociar y rezar”, que consisten en que los piratas informáticos propagan su malware entre tantos objetivos como sea posible, con la esperanza de que un alto porcentaje de ellos lo instale. Si ese es el caso, puedes convertirte en una víctima incluso si no se dirigieron específicamente a ti.
Si trabajas en una organización que les interesa, también puedes ser un trampolín en su plan, un espectador inocente que se involucra en un delito cibernético sin su conocimiento.
Las violaciones de datos también tienen efectos a largo plazo que debilitan la seguridad de todo nuestro ecosistema, y van más allá de la capa tecnológica que ahora está tan profundamente arraigada en nuestras vidas. Con la información recopilada de los derrames de datos, los actores maliciosos pueden atacar la infraestructura crítica que mantiene segura nuestra red eléctrica y de agua. Pueden encriptar datos y retenerlos para pedir rescate y bloquear la actividad de instituciones cruciales como hospitales.
El hecho de que sucedan con frecuencia y estén fuera de tu círculo de control no significa que debas ignorar las consecuencias de las filtraciones de datos. Es una razón más para aumentar tu nivel de conocimiento cibernético y actuar de manera inteligente para monitorizar tus datos más confidenciales.
Qué hacer si ocurre una violación de datos
Las violaciones de datos son cada vez más comunes para organizaciones de todos los tamaños, desde pequeñas empresas hasta corporaciones multinacionales. Tener un plan integral de respuesta a incidentes garantiza que tu organización sepa cómo identificar, contener y cuantificar el impacto de una filtración de datos.
Sigue los pasos a continuación para responder de manera efectiva y eficiente después de una violación de datos.
1. Aislar los sistemas violados
Debes asegurarte de que la infracción se haya detenido antes de tomar cualquier otra medida. Identifica las partes afectadas de tu sistema, registra todos los datos y aísla estas partes para evitar un mayor compromiso. Mantener un registro de datos es crucial para identificar qué datos se han visto comprometidos.
2. Realizar una auditoría
Una vez que hayas aislado la fuente de la infracción, deberás realizar una auditoría para determinar a qué datos se accedió y cuándo. El alcance de la infracción depende de a qué información se accedió o se modificó.
Tener registros de auditoría y copias de seguridad fácilmente disponibles te ayuda a comparar qué cambios se han producido en los sistemas afectados. De lo contrario, un experto en datos puede verificar para validar la precisión de la auditoría.
3. Informar a los clientes afectados
Debes informar a todas las personas afectadas lo antes posible. Las leyes de notificación de violación de datos exigen este proceso, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, y las leyes estatales de EE. UU., como la Ley de Privacidad del Consumidor de California (CCPA) y la Ley SHIELD de Nueva York.
La comunicación rápida también puede ayudar a minimizar el daño a la reputación causado por una infracción. Proporciona a tus clientes instrucciones sobre cómo proteger sus cuentas y datos personales.
4. Implementar estrategias de prevención de violación de datos
La implementación de procesos efectivos de seguridad de datos y procedimientos de seguridad de la información es esencial para prevenir violaciones de datos en el futuro. Las estrategias de prevención efectivas incluyen:
- Seguir las pautas de seguridad del instituto SANS.
- Gestión del riesgo cibernético con el marco de ciberseguridad del NIST.
- Implementar el principio de privilegio mínimo.
- Mejora de la seguridad de las contraseñas.
- Implementación de autenticación de dos factores (2FA) o autenticación de múltiples factores (MFA).
- Implementación de una solución de administración de superficie de ataque.
Leyes sobre violaciones de datos
La privacidad de los datos está cubierta por varias leyes y reguladas en todo el mundo, y dependiendo de dónde te encuentres tu o tus clientes, pueden ser diferentes. Si tu empresa es víctima de una violación de datos, hay ciertos pasos que debes seguir, por lo que es importante saber qué se requiere de ti. Esto se verá afectado por:
- Dónde haces negocios
- Dónde almacenas información de identificación personal (PII)
- Qué tipo de PII mantiene tu empresa
- Dónde residen los interesados particulares de la PII
Reglamento General de Protección de Datos (RGPD)
Ampliamente considerado como el conjunto de normas más sólido del mundo que rige la protección de datos, el RGPD fue puesto en vigor por el Parlamento Europeo en mayo de 2018. A continuación se ofrece una breve descripción general de los requisitos relacionados con las filtraciones de datos:
- Los datos personales deben protegerse contra el «procesamiento no autorizado o ilegal».
- Debes informar al regulador de protección de datos de un país sobre la » destrucción, pérdida, percepción, divulgación no autorizada o acceso a » datos de personas donde podría tener un impacto perjudicial en los interesados.
- Se debe informar una infracción a la ICO dentro de las 72 horas posteriores al descubrimiento.
- Si una infracción pone en riesgo a las personas, también debes informarles. Esto debe hacerse lo antes posible.
- Incluso si una violación de datos no requiere notificación, aún debes mantener un registro de la misma.
Regulaciones en los EE.UU.
Si bien los EE. UU. no tienen una ley federal que rija la notificación después de una violación de datos, ciertos estados tienen sus propias leyes de privacidad de datos, y deberán conocer las disposiciones de cada uno. Entre las regulaciones más conocidas de EE. UU. se incluyen la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
Cómo prevenir una violación de datos
En 2021, el coste medio por registro perdido o robado en una filtración de datos fue de $150, por lo que el impacto de una filtración significativa podría ser devastador, especialmente para una pequeña empresa. Además, hay muchas cosas que pueden hacer para dificultar que los ciberdelincuentes se infiltren en sus sistemas y obtengan sus datos.
Sigue los pasos a continuación para aseguraree de tener una base sólida de seguridad:
1. Cuida lo básico
- Instalar cortafuegos. La primera línea de defensa para proteger tu red, un firewall evitará que cualquier tráfico no autorizado o software malicioso ingrese a tu red.
- Instalar antivirus. Una solución antivirus empresarial integral bloqueará, detectará y eliminará de forma proactiva amenazas como el malware, y también debería proporcionar protección contra el phishing.
- Instalar el software de encriptación. Protege la información confidencial haciéndola ilegible para usuarios no autorizados.
- Utiliza una red VPN o Zero Trust. Solo envía datos a través de canales seguros para evitar ser interceptado por una persona no autorizada.
- Utiliza contraseñas seguras. Exige el uso de contraseñas complejas y únicas para cada cuenta de usuario y haz cumplir los cambios regulares de contraseña.
2. Promover la concienciación de los empleados
- Educar a los empleados. Resalta la importancia de la ciberseguridad y capacita a los empleados para que reconozcan las amenazas a la ciberseguridad y tomen las medidas adecuadas.
- Comunicar. Recuerda periódicamente a los empleados los peligros de hacer clic en enlaces o archivos adjuntos en correos electrónicos de remitentes desconocidos.
- Fomenta la rendición de cuentas. Asegúrate de que cada miembro del personal sea consciente de sus funciones y responsabilidades personales en la protección de los datos de la empresa.
3. Actualiza tu proceso de titulares y abandonos
- Establecer nuevos titulares. Identifica los datos, dispositivos y privilegios de acceso específicos que necesitan los principiantes.
- Procesar egresados. Adopta una política de salida controlada para los que se van, incluido el restablecimiento rápido de la contraseña del grupo.
- Revisa los dispositivos devueltos. Borra o destruye de forma segura los datos cuando sea necesario.
4. Gestionar el mantenimiento y la planificación continua
- Estar al día. Escanea tu red y sus dispositivos con frecuencia y busca las actualizaciones necesarias. Instala las actualizaciones o parches de proveedores de software de confianza lo antes posible. Considera usar un software que pueda automatizar este proceso o alertarte sobre cualquier cosa que necesite atención.
- Preparar. Crea un plan de respuesta de emergencia que describa cómo manejar una violación, robo o pérdida de datos.
- Hacer copias. Haz una copia de seguridad de tus datos con regularidad para que puedas restaurarlos fácilmente si sucede lo peor.
¿Quién se beneficia de las filtraciones de datos?
En nuestra economía conectada actual, los datos son la moneda más valiosa para la mayoría de las organizaciones en todo el mundo.
Los volúmenes de datos que producimos no solo están habilitados por la tecnología, sino que también son monitorizados de cerca por ella de una manera que nunca antes había sucedido. Debido a su naturaleza abstracta, es un desafío ver cuánto de tu huella digital se monetiza a través de cualquier cosa, desde anuncios hasta ataques de ransomware.
Todos los datos que se desbordan de los sistemas cerrados al dominio público o la Dark Web encuentran su camino hacia la economía clandestina, donde se definen en combustible para más ataques que causan más filtraciones de datos.
Las organizaciones de ciberdelincuentes, los estafadores y los corredores de datos son los actores maliciosos que obtienen las mayores ganancias al causar filtraciones de datos y aprovechar sus consecuencias.
Retienen datos a cambio de rescate (ataques de ransomware), chantajean a las empresas amenazándolas con exponer sus debilidades de seguridad (extorsión) y corroboran los datos de las fugas de información para crear ataques altamente dirigidos, como las estafas Business Email Compromise. También venden datos activos de infracciones en los foros de Dark Web.
¿Cuánto deberías preocuparte por las filtraciones de datos?
Aunque como el RGPD ha hecho obligatorio que las organizaciones informen sobre violaciones de datos, la mayoría de los incidentes aún no llegan a la esfera pública o a las noticias.
El problema aún mayor es que aún más de estos derrames de datos no se detectan o no se informan, o ambos, durante meses. ¡Algunos incluso durante años! Si la empresa no sabe lo que está pasando, lo más probable es que tu tampoco.
Hemos llegado a un punto en nuestras vidas digitales en el que debemos tomar las riendas y poner en práctica algunas medidas de seguridad para nuestros datos más confidenciales.
¿Qué sucede con los datos privados expuestos en una infracción?
Según el tipo de información filtrada, la dirección de tu casa, las contraseñas, los detalles de la tarjeta de crédito, el historial médico e incluso los elementos confidenciales del trabajo pueden caer en manos de piratas informáticos.
Una vez que tienen estos datos, es imposible que los recuperes o los elimines de Internet. Continúan viviendo en sus servidores, computadoras, copias de seguridad, en foros de Dark Web e incluso en repositorios de datos públicos accesibles a través de motores de búsqueda. Tu información personal se propaga y viaja a través de sistemas sobre los que no tienes control, y probablemente ni siquiera te des cuenta de que existen.
Ejemplos de violaciones de datos
A continuación se muestran ejemplos de filtraciones de datos conocidas recientes.
Microsoft
En enero de 2021, los servidores de correo electrónico de Microsoft Exchange se vieron involucrados en uno de los ataques cibernéticos más importantes de EE. UU. hasta la fecha. Más de 60.000 empresas se vieron afectadas en todo el mundo, 30.000 de las cuales tenían sede en EE. UU. Los atacantes pudieron obtener acceso a correos electrónicos que contenían datos confidenciales al explotar cuatro vulnerabilidades de día cero.
Las cuentas de correo electrónico estaban conectadas a varias organizaciones, incluidas pequeñas empresas y gobiernos locales. La falla del software permitió a los piratas informáticos permanecer activos en los sistemas vulnerables durante tres meses.
En abril de 2021, los piratas informáticos extrajeron datos ilegalmente de la base de usuarios de LinkedIn y revelaron los datos personales de más de 700 millones de usuarios. Esta exposición permitió que ciberdelincuentes adicionales aprovecharan los datos violados. Según los informes, un actor de amenazas intentó vender un conjunto de datos de LinkedIn en un foro público por $ 7000 en Bitcoin.
Yahoo
Entre 2013 y 2016, Yahoo sufrió varios ciberataques. Un equipo de piratas informáticos rusos explotó la base de datos de Yahoo y robó registros que contenían información personal de alrededor de 3 mil millones de cuentas de usuarios en total. La reacción tardía de Yahoo al ataque y la falta de divulgación de uno de los incidentes de seguridad a sus usuarios resultó en una multa de $35 millones y 41 demandas colectivas.
Equifax
En septiembre de 2017, la principal agencia de informes crediticios, Equifax , informó una importante violación de datos que comprometió la información de identificación pública (PII) de 148 millones de ciudadanos estadounidenses. La brecha también afectó a muchas instituciones financieras que usaban Equifax como proveedor externo. Debido a la seguridad deficiente de su red, Equifax finalmente enfrentó multas por una suma de $ 575 millones que se pagaron a numerosas autoridades, estados y territorios.