¿Qué es una filtración de datos o data breach?

Una vulneración de datos, o data breach, es un incidente de ciberseguridad en el que una persona o entidad no autorizada accede, visualiza, roba, altera o utiliza información delicada, confidencial o protegida. Las vulneraciones de datos pueden producirse debido a diversos ciberataques, como piratería informática, vulneraciones de información privilegiada, fraude con tarjetas de pago, ataques de malware, pérdida o robo de dispositivos físicos, divulgación involuntaria u otras razones desconocidas.

Los tipos de datos robados en una filtración pueden incluir números de tarjetas de crédito, datos de clientes, secretos comerciales, historiales médicos, información financiera, información de identificación personal (PII, del inglés “personal identification information”) o asuntos de seguridad nacional. Una fuga de datos puede afectar a empresas de cualquier tamaño, sector y ubicación geográfica, y además se produce con una frecuencia alarmante. Conllevan graves consecuencias para las organizaciones, que se enfrentan a costosas multas por incumplimiento de la normativa, litigios y daños a la marca a largo plazo.

Como las vulneraciones de datos son tan rentables, los atacantes buscan información de identificación personal (PII). Las pequeñas organizaciones pueden pensar que no son un objetivo debido a su tamaño, pero a menudo ocurre lo contrario. De hecho, pueden ser un objetivo mayor que una gran empresa con unas defensas de ciberseguridad eficaces. La ciberseguridad debería ser una prioridad mayor incluso para las pequeñas y medianas empresas.

Las filtraciones de datos pueden producirse a partir de:

• Hacking o ataques de malware: Estos son los métodos más comunes de fuga de datos. Los atacantes utilizan técnicas como el phishing, la ingeniería social, vishing, los ataques de fuerza bruta o la explotación de vulnerabilidades en el software o los sistemas para obtener acceso no autorizado a datos delicados.
• Filtraciones internas: Un usuario de confianza o un individuo con acceso privilegiado puede abusar de sus derechos para robar o comprometer datos. La motivación detrás de las amenazas internas puede incluir beneficios financieros, venganza o acciones involuntarias.
• Fraude con tarjetas de pago: Los datos de las tarjetas de pago se roban utilizando dispositivos físicos de skimming u otros métodos.
• Pérdida o robo: Los ordenadores portátiles, los ordenadores de oficina, los discos duros portátiles, los archivos y otros activos físicos pueden perderse o ser robados.
• Divulgación involuntaria: Los datos confidenciales pueden quedar expuestos por errores, equivocaciones y negligencias de los usuarios.
• Seguridad inadecuada: Los puntos débiles de la tecnología, el comportamiento de los usuarios y la debilidad de las credenciales son algunas de las razones habituales de las vulneraciones de datos.
• Razones desconocidas: En un pequeño número de casos, la razón real de una vulneración de datos puede ser desconocida.

Las vulneraciones de datos pueden producirse dentro o fuera de internet, y los hackers pueden utilizar canales como Internet, Bluetooth, mensajes de texto o servicios en línea para acceder a datos delicados.

La información de los clientes no es el único objetivo de un atacante. La vulneración de datos puede dar lugar a ataques más sofisticados. Por ejemplo, las credenciales robadas en una campaña de phishing pueden conducir a un acceso privilegiado autorizado a datos delicados.

Los objetivos de una vulneración de datos incluyen:

• Contraseñas débiles: Incluso si las contraseñas están cifradas, los algoritmos de cifrado obsoletos o las contraseñas vulnerables a los ataques de diccionario pueden utilizarse en futuras amenazas.
• Credenciales robadas: El phishing, spear phishing y whale phishing se dirigen a los usuarios para robar credenciales y otra información confidencial.
• Activos comprometidos: Acceder a credenciales, implantar malware o explotar aplicaciones que proporcionan acceso no autorizado puede permitir a un atacante exfiltrar datos de forma silenciosa.
• Información corporativa: Los datos empresariales confidenciales como las listas de clientes, el código fuente, la propiedad intelectual y los datos de los empleados pueden ser objetivos valiosos en los ataques de vulneración.
• Datos sanitarios personales: Las organizaciones sanitarias con deficientes medidas de seguridad y de cumplimiento de la ley HIPAA pueden ser vulnerables a vulneraciones de datos que afecten a historiales médicos, información sobre seguros de salud, números de la seguridad social y otros datos personales.
• Fraude de tarjetas de crédito: Los skimmers y el phishing se dirigen a los usuarios para obtener la información de sus tarjetas de crédito.
• Credenciales y acceso mediante terceros: El acceso a través de un tercero, como un proveedor o un contratista externo, es una estrategia para los atacantes.
• Dispositivos móviles: La seguridad de los endpoints o puntos de contacto finales es más importante que nunca, porque los dispositivos móviles pueden ser una puerta de acceso a la red local y a sus datos.

A diferencia de otros ataques, una filtración de datos no se puede remediar con un simple parche y una actualización del software. Suele desencadenar esfuerzos para añadir más infraestructura de ciberseguridad a la red, pero incluso entonces, el daño ya está hecho.

Las vulneraciones de datos pueden provocar daños sustanciales tanto para los individuos como para las organizaciones, entre los que se incluyen:

• Pérdidas financieras: El impacto financiero de una fuga de datos puede ser inmediato y devastador para las organizaciones. Su coste ha aumentado en los últimos años e incluye el coste de la investigación, la reparación y los honorarios legales. Según el informe “Cost of a Data Breach” (en castellano: El coste de una vulneración de datos) de 2022, el coste medio de una vulneración de datos en Estados Unidos se cifró en 9,44 millones de dólares.
• Daño a la reputación: El daño a la reputación resultante de una vulneración de datos puede ser muy duro para una empresa. Los clientes y proveedores pueden dejar de hacer negocios con las organizaciones que han sufrido una vulneración. Para colmo de males, es posible que compartan su experiencia con otras personas, incluso en las redes sociales.
• Tiempo de inactividad operativa: Una vulneración de datos puede causar un importante tiempo de inactividad operativa, con la consiguiente pérdida de productividad e ingresos para las organizaciones. Dependiendo del proceso de reparación, este tiempo de inactividad puede ser muy costoso.
• Acciones legales: Las organizaciones que sufren una fuga de datos pueden enfrentarse a acciones legales por parte de las personas afectadas, los organismos reguladores u otras partes interesadas.
• Pérdida de datos delicados: Una fuga de datos puede provocar la pérdida de datos delicados, incluida información personal, información corporativa y propiedad intelectual.
• Daños consecuenciales: Los daños consecuenciales derivados de una vulneración de datos podrían incluir el lucro cesante o daños a la reputación, que pueden ser difíciles de estimar en el momento de la vulneración.
• Daños de mitigación: Los daños de mitigación pueden incluir el coste de la supervisión del crédito, la protección contra el robo de identidad y otras medidas adoptadas para mitigar los efectos de la vulneración.

La gravedad de una fuga de datos depende del objetivo. Mientras que puede resultar devastadora para los individuos, las filtraciones de datos pueden costarles millones a las organizaciones e impactar negativamente los ingresos a largo plazo. Las tres principales entidades afectadas por las filtraciones de datos son:

• Empresas: Una organización que cae víctima de una filtración de datos puede perder dinero en litigios e indemnizaciones, pero el daño más considerable se produce en la reputación de la marca. Target, Equifax y Yahoo son bien conocidas por sus fugas de datos. Les han costado millones en pérdida de confianza de los consumidores y daños a la marca.
• Gobierno: Los militares, los secretos comerciales del gobierno y el personal encubierto están en peligro si un atacante vulnera la infraestructura gubernamental.
• Particulares: Para los particulares, el riesgo monetario más importante es el robo de identidad. Los datos individuales podrían venderse en los mercados de la darknet o utilizarse inmediatamente para abrir líneas de crédito, comprar productos o crear cuentas fraudulentas.

Cuando se piensa en filtraciones de datos, típicamente lo que viene a la mente es un hacker que pone en riesgo a una red y roba datos. Sin embargo, éstas pueden derivar de diversas acciones. El error humano, por ejemplo, es uno de los factores más significativos en las filtraciones de datos.

Entre los diferentes tipos de filtraciones de datos se incluyen:

• Credenciales almacenadas en el código fuente: Los desarrolladores cometen el error común de dejar credenciales o claves de acceso en repositorios de código. Los atacantes buscan en los repositorios públicos de GitHub para encontrarlas.
• Sistemas de autenticación o autorización vulnerados: Las aplicaciones con vulnerabilidades o cualquier infraestructura de ciberseguridad con fallos podrían permitir a un atacante obtener acceso no autorizado.
• Espionaje: El tráfico sin cifrar en una red es vulnerable a la interceptación y a las escuchas.
• Error humano: Por simple negligencia o mala intención, un empleado descontento podría revelar datos a propósito o accidentalmente cayendo en el phishing o la ingeniería social.
• Malware: Estos programas están diseñados para infectar el ordenador de la víctima y robar información confidencial.
• Ransomware: Se trata de un sofisticado tipo de malware que encripta los archivos de una víctima y pide un rescate monetario por la clave de descifrado.
• Grabación de pulsaciones de teclas: Conocidos como “keyloggers”, este tipo de malware puede estar diseñado para registrar las pulsaciones de teclado de un usuario, lo que permite al atacante capturar información delicada, como contraseñas.
• Phishing: Esta forma de ingeniería social consiste en engañar a los usuarios para que revelen información delicada, como credenciales de acceso o números de tarjetas de crédito, lo que puede dar lugar a una fuga de datos.
• Hackeo: Si un atacante consigue acceder a los dispositivos de los usuarios o pone en peligro la infraestructura interna, puede instalar programas malintencionados para robar datos.
• Amenazas internas: Los empleados actuales o despedidos podrían enviar datos intencionalmente a un tercero, o robarlos para su beneficio económico.
• Robo físico: Las organizaciones son vulnerables al robo de datos cuando se roban los recursos locales, los dispositivos de los usuarios, los portátiles de trabajo y otros activos físicos.

Las incidencias de ciberseguridad han estado aumentando durante años, pero se dispararon después de que el COVID-19 forzara a gran cantidad de personas a teletrabajar. Las organizaciones se vieron obligadas a utilizar teletrabajadores para todos los aspectos de la productividad empresarial. Este cambio provocó un aumento de las vulneraciones de datos. Los usuarios almacenaban datos en sus dispositivos personales y las organizaciones abrían recursos en la nube e infraestructuras internas accesibles mediante VPN.

Muchas de las más recientes estadísticas de filtraciones de datos fueron debidas a la pandemia, aquí puede ver algunas estadísticas que tuvieron un impacto en la ciberseguridad y en las empresas:

• El impacto del COVID-19 a causa de los teletrabajadores incrementó los costes de las filtraciones de datos en 137.000 dólares por incidente.
• El 76 % de las organizaciones indicaron, en una encuesta de IBM, que los teletrabajadores aumentaron la cantidad de tiempo necesario para identificar y contener una amenaza.
• Los expertos contabilizan 192.000 ataques conocidos relacionados con el coronavirus, y las cifras siguen aumentando.
• Los ataques al sector sanitario, dirigidos a extraer información de los pacientes, aumentaron un 58 %.
• Los “exploits” y vulneraciones de aplicaciones web se han duplicado desde 2019 y representan el 43 % de los ataques.
• Los préstamos ofrecidos por el gobierno estadounidense para ayudar a las pequeñas empresas afectaron a 8000 de ellas por una vulneración de datos.
• Symantec estima que 4800 sitios web son vulnerados cada mes por clickjacking.
• Verizon estima que el 71 % de las vulneraciones de datos tienen una motivación financiera.
• En 2019, el 36 % de las vulneraciones de datos procedieron de ciberdelincuentes organizados.
• Se tarda una media de 80 días en contener una amenaza.
• Las organizaciones sanitarias fueron las que más lucharon contra la contención de amenazas y tardaron una media de 329 días en contenerlas.
• Microsoft Office representa el 48 % de los archivos adjuntos malintencionados.
• El coste medio de una vulneración de datos a nivel mundiales de 3,86 millones de dólares.
• El sector sanitario es el que paga los costes más elevados tras una vulneración de datos, con 7,13 millones de dólares por incidente.
• La mayoría de los costes derivados de una vulneración de datos se producen un año después del incidente.
• Un empleado del servicio de atención al cliente de un instituto financiero tiene acceso a 11 millones de registros, lo que le convierte en un riesgo para la ingeniería social y el phishing.
• El 80 % de las vulneraciones implican ataques de fuerza bruta contra contraseñas o credenciales robadas.
• En 2020, los ataques distribuidos de denegación de servicio (DDoS) aumentaron más de un 278 %.

El coste de una vulneración de datos aumentó significativamente en el último año, debido principalmente al aumento de la mano de obra que trabaja desde casa. En 2015, el coste medio de una vulneración de datos fue de 3,8 millones de dólares. Hoy en día, el coste de una vulneración de datos es de 14,8 millones de dólares.

Proofpoint investigó los costes asociados a una vulneración de datos y descubrió que los costes colaterales a largo plazo pueden persistir después de los desembolsos iniciales. La pérdida de productividad del personal de respuesta a incidentes y de otros empleados debido al tiempo de inactividad se tradujo en unas 63.343 horas desperdiciadas para hacer frente a una vulneración de datos.

El correo electrónico es un vector común en los ataques, y las vulneraciones cuestan a las grandes empresas unos 6 millones de dólares anuales. Algunos ataques utilizan el correo electrónico y la ingeniería social para engañar a los empleados y hacerles pagar unos 1,17 millones de dólares en facturas y transferencias de dinero fraudulentas.

El ransomware sigue evolucionando y puede incapacitar a una organización. Muchos de estos ataques parten de mensajes de correo electrónico. Algunas organizaciones pagan el rescate, pero solamente 790.000 dólares de los 5,66 millones de dólares anuales gastados proceden del pago del rescate.

El coste medio para las organizaciones de resolver una vulneración de datos es de 807.506 dólares, un aumento espectacular desde los 338.098 dólares de 2015. El robo de credenciales a través del phishing explica muchos de estos costes. En conjunto, el malware y la exfiltración de datos tuvieron un coste estimado de 137 millones de dólares.

Los incidentes cibernéticos ocurren todos los días, pero algunos destacan más que otros. Las vulneraciones de datos que afectan a millones de registros son las que tienen un mayor impacto en los consumidores y en las empresas afectadas.

He aquí algunas de las más recientes vulneraciones de datos a gran escala:

• Debido a errores de configuración del almacenamiento en la nube, un sitio web de reservas de viajes reveló 10 millones de registros que contenían información de huéspedes de hoteles, incluidos números de documento nacional de identidad, datos de tarjetas de crédito, nombres completos y direcciones de correo electrónico.
• Una organización de tecnología y entretenimiento empresarial subió por error 5 gigabytes de datos, revelando 1,4 millones de datos de empleados y usuarios tras un exploit de OAuth.
• Se revelaron 7.400 millones de registros de un periódico francés, que contenían datos del personal y de suscriptores tras una exfiltración desde el servidor de almacenamiento en la nube de uno de sus proveedores de confianza.
• En marzo de 2023, más de 7 millones de registros de usuarios de Verizon fueron presuntamente robados por hackers y publicados en Breached Forums, un popular foro de hackers.
• Los datos de Uber fueron vulnerados en abril de 2023, con el resultado del robo de información personal de 57 millones de usuarios y 600.000 conductores.

Tener en cuenta todas las amenazas, incluyendo el error humano, es un trabajo a tiempo completo y difícil para las pequeñas empresas. Sin embargo, las organizaciones pueden seguir normas específicas y utilizar estrategias comunes para detener los ataques. Solamente hace falta un eslabón débil para que se produzca una vulneración de datos, por lo que las estrategias deben reforzar todos los aspectos de la organización, incluida la formación y educación en ciberseguridad del personal.

Algunas de las mejores prácticas para la protección de los datos frente a las vulneraciones son:

• Instalar siempre la última versión del software, especialmente los parches de seguridad.
• Utilizar un cifrado criptográficamente seguro para el tráfico de red y el almacenamiento.
• Actualizar los dispositivos con las últimas actualizaciones del sistema operativo.
• Aplicar políticas si se permite a los usuarios traer sus propios dispositivos.
• Utilizar políticas de contraseñas para hacer cumplir los requisitos de longitud y complejidad de las mismas.
• Capacitar a los empleados sobre las señales de advertencia de phishing, ingeniería social y otros ataques.
• Adoptar una ciberdefensa que proteja los datos de las amenazas internas, la toma de control de cuentas y las aplicaciones web de riesgo.
• Las auditorías de seguridad periódicas ayudan a identificar las vulnerabilidades y a prevenir las vulneraciones de datos.
• Los cortafuegos y los sistemas de detección de intrusiones ayudan a evitar el acceso no autorizado a información confidencial.
• Mediante la implantación de la gestión de cuentas privilegiadas (PAM, del inglés “Privilege Access Management”), las organizaciones deben limitar el acceso a la información delicada únicamente a aquellos que la necesiten para realizar sus tareas laborales.
• Las organizaciones deben supervisar el acceso de terceros a la información delicada y asegurarse de que los proveedores cuentan con fuertes medidas de seguridad.

Los ciberseguros ayudan a compensar los costes cubriendo los daños monetarios tras un incidente como un virus o un ataque de denegación de servicio (DDoS). Pero incluso con la mejor infraestructura de ciberseguridad, las organizaciones nunca estarán 100 % libres de riesgos. Los seguros de ciberseguridad ayudan a pagar los costes tras un incidente, especialmente cuando la organización es responsable de la pérdida de datos. Por ejemplo, las organizaciones sanitarias pueden incurrir en fuertes multas por la pérdida de información de identificación personal (PII).

Los contratos de seguro difieren entre aseguradoras, por lo que las organizaciones deben leer los términos antes de firmar. Por ejemplo, una aseguradora puede exigir que la organización cumpla las normas y tenga instalada una infraestructura de ciberseguridad específica para seguir asegurada.