¿QUÉ ES UNA BRECHA DE DATOS?

Una brecha de datos ocurre cuando información protegida (que puede ser personal o delicada) queda expuesta a una persona no autorizada, rompiendo su integridad y confidencialidad. Esto es diferente a un incidente de seguridad de datos, que es una violación de las propias políticas de seguridad de una empresa. Normalmente, las dos ocurrirán a la vez -un incidente que puede ocurrir, por ejemplo, dejarse el ordenador en el tren. Mientras que esto sería un incidente de seguridad de datos debido a que podría filtrarla política de seguridad de datos, no se convierte en una brecha de datos hasta que una tercera parte maligna accede a los datos de la compañía utilizando en dispositivo desaparecido.

A menudo, una brecha ocurre por una debilidad en la tecnología utilizada o un error humano. Esto se debe a una preferencia por conveniencia por encima de la seguridad, por ejemplo, cuando los usuarios repiten las contraseñas en diferentes cuentas o dispositivos que no están actualizados debidamente con nuevos parches de seguridad.

TRES TIPOS DE BRECHAS DE DATOS

Hay tres categorías de brechas de datos, se basan en cómo los datos son robados: Física, Electrónica y Skimming.

Física

Una brecha de datos física se refiere al robo o uso indebido de propiedad física. Algunos ejemplos incluyen:

  • Robo de copias físicas de documentos.
  • Robo de hardware como por ejemplo portátiles, discos de memoria, etc.
  • Uso indebido de tarjetas de identidad para acceder a oficinas y edificios.

Electrónica

Una brecha de seguridad electrónica se define como un ataque deliberado o un acceso no autorizado a un sistema o red que almacena trasmisiones o procesa datos seguros. Los ejemplos incluyen:

  • Registrarse como otra persona para acceder a la información.
  • Utilizar las vulnerabilidades en una red para acceder a los servidores web u otros componentes de la red para recoger información o planear un ciberataque.

Skimming

Skimming se llama así porque hace referencia a robar o recoger información de la parte de atrás de una tarjeta de crédito, normalmente se hace alterando los cajeros automáticos o los lectores de tarjeta, sin que su dueño lo sepa o lo consienta.

Con un objetivo y una intención parecida, el skimming digital se refiere a acceder a la información del usuario, como por ejemplo robando el PIN o la contraseña. Esto se puede hacer a través de phishing, utilizando las vulnerabilidades en las plataformas de pago o redirigiendo a los usuarios a una versión falsa y maligna de un sitio web. También se puede hacer mediante un registro de teclas, el cual rastrea las teclas pulsadas de un usuario para extraer la información que quieren usar.

¿CÓMO OCURREN LAS BRECHAS DE DATOS?

Para la mayoría de gente, la idea de una brecha de datos puede recordarle la imagen de un hacker que tiene como objetivo una compañía e intenta entrar en su red a través de su seguridad. La realidad es que, aunque ataques intencionados pueden ocurrir, las brechas de datos son mayormente el resultado de un error humano -o bien en forma de un error individual por falta de formación o por vulnerabilidades en los sistemas de una empresa y otros procesos que no han sido discutidos.

Los tipos más comunes de brechas de datos son:

Una brecha interna accidental

Una de las fuentes más comunes de brechas de datos proviene de un error humano. Los tipos de error pueden variar, pero incluyen:

  • Utilizar contraseñas débiles (o reutilizar contraseñas).
  • Compartir los detalles de cuenta.
  • Perder el portátil o cualquier otro dispositivo.
  • Utilizar dispositivos personales con el propósito de trabajar.

Uno de los mayores problemas de seguridad de datos es asegurar que el personal esté entrenado para identificar brechas potenciales y que siempre actúen bajo los parámetros de buenas prácticas.

Ataques externos

La mayoría de los ciberataques tienen como objetivo múltiples víctimas, intentando infectar todos los dispositivos que sean posibles. Generalmente, esto se hace utilizando el software como objetivo. Mientras que los parches y las actualizaciones son capaces de reparar muchos de estos problemas, el hacker asume que muchos usuarios no habrán aplicado adecuadamente estos parches de seguridad que podrían proteger sus datos.

Ataques internos

Alguien interno maligno sería un individuo que accede y distribuye los datos con la intención de dañar a otros individuos o a la organización. Por ejemplo, ese alguien podría ser un antiguo empleado que se fue de malas formas y decidió copiar archivos protegidos antes de irse.

EJEMPLOS DE GRANDES BRECHAS DE DATOS

Los ejemplos que hay a continuación son brechas de datos conocidas que demuestran la importancia de implementar de manera efectiva la seguridad de datos para proteger tu negocio y sus clientes.

Equifax (2017)

La base de datos de la agencia de informes de crédito Equifax fue filtrada por hackers en 2017, exponiendo nombres, cumpleaños, información bancaria y otros detalles privados de 147 millones de miembros alrededor del mundo. El resultado fue una multa que ascendió a los 700 millones de dólares por los fallos que precipitaron la filtración.

LinkedIn (2021)

En 2021, los perfiles de 700 millones de usuarios fueron puestos en venta en la Dark Web -esto equivale al 92% de los usuarios que había entonces. Mientras LinkedIn proclamaba que esto no era una brecha de datos, había numerosos informes de usuarios que alegaban haber sido el objetivo de ciberataques y robo de identidad como resultado.

British Airways (2020)

La Oficina del Comisionado de Información (ICO) en el Reino Unido multó a British Airways (BA) con 20 millones de libras esterlinas (25.6 millones de dólares) por fallar en la protección de los detalles personales y financieros de más de 400.000 de sus clientes.

¿QUÉ INFORMACIÓN ES EL OBJETIVO DE LAS BRECHAS DE DATOS?

Aquellos que llevan a cabo las brechas de datos maliciosas suelen tener como objetivo unos tipos de datos específicos. Los objetivos más comunes son la información financiera como los detalles de las cuentas del banco y los números de las tarjetas de crédito, aunque la información personal de los empleados también puede ser un objetivo.

La información personal, combinada con los detalles más disponibles de una empresa (los nombres del personal antiguo, direcciones de correo, clientes) pueden ser utilizados para spearphishing, que ocurre cuando un mal individuo utiliza información personal específica para crear un correo electrónico spam que parezca legítimo. Fingiendo ser el director u otro trabajador, piden acceso para un archivo en especial, por ejemplo, un hacker puede engañar a una víctima contándole información sensible.

A veces, el volumen de los datos es el objetivo. Si los hackers pueden acceder a las bases de datos o a una gran cantidad de archivos, pueden encriptarlo y usarlo como parte de un ataque con rescate, donde la información puede ser o eliminada o filtrada online si un rescate no es pagado en un determinado periodo de tiempo.

¿CÓMO FILTRAN LOS DATOS LOS HACKERS?

La razón de que las amenazas de seguridad de datos persistan es que una amplia variedad de métodos puede ser utilizados. Cada ejemplo explicado arriba tiene múltiples variantes para aprovechar las vulnerabilidades que emergen y los cambios en los temas de seguridad.

Tipos de ataques externos incluyen:

  • Ingeniería social: es una forma de phishing. La ingeniería social es el intento de engañar a alguien para que comparta información sensible que pueda ser usada para atacar sistemas y redes.
  • Ataques de Día 0: Este tipo de ataques identifica las vulnerabilidades del hardware o el software antes de que la organización lo identifique, lo que significa que el ataque comienza antes de que se aplique un parche.
  • Malware: Normalmente empieza con un ataque de phishing (una estafa por correo electrónico) para hacer que el usuario visite una web infectada o un enlace maligno. En este acceso, el malware es inyectado en el sistema para robar o encriptar grandes cantidades de datos.
  • Fuerza bruta: Este método utiliza la prueba y el error para adivinar las contraseñas y las claves de encriptación. Normalmente es automático debido al amplio espectro de combinaciones. Las variaciones de esta versión incluyen probar contraseñas débiles o conocidas para aprovechar esa seguridad débil que ofrecen esas contraseñas.

¿CUÁNTO DAÑO PUEDE HACER UNA BRECHA DE DATOS?

Una brecha de datos puede ser muy dañina para un negocio. Las pérdidas económicas son la mayor preocupación, igual que el daño a la reputación y a la confianza de los clientes y empleados que puede que tengan datos que también han sido robados y que estaban bajo tu protección. Un buen ejemplo de esto es Equifax, quien es mundialmente conocida por su brecha en 2017, que afectó a 143 millones de americanos.

Otra gran consideración a tener en cuenta son las consecuencias de no mantener regulaciones de privacidad como GDPR, lo que puede resultar en grandes multas. El cargo máximo por incumplimiento del GDPR de la UE es 20 millones de euros (unos 19.7 millones de dólares) o lo que es lo mismo, el 4% de las ventas globales anuales, y puede que incluso más.

CÓMO PREVENIR UNA BRECHA DE DATOS

Cuando buscamos prevenir una brecha de datos, ten en cuenta que tu protección es únicamente tan fuerte como tu enlace más débil. Esto significa que proteger los datos es la responsabilidad de todos y cada uno en todos los niveles de la organización -no solo del personal informático.

Establecer buenas prácticas asegura que los procesos están definidos claramente y que la función de cada persona y sus responsabilidades estén establecidas de la misma manera que estarían para otras emergencias, como un fuego. Así se ayuda a reducir los riesgos que sean prevenibles y se facilita una orientación clara si una brecha ocurre, y que el tiempo de inactividad sea mínimo.

Las siguientes medidas deberían ser consideradas elementos esenciales de buenas prácticas para la seguridad de datos:

Formación de forma regular

Para reducir brechas accidentales y ayudar al personal a identificar amenazas de forma rápida, es vital que la formación sea ejecutada de forma regular para distribuir las actualizaciones para nuevas medidas de seguridad y amenazas.

Aplicar parches y actualizaciones

La mala gestión de parches es responsable del 57% de las brechas de datos. Esto significa que la mayoría de las brechas de datos podrían haber sido prevenidas con procesos de seguridad efectivos y la gestión adecuada.

Los hackers anticipan que la mayoría de las organizaciones son lentas para aplicar los parches debido al volumen de dispositivos que requieren actualizaciones y se aprovechan de ello. Aplicar parches y actualizaciones tan rápido como salen disponibles es entonces crítico para minimizar las vulnerabilidades.

Para asegurar que todos los dispositivos están actualizados a tiempo y adecuadamente, Patch Management Software debe ser implementado para automatizar el proceso, ahorrando tiempo y ofreciendo seguridad.

Software de seguridad y encriptación

Las amenazas están evolucionando continuamente, igual que las herramientas que utilizan los cibercriminales que se vuelven más inteligentes. Las herramientas como escáneres, firewalls, VPNs y anti-malware deben ser implementadas como una parte fundamental en un marco de seguridad extrema para prevenir ataques maliciosos antes de que lleguen a la red.

Desde buscadores seguros hasta VPNs, la encriptación es una característica clave en seguridad de datos, en ambas, online y fuera. Codificando la información y bloqueándola con una llave secreta, los atacadores no son capaces de leer tu información confidencial ya que los datos serán una maraña de caracteres hasta que se decodifican en su destino.

Asegúrate de que tus sistemas utilizan una encriptación de extremo a extremo en todas las comunicaciones y que los métodos importantes de encriptación como el AES-256 funcionan adecuadamente.

MFA

En el pasado, cuando solo se necesitaba una contraseña, simplemente sabiendo esta información era suficiente para obtener acceso a una cuenta. Hoy, eso ha cambiado con la introducción de los 2-Factores de Autentificación (2FA) y la Autentificación Multi-Factor (MFA).

Además de un usuario y una contraseña, se requiere otra información para verificar la identidad del usuario.

Los ejemplos incluyen:

  • Códigos de un solo uso enviados a un dispositivo personal.
  • Biométrica como huellas dactilares o escáneres de cara.
  • Una llave física.

Con MFA, el usuario puede probar su identidad con una combinación de tres piezas de información; algo qué sabes (contraseña), algo qué eres (biométrica), y algo qué tienes (una tarjeta de identidad o un dispositivo móvil). Un ladrón puede obtener una de estas, pero no es capaz de acceder a las cuentas sin las tres juntas.

MFA es cada vez más común en varias cuentas online y debería ser activada en todos los negocios de software que lo ofrezcan.

BYOD

El mundo se ha convertido en algo completamente móvil, especialmente por consecuencia de la pandemia y el incremento del trabajo híbrido. Sin embargo, el teletrabajo conlleva un aumento en los riesgos de seguridad. Los empleados tienen que acceder a documentos relacionados con el trabajo en sus dispositivos personales o tienen que ser menos profesionales en cuanto a buenas prácticas en seguridad cuando no están en la oficina.

Para asegurar que se mantienen los estándares, una política de Bring Your Own Device (BYOD), trae tu propio dispositivo debe ser implementada y acordada con los miembros de la plantilla que tengan permitido acceder remotamente a la red y las bases de datos de la compañía.

Plan de recuperación

Un plan de recuperación ante el desastre (DRP) es una política en evolución que define cómo las organizaciones responden a las brechas de datos y que explota ese servicio de impacto de entrega. Un DRP efectivo debe incluir tres elementos:

  • Procedimientos de respuesta de emergencia: Una estrategia de respuesta detallada, reduce el impacto de un ataque.
  • Operaciones de respaldo: Un proceso continuado para asegurar que el tiempo de recuperación tras un incidente es mínimo.
  • Procedimientos de acciones de recuperación: Un planteamiento acordado para restaurar todos los datos y sistemas tan pronto como sea posible.