Actualizado: 24 de mayo de 2024
Colaborador: Matthew Kosinski
Una vulneración de datos es cualquier incidente de seguridad en el que partes no autorizadas acceden a información sensible o confidencial, incluidos datos personales (números de seguro social, números de cuentas bancarias, datos sanitarios) y datos corporativos (registros de clientes, propiedad intelectual, información financiera).
Los términos "vulneración de datos" y "vulneración" a menudo se utilizan indistintamente con "ciberataque". Sin embargo, no todos los ciberataques son vulneraciones de datos. Las vulneraciones de datos solo incluyen aquellas violaciones de seguridad en las que alguien obtiene acceso no autorizado a los datos.
Por ejemplo, un ataque de denegación de servicio distribuido (DDoS) que sobrecarga un sitio web no es una vulneración de datos. Un ataque de ransomware que bloquea los datos de los clientes de una empresa y amenaza con filtrarlos a menos que la empresa pague un rescate sea una vulneración de datos. El robo físico de discos duros, memorias USB o incluso archivos en papel que contienen información confidencial también es una vulneración de datos.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Según el informe de IBM "Coste de una filtración de datos" de 2023, el coste medio mundial de una vulneración de datos es de 4,45 millones de dólares. Aunque las organizaciones de cualquier tamaño y tipo son vulnerables a las filtraciones, la gravedad de éstas y los costes para remediarlas pueden variar.
Por ejemplo, el coste promedio de una vulneración de datos en los Estados Unidos es de 9,48 millones de dólares, más de 4 veces el coste de una vulneración de datos en la India (2,18 millones de dólares).
Las consecuencias de las vulneraciones tienden a ser especialmente graves para las organizaciones en campos altamente regulados como la sanidad, las finanzas y el sector público, donde las elevadas multas y sanciones pueden agravar los costes. Por ejemplo, según el informe de IBM, el coste medio de una vulneración de datos en el sector sanitario es de 10,93 millones de dólares, más del doble del coste medio de todas las vulneraciones.
Los costes de las vulneraciones de datos se deben a varios factores, y el informe de IBM señala cuatro factores clave: la pérdida de negocios, la detección y la contención, la respuesta posterior a la vulneración y la notificación.
La pérdida de negocios, ingresos y clientes resultantes de una violación de seguridad cuesta en promedio a las organizaciones 1,30 millones de dólares. El precio de detectar y contener la infracción es aún mayor: 1,58 millones de dólares. Los gastos posteriores a la infracción, incluidas las multas, los acuerdos, los honorarios legales, la monitorización gratuita del crédito a los clientes afectados y gastos similares, cuestan a la víctima media de la infracción 1,20 millones de dólares.
Los costos de notificación, que incluyen la notificación de infracciones a clientes, reguladores y otros terceros, son los más bajos, con 370 000 USD. Sin embargo, los requisitos de presentación de informes pueden seguir siendo onerosos y llevar mucho tiempo.
La Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Cruciales de EE. UU. de 2022 (CIRCIA) exige a las organizaciones de seguridad nacional, finanzas y otras industrias designadas que informen de los incidentes de ciberseguridad que afecten a los datos personales o a las operaciones comerciales al Departamento de Seguridad Nacional en un plazo de 72 horas.
Las organizaciones estadounidenses sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) deben notificar al Departamento de Salud y Servicios Humanos de Estados Unidos, a las personas afectadas y a veces a los medios de comunicación en caso de vulneración de la información médica protegida.
Los 50 estados de EE. UU. también tienen sus propias leyes de notificación de vulneraciones de datos.
El Reglamento General de Protección de Datos (RGPD) exige que las empresas que hacen negocios con ciudadanos de la UE notifiquen a las autoridades sobre violaciones en un plazo de 72 horas.
Regístrese para obtener el X-Force Threat Intelligence Index
Las vulneraciones de datos se deben a:
Errores inocentes, como un empleado que envía información confidencial por correo electrónico a la persona equivocada.
Usuarios internos negligentes, incluidos empleados enojados o despedidos que quieren dañar a la empresa y empleados codiciosos que quieren sacar provecho de los datos de la empresa.
Hackers, personas externas malintencionadas que perpetran ciberdelitos intencionadamente para robar datos. Los hackers pueden actuar como operadores solitarios o como parte de un anillo organizado.
El beneficio económico es la principal motivación para la mayoría de las vulneraciones de datos maliciosas. Los hackers roban números de tarjetas de crédito, cuentas bancarias u otra información financiera para drenar fondos directamente de personas y empresas.
Algunos atacantes roban información de identificación personal (PII),como números de la seguridad social y números de teléfono, para robar la identidad, solicitar préstamos y abrir tarjetas de crédito a nombre de sus víctimas. Los ciberdelincuentes también pueden vender datos personales e información de cuentas robados en la dark web, donde pueden obtener hasta 500 dólares por credenciales de acceso bancario.1
Una vulneración de datos también puede ser la primera fase de un ataque de mayor envergadura. Por ejemplo, los hackers podrían robar las contraseñas de las cuentas de correo electrónico de los ejecutivos de una empresa y utilizar esas cuentas para llevar a cabo estafas de compromiso de correo electrónico empresarial.
Las vulneraciones de datos pueden tener objetivos distintos al enriquecimiento personal. Las organizaciones sin escrúpulos pueden robar secretos comerciales a sus competidores, y los agentes de un Estado-nación pueden violar los sistemas gubernamentales para robar información sobre asuntos políticos delicados, operaciones militares o infraestructuras nacionales.
Algunas vulneraciones son puramente destructivas, ya que los hackers acceden a datos sensibles con el único objetivo de destruirlos o degradarlos. Según el informe "Coste de una filtración de datos", estos ataques destructivos representan el 25 % de las vulneraciones maliciosas. Estos ataques suelen ser obra de agentes del Estado-nación o de grupos de hacktivistas que pretenden dañar a una organización.
La mayoría de las vulneraciones de datos intencionadas causadas poramenazas internaso externas siguen el mismo patrón básico:
- Investigación: el actor de amenazas identifica un objetivo y busca debilidades que pueda utilizar para romper el sistema del objetivo. Estas debilidades pueden ser técnicas, como controles de seguridad inadecuados o humanas, empleados susceptibles a la ingeniería social.
- Ataque: el actor de amenazas inicia un ataque contra el objetivo utilizando el método elegido. El atacante podría enviar un spear phishing correo electrónico, explotar directamente las vulnerabilidades del sistema, utilizar credenciales de inicio de sesión robadas para apoderarse de una cuenta o aprovechar otros vectores de ataque comunes de violación de datos.
- Comprometer datos: dentro del sistema, el atacante localiza los datos que desea y hace lo que vino a hacer. Las tácticas comunes incluyen la exfiltración de datos para su venta o uso, su destrucción o su bloqueo para exigir un rescate.
Los ciberdelincuentes pueden utilizar varios vectores de ataque o métodos para perpetrar vulneraciones de datos. Algunos de los más comunes son los siguientes:
Según el informe "Coste de una filtración de datos" de 2023, las credenciales robadas o comprometidas son el segundo vector de ataque inicial más común, que representa el 15 % de las vulneraciones de datos.
Los hackers pueden comprometer las credenciales mediante ataques de fuerza bruta para descifrar contraseñas, comprando credenciales robadas de la dark web o engañando a los empleados para que revelen sus contraseñas mediante ataques de ingeniería social.
La ingeniería social es el acto de manipular psicológicamente a las personas para comprometer involuntariamente su propia seguridad de la información.
El phishing, el tipo más común de ataque de ingeniería social, es también el vector de ataque de violación de datos más común, ya que representa el 16 % de las infracciones. Las estafas de phishing utilizan correos electrónicos, mensajes de texto, contenidos de redes sociales o sitios web fraudulentos para engañar a los usuarios con el fin de que faciliten sus credenciales o descarguen programas maliciosos.
El ransomware, un tipo de malware que mantiene los datos como rehenes hasta que la víctima paga un rescate, está implicado en el 24 % de las vulneraciones maliciosas, según el informe "Coste de una filtración de datos". Estas vulneraciones también tienden a ser más caras, con un coste medio de 5,13 millones de dólares. Esta cifra no incluye los pagos de rescate, que pueden ascender a decenas de millones de dólares.
Los ciberdelincuentes pueden obtener acceso a una red objetivo explotando las debilidades de los sitios web, los sistemas operativos, los puntos finales, las API y el software común como Microsoft Office u otros activos informáticos.
Los actores de amenazas no necesitan atacar directamente a sus objetivos. En los ataques a la cadena de suministro, los hackers aprovechan las vulnerabilidades de las redes de los proveedores de servicios y vendedores de una empresa para robar sus datos.
Cuando los hackers localizan una vulnerabilidad, a menudo la usan para plantar malware en la red. El spyware, que registra las pulsaciones de teclas y otros datos confidenciales de una víctima y los envía de vuelta a un servidor que controlan los hackers, es un tipo común de malware utilizado en las vulneraciones de datos.
Otro método para penetrar directamente en los sistemas objetivo es la inyección SQL, que aprovecha los puntos débiles de las bases de datos en lenguaje de consulta estructurado (SQL) de sitios web no seguros.
Los hackers introducen código malicioso en los campos orientados al usuario, como las barras de búsqueda y las ventanas de inicio de sesión. Este código hace que la base de datos divulgue datos privados como números de tarjetas de crédito o datos personales de los clientes.
Los actores de amenazas pueden aprovechar los errores de los empleados para obtener acceso a acceso a información confidencial.
Por ejemplo, los sistemas mal configurados o anticuados pueden permitir que personas no autorizadas accedan a datos que no deberían poder acceder. Los empleados pueden exponer datos al almacenarlos en lugares no seguros, extraviar dispositivos con información sensible guardada en sus discos duros o conceder por error a los usuarios de la red privilegios de acceso excesivos. Los ciberdelincuentes pueden aprovechar fallos informáticos, como interrupciones temporales del sistema, para acceder a bases de datos sensibles.
Según el informe "Coste de una filtración de datos", las desconfiguraciones de la nube son responsables del 11 % de las vulneraciones. Las vulnerabilidades conocidas y sin parches representan el 6 % de las vulneraciones. La pérdida accidental de datos, incluidos los dispositivos perdidos o robados, representa otro 6 %. En conjunto, estos errores están detrás de casi una cuarta parte de todas las vulneraciones.
Los actores de amenazas pueden irrumpir en las oficinas de la empresa para robar los dispositivos de los empleados, los documentos en papel y los discos duros físicos que contienen datos confidenciales. Los atacantes también pueden colocar dispositivos de skimming en lectores físicos de tarjetas de crédito y débito para recopilar información de tarjetas de pago.
La vulneración de 2007 de TJX Corporation, la empresa matriz de los minoristas TJ Maxx y Marshalls, fue en ese momento la vulneración de datos de consumidores más grande y costosa en la historia de Estados Unidos. Hasta 94 millones de registros de clientes se vieron comprometidos y la empresa sufrió más de 256 millones de dólares en pérdidas financieras.
Los piratas informáticos obtuvieron acceso a los datos colocando rastreadores de tráfico en las redes inalámbricas de dos tiendas. Los rastreadores permitieron a los piratas informáticos capturar información a medida que se transmitía desde las cajas registradoras de la tienda a los sistemas de back-end.
En 2013, Yahoo sufrió la que podría ser la mayor filtración de datos de la historia. Los hackers aprovecharon un punto débil en el sistema de cookies de la empresa para acceder a los nombres, fechas de nacimiento, direcciones de correo electrónico y contraseñas de los 3000 millones de usuarios de Yahoo.
El alcance total de la vulneración se reveló en 2016 mientras Verizon estaba en conversaciones para comprar la compañía. Verizon rebajó entonces su oferta de compra en 350 millones de dólares.
En 2017, los hackers se infiltraron la agencia de informes crediticios Equifax y accedieron a los datos personales de más de 143 millones de estadounidenses.
Los hackers aprovecharon un punto débil no parcheado en el sitio web de Equifax para acceder a la red. A continuación, los hackers se desplazaron lateralmente a otros servidores en busca de números de la Seguridad Social, del permiso de conducir y de tarjetas de crédito. El ataque costó a Equifax 1,4 millones de dólares en indemnizaciones, multas y otros costes asociados a la reparación de la violación.
En 2020, agentes amenazas rusos lanzaron un ataque a la cadena de suministro pirateando al proveedor de software SolarWinds. Los hackers utilizaron Orion, la plataforma de monitorización de redes de la organización, para distribuir de forma encubierta malware a los clientes de SolarWinds.
Los espías rusos obtuvieron acceso a la información confidencial de varias agencias gubernamentales de EE. UU., incluidos los Departamentos del Tesoro, Justicia y Estado, que utilizan los servicios de SolarWinds.
En 2021, los hackers infectaron los sistemas de Colonial Piay con ransomware, lo que obligó a la compañía a cerrar temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de EE. UU.
Los hackers accedieron a la red utilizando la contraseña de un empleado que encontraron en la dark web. La Colonial Pipeline Company pagó un rescate de 4,4 millones de dólares en criptomoneda, pero las fuerzas de seguridad federales recuperaron aproximadamente 2,3 millones de dólares de ese pago.
En el otoño de 2023, los hackers robaron los datos de 6,9 millones de usuarios de 23andMe. La vulneración fue notoria por un par de razones. En primer lugar, dado que 23andMe realiza pruebas genéticas, los atacantes obtuvieron información poco convencional y muy personal, como árboles genealógicos y datos de ADN.
En segundo lugar, los hackers accedieron a las cuentas de los usuarios mediante una técnica llamada "relleno de credenciales". En este tipo de ataque, los hackers utilizan credenciales expuestas en vulneraciones anteriores de otras fuentes para ingresar a cuentas no relacionadas de usuarios en diferentes plataformas. Estos ataques funcionan porque muchas personas reutilizan las mismas combinaciones de nombre de usuario y contraseña en todos los sitios.
Según el informe "Coste de una filtración de datos", las organizaciones tardan un promedio de 277 días en identificar y contener una vulneración activa. La implementación de las soluciones de seguridad adecuadas puede ayudar a las organizaciones a detectar y responder a estas vulneraciones con mayor rapidez.
Las medidas estándar, como las evaluaciones periódicas de vulnerabilidades, las copias de seguridad programadas, la aplicación oportuna de parches y la configuración adecuada de las bases de datos, pueden ayudar a evitar algunas brechas y suavizar el golpe de las que se produzcan.
Sin embargo, hoy en día muchas organizaciones implementan controles más avanzados y mejores prácticas para detener más vulneraciones y mitigar significativamente el daño que causan.
Las organizaciones pueden implementar soluciones de seguridad de datosespecializadas para descubrir y clasificar automáticamente datos confidenciales, aplicar cifrado y otras protecciones y obtener información en tiempo real sobre el uso de datos.
Las organizaciones pueden mitigar los daños causados por vulneraciones adoptando planes formales de respuesta ante incidentes para detectar, contener y erradicar las ciberamenazas. Según el informe "Coste de una filtración de datos", las organizaciones con planes de respuesta a incidentes probados regularmente y equipos de respuesta específicos reducen el tiempo que se tarda en contener las filtraciones en una media de 54 días.
Las organizaciones que integran ampliamente la inteligencia artificial (IA) y la automatización en las operaciones de seguridad resuelven las infracciones 108 días más rápido que aquellas que no lo hacen, según el informe "Coste de una filtración de datos". El informe también concluye que la inteligencia artificial y la automatización de la seguridad también reducen el coste de una infracción media en 1,76 millones de dólares, es decir, un 40 %.
Muchas herramientas de seguridad de datos, prevención de pérdida de datos y gestión de identidades y accesos ahora incorporan IA y automatización.
Dado que la ingeniería social y los ataques de phishing son las principales causas de las filtraciones, formar a los empleados para que reconozcan y eviten estos ataques puede reducir el riesgo de que una empresa sufra una filtración de datos. Además, capacitar a los empleados para que manejen los datos correctamente puede ayudar a prevenir vulneraciones de datos accidentales y fugas de datos.
Los gestores de contraseñas, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), el inicio de sesión único (SSO) y otras herramientas de gestión de identidades y accesos (IAM) pueden proteger las cuentas y credenciales de los empleados contra el robo.
Las organizaciones también pueden aplicar controles de acceso basados en roles y el principio de privilegios mínimos para limitar el acceso de los empleados solo a los datos que necesitan para sus roles. Estas políticas pueden ayudar a detener tanto las amenazas internas como los hackers que secuestran cuentas legítimas.
Proteja los datos en nubes híbridas y simplifique los requisitos de cumplimiento.
Consolide la protección de datos, genere confianza en el cliente y haga crecer su negocio.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una vulneración y experimente una respuesta rápida a los incidentes de ciberseguridad
Aprenda a mejorar la seguridad de sus datos y la posición de cumplimiento mediante la centralización de la seguridad, el tratamiento de vulnerabilidades y mucho más.
Descubra cómo está cambiando el panorama actual de la seguridad y cómo afrontar los retos y aprovechar la capacidad de recuperación de la IA generativa.
Descubra cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo las organizaciones se defienden contra él.
Notas a pie de página
1 How Much Do Hackers Make From Stealing Your Data? (enlace externo a ibm.com).Nasdaq. 16 de octubre de 2023