Apenas pasa una semana sin que una violación de datos salte a los titulares. Los ciberdelincuentes han normalizado el phishing, y el resultado son grandes cantidades de datos robados.


Un informe reciente del organismo del sector de la seguridad ISACA muestra que menos de una cuarta parte de los consumidores británicos considera que las empresas protegen sus datos personales. El informe también señala el impacto real de las pérdidas de datos, ya que casi la mitad de los consumidores afirman que dejarían de tratar con una empresa que haya sufrido una violación de datos.

La pérdida de datos significa pérdida de clientes, grandes multas y daños a la reputación. Es importante saber cómo hacer frente a una violación de datos cuando se produce.

He aquí nuestros consejos de buenas prácticas para hacer frente a una violación de datos.

Información personal y protección de datos

Los datos personales son cualquier cosa que pueda utilizarse para identificar a un individuo. Por ejemplo, nombre, dirección, edad, dirección de correo electrónico, número de teléfono, etc. Estos datos son como oro en polvo para los ciberdelincuentes y están en peligro por una simple exposición accidental.

Los datos personales deben protegerse de acuerdo con diversas normativas sobre protección de datos y privacidad. Por ejemplo, el Reino Unido  La Ley de Protección de Datos de 2018 (DPA2018) describe las normas de protección de datos para garantizar la seguridad de los datos personales. Los principios básicos de la DPA2018 son que los datos deben ser:

  • utilizados de forma justa, legal y transparente
  • utilizados para fines específicos y explícitos
  • utilizados de forma adecuada, pertinente y limitada sólo a lo necesario
  • precisos y, en caso necesario, actualizados
  • no se conserven más tiempo del necesario
  • tratados de forma que se garantice una seguridad adecuada, incluida la protección contra el tratamiento, el acceso, la pérdida, la destrucción o los daños ilícitos o no autorizados

La DPA 2018 se compara a veces con el GDPR de la UE. Como tal, la DPA2018 también se conoce como el GDPR del Reino Unido. Existen algunas diferencias entre la DPA 2018/ GDPR del Reino Unido y el GDPR de la UE, como que el tratamiento de datos delictivos es menos estricto en el Reino Unido. Asimismo, las razones legítimas para la elaboración de perfiles son menos estrictas en el Reino Unido que en la UE.

Sin embargo, ambas exigen que se protejan los datos personales y que se cumplan ciertas condiciones posteriores a la violación si ésta se produce. Esto incluye normas de notificación de infracciones y posibles multas por incumplimiento.

¿Cómo se produce una filtración de datos?

Dondequiera que se creen, almacenen, compartan o utilicen datos, éstos corren el riesgo de ser robados o expuestos accidentalmente. Una variedad de amenazas cibernéticas causan violaciones de datos, incluyendo:

  • Phishing: los estafadores roban datos directamente utilizando sitios web maliciosos. Alternativamente, los ciberdelincuentes utilizan el spear phishing para robar las credenciales de inicio de sesión. Estas credenciales se utilizan después para acceder a las redes y aplicaciones corporativas. Incluso  Las credenciales del personal sin privilegios pueden provocar hackeos de bases de datos y violaciones masivas de datos.
  • Ingeniería social: los ciberdelincuentes engañan a los empleados para que les entreguen datos personales que luego utilizan para cometer otros delitos. Los estafadores utilizan muchos medios para llevar a cabo la ingeniería social, incluidas las llamadas telefónicas y las redes sociales. Estos ataques pueden conducir en última instancia a violaciones de datos más importantes.
  • Componentes web mal configurados: simples errores de configuración pueden dejar los servidores web y las bases de datos abiertos a los piratas informáticos.
  • Vulnerabilidades del software: los fallos en el código del software pueden dejar las bases de datos, los servidores web y otros programas vulnerables a un ataque. A menudo, las vulnerabilidades del software se utilizan con otros vectores de ataque, como el phishing, para instalar malware, como el ransomware. Esto conduce entonces a violaciones de datos más significativas.
  • Infección por malware: todas las técnicas y tácticas anteriores pueden dar lugar a una infección por malware. Por ejemplo, el malware puede conducir a la exfiltración de datos de vuelta a un ciberdelincuente que espera ponerlos a la venta en un mercado de la web oscura. O puede conducir a una infección por ransomware. A menudo, el ransomware roba los datos antes de cifrarlos e intentar extorsionarlos.
  • Exposición accidental de datos: los datos personales no sólo corren el riesgo de ser expuestos por los ciberdelincuentes. La exposición accidental de datos es una forma de violación de datos que puede producirse por simples errores y acciones descuidadas.

El informe The Cost of a Data Breach 2022 de IBM reveló que:

  • Los principales vectores de ataque que provocan una violación de datos son: el robo o el compromiso de las credenciales (19% de las violaciones), el phishing (16% de las violaciones) y la mala configuración de la nube (15% de las violaciones). Todos estos vectores pueden estar causados por un error humano; por ejemplo, un empleado no se da cuenta de que está siendo víctima de un phishing y hace clic en un enlace malicioso que conduce al robo de credenciales.

Cifras similares se desprenden del Informe de Verizon sobre investigación de violaciones de datos para 2022:

  • En el 82% de las infracciones interviene un ser humano, por ejemplo, al hacer clic en un enlace de phishing en algún momento del ataque.
  • El 62% de las violaciones de datos utilizan proveedores de la cadena de suministro. Una vez más, los atacantes utilizaron tácticas de ingeniería social para dirigirse a terceros proveedores y atacar a empresas situadas más arriba en la cadena.

El daño que pueden hacer los piratas informáticos

Los estafadores utilizan la información personal para perpetuar diversos delitos cibernéticos. Por ejemplo, el robo de identidad: la  La base de datos nacional de fraudes CIFAS registró un aumento del 11% de los robos de identidad en el primer semestre de 2021. Además, CIFAS ha observado un crecimiento aún más significativo en 2022, con un aumento de los casos de usurpación de identidad de un tercio respecto a las cifras de 2021.

El robo de identidad conlleva pérdidas económicas para los particulares y las empresas que tratan con el defraudador que está detrás de la identidad robada. Así, las empresas y los particulares del Reino Unido pierden alrededor de 4.000 millones de libras esterlinas al año debido al fraude relacionado con la identidad.

El informe Coste de las violaciones de datos presenta las pruebas del impacto de una violación de datos:

  • El coste medio de una violación de datos en 2022 fue de 4,2 millones de dólares (3,8 millones de libras)

El coste de una violación de datos incluye:

  • Costes de reparación de daños directos en los sistemas informáticos
  • Daños a la reputación
  • Multas por incumplimiento de la normativa
  • Daños a los clientes; a menudo, las violaciones de datos pueden dar lugar a demandas colectivas
  • Despido de personal y problemas de moral
  • Posible filtración de propiedad intelectual o secretos empresariales.

Qué hacer en caso de filtración de datos

Cualquier organización que sufra una violación de datos debe contar con un plan sólido para mitigar el impacto. He aquí algunas ideas y consejos sobre cómo gestionar una violación de datos:

Mantenga la calma

Se ha producido una violación de datos personales: gestionar la situación es fundamental para contener el suceso y minimizar el impacto. Mantenga la calma y resuelva los problemas.

Evalúe los daños

La investigación del suceso es una tarea que requiere tiempo. Deberá informar a las autoridades si la violación cumple los criterios necesarios para convertirla en una violación notificable. Por ejemplo, en el Reino Unido, la  La Oficina del Comisario de Información (ICO) debe ser informada en las 72 horas siguientes al descubrimiento de una violación de datos.

Investigar el incidente

Registre todos los hechos relacionados con el incidente a medida que los vaya descubriendo. Es esencial que registre los acontecimientos e incluya los daños. Este registro puede utilizarse como prueba si el caso acaba en los tribunales.

Contener la brecha

Puede desarrollar una estrategia de contención de la brecha a medida que evalúa los daños y registra lo ocurrido. Las medidas de contención dependen del tipo de incidente que se haya producido. Por ejemplo, un ataque de ransomware requerirá medidas de contención más técnicas que un envío erróneo de un correo electrónico con datos de clientes. El tipo de medidas de contención de los distintos tipos de incidentes debe estar cuidadosamente esbozado en un  política de seguridad.

Evalúe el riesgo

Evalúe hasta qué punto la violación de datos ha perjudicado a los implicados. Por ejemplo, ¿existe un riesgo de robo de identidad o alguien podría correr el riesgo de sufrir daños físicos? Comprender el nivel de riesgo ayudará a orientar a su empresa en una respuesta adecuada.

Responder al incidente

Responder a un ciberataque tiene muchas capas. Incluye ocuparse de las secuelas de la pérdida de datos personales desde el punto de vista de los afectados. También significa que su organización necesita reevaluar su postura de seguridad. Analice en qué han fallado las medidas existentes. ¿Necesita una formación más regular sobre concienciación en materia de seguridad? ¿Está utilizando el cifrado de forma adecuada? Una respuesta mesurada examinará toda la cadena de sucesos del incidente para que pueda reforzar su seguridad corporativa.

Medidas que ayudan en una respuesta a una violación de datos

Una violación de datos puede causar un daño inconmensurable a una organización. Sin embargo, como se ha mencionado anteriormente, el factor humano en la cadena de acontecimientos que conduce a una violación de datos es donde se puede realizar un verdadero cambio.

Las conclusiones del informe de ISACA ponen de manifiesto la eficacia de la formación en materia de seguridad. El informe recoge que el 80% de las organizaciones afirmaron que  La formación sobre concienciación en materia de seguridad beneficia positivamente a la concienciación de los empleados.

Utilizando la formación en concienciación sobre seguridad del personal como medida fundamental en la lucha contra los ciberataques, una organización puede prevenirlos. Si a esta formación en materia de seguridad se añaden medidas como el cifrado de datos y una autenticación sólida, es mucho menos probable que se produzca una violación de datos malintencionada o accidental.

Pasos clave para una gestión eficaz de la violación de datos