Apenas pasa una semana sin que una filtración de datos llegue a los titulares. Los ciberdelincuentes han normalizado el phishing y el resultado son grandes cantidades de datos robados.
Un reciente informe del organismo del sector de la seguridad ISACA muestra que menos de una cuarta parte de los consumidores británicos considera que las empresas protegen sus datos personales. El informe también señala el impacto real de las pérdidas de datos, ya que casi la mitad de los consumidores afirman que no volverían a tratar con una empresa que haya sufrido una filtración de datos.
La pérdida de datos significa pérdida de clientes, grandes multas y daños a la reputación. Es importante saber cómo hacer frente a una violación de datos cuando se produce.
Estos son nuestros consejos de buenas prácticas para hacer frente a una violación de datos.
Información personal y protección de datos
Los datos personales son cualquier cosa que pueda utilizarse para identificar a un individuo. Por ejemplo, el nombre, la dirección, la edad, la dirección de correo electrónico, el número de teléfono, etc. Estos datos son como oro en paño para los ciberdelincuentes y corren el riesgo de una simple exposición accidental.
Los datos personales deben protegerse de acuerdo con diversas normativas de protección de datos y privacidad. Por ejemplo, la Ley de Protección de Datos del Reino Unido de 2018 (DPA2018) describe las normas de protección de datos para garantizar la seguridad de los datos personales. Los principios básicos de la DPA2018 son que los datos deben ser:
- utilizarlo de forma justa, legal y transparente
- se utiliza para fines específicos y explícitos
- Utilizado de forma adecuada, pertinente y limitado a lo necesario
- precisos y, en su caso, actualizados
- no se conservan más tiempo del necesario
- se traten de forma que se garantice una seguridad adecuada, incluida la protección contra el tratamiento ilegal o no autorizado, el acceso, la pérdida, la destrucción o los daños
La DPA 2018 se compara a veces con el GDPR de la UE. Como tal, la DPA2018 también se conoce como el GDPR del Reino Unido. Existen algunas diferencias entre la DPA 2018/ GDPR del Reino Unido y el GDPR de la UE, como que el procesamiento de datos criminales es menos estricto en el Reino Unido. Asimismo, los motivos legítimos para la elaboración de perfiles son menos estrictos en el Reino Unido que en la UE.
Sin embargo, ambos exigen que se protejan los datos personales y que se cumplan ciertas condiciones posteriores a la violación si ésta se produce. Esto incluye normas de notificación de violaciones y posibles multas por incumplimiento.
¿Cómo se produce una filtración de datos?
Dondequiera que se creen, almacenen, compartan o utilicen los datos, corren el riesgo de ser robados o expuestos accidentalmente. Una variedad de amenazas cibernéticas causan violaciones de datos, incluyendo:
- Phishing: los estafadores roban datos directamente utilizando sitios web maliciosos. Por otro lado, los ciberdelincuentes utilizan el spear phishing para robar las credenciales de acceso. Estas credenciales se utilizan para acceder a las redes y aplicaciones corporativas. Incluso las credenciales del personal sin privilegios pueden dar lugar a hackeos de bases de datos y violaciones masivas de datos.
- Ingeniería social: los ciberdelincuentes engañan a los empleados para que les entreguen datos personales que luego utilizan para cometer otros delitos. Los estafadores utilizan muchos medios para llevar a cabo la ingeniería social, incluidas las llamadas telefónicas y las redes sociales. Estos ataques pueden conducir en última instancia a violaciones de datos más importantes.
- Componentes web mal configurados: simples errores de configuración pueden dejar los servidores web y las bases de datos a merced de los hackers.
- Vulnerabilidades del software: los fallos en el código del software pueden hacer que las bases de datos, los servidores web y otros programas sean vulnerables a un ataque. A menudo, las vulnerabilidades del software se utilizan con otros vectores de ataque, como el phishing, para instalar malware, como el ransomware. Esto conduce a violaciones de datos más significativas.
- Infección por malware: todas las técnicas y tácticas anteriores pueden dar lugar a una infección por malware. Por ejemplo, el malware puede llevar a la exfiltración de datos de vuelta a un ciberdelincuente que espera ponerlos a la venta en un mercado de la web oscura. O puede llevar a una infección de ransomware. A menudo el ransomware roba los datos antes de cifrarlos e intentar la extorsión.
- Violación accid ental de datos: los datos personales no sólo corren el riesgo de los ciberdelincuentes. La exposición accidental de datos es una forma de violación de datos que puede ocurrir por simples errores y acciones descuidadas.
El informe "The Cost of a Data Breach 2022" (El coste de una filtración de datos en 2022 ) de IBM ha revelado que:
- Los principales vectores de ataque que causan una filtración de datos son: el robo de credenciales o su puesta en peligro (19% de las filtraciones), la suplantación de identidad (16% de las filtraciones) y la desconfiguración de la nube (15% de las filtraciones). Todos estos vectores pueden ser causados por un error humano; por ejemplo, un empleado no se da cuenta de que está siendo víctima de phishing y hace clic en un enlace malicioso que conduce a credenciales robadas.
Cifras similares se desprenden del Informe de Investigación de Violaciones de Datos de Verizon para 2022:
- El 82% de las infracciones implican que un ser humano, por ejemplo, haga clic en un enlace de phishing en algún momento del ataque.
- El 62% de las violaciones de datos utilizan proveedores de la cadena de suministro. Una vez más, los atacantes utilizaron tácticas de ingeniería social para dirigirse a los proveedores de terceros y atacar a las empresas que están más arriba en la cadena.
El daño que pueden hacer los hackers
Los estafadores utilizan la información personal para perpetuar una variedad de ciberdelitos. Por ejemplo, el robo de identidad: la base de datos nacional de fraudes CIFAS del Reino Unido registró un aumento del 11% en el robo de identidad en la primera mitad de 2021. Además, CIFAS ha observado un crecimiento aún más significativo en 2022, con casos de robo de identidad que han aumentado en un tercio respecto a las cifras de 2021.
La usurpación de identidad conlleva pérdidas económicas para los particulares y las empresas que tratan con el defraudador que está detrás de la identidad robada. Así, las empresas y los particulares del Reino Unido pierden alrededor de 4.000 millones de libras esterlinas al año debido a los fraudes relacionados con la identidad.
El informe Cost of Data Breaches (Coste de las violaciones de datos) presenta las pruebas del impacto de una violación de datos:
- El coste medio de una violación de datos en 2022 fue de 4,2 millones de dólares (3,8 millones de libras)
El coste de una violación de datos incluye:
- Costes de reparación de daños directos en los sistemas informáticos
- Daño a la reputación
- Multas por incumplimiento de la normativa
- Daños a los clientes; a menudo, las violaciones de datos pueden dar lugar a demandas colectivas
- Despido de personal y problemas de moral
- Posible filtración de la propiedad intelectual o de los secretos de la empresa.
Qué hacer en caso de filtración de datos
Cualquier organización que sufra una violación de datos debe tener un plan sólido para mitigar el impacto. He aquí algunas ideas y consejos sobre cómo gestionar una filtración de datos:
Mantener la calma
Se ha producido una violación de datos personales: la gestión de la situación es fundamental para contener el suceso y minimizar el impacto. Mantén la calma y resuelve los problemas.
Evaluar los daños
La investigación del suceso es una tarea que requiere tiempo. Debe informar a las autoridades si la violación cumple los criterios necesarios para que sea una violación notificable. Por ejemplo, en el Reino Unido, la Oficina del Comisario de Información (ICO) debe ser informada en un plazo de 72 horas desde que se descubre una violación de datos.
Investigar el incidente
Registra todos los hechos que rodean el incidente a medida que los descubres. Es esencial que registre los acontecimientos e incluya los daños. Este registro puede utilizarse como prueba si el caso acaba en los tribunales.
Contener la brecha
Se puede desarrollar una estrategia de contención de la brecha a medida que se evalúan los daños y se registra lo ocurrido. Las medidas de contención dependen del tipo de incidente que se haya producido. Por ejemplo, un ataque de ransomware requerirá medidas de contención más técnicas que un envío erróneo de un correo electrónico con datos de clientes. El tipo de medidas de contención de los distintos tipos de incidentes debe estar cuidadosamente descrito en una política de seguridad.
Evaluar el riesgo
Evalúe hasta qué punto la filtración de datos ha sido perjudicial para los implicados. Por ejemplo, ¿hay un riesgo de robo de identidad, o alguien podría estar en riesgo de daño físico? Comprender el nivel de riesgo ayudará a guiar a su empresa en una respuesta adecuada.
Responder al incidente
La respuesta a un ciberataque tiene muchos niveles. Incluye la gestión de las consecuencias de la pérdida de datos personales desde el punto de vista de los afectados. También significa que su organización necesita reevaluar su postura de seguridad. Analice en qué han fallado las medidas existentes. ¿Necesita una formación de concienciación sobre la seguridad más regular? ¿Está utilizando el cifrado de forma adecuada? Una respuesta mesurada examinará toda la cadena de eventos del incidente para que pueda reforzar su seguridad corporativa.
Medidas que ayudan en la respuesta a la violación de datos
Una violación de datos puede causar un daño inconmensurable a una organización. Sin embargo, como se ha mencionado anteriormente, el factor humano en la cadena de eventos que conduce a una violación de datos es donde se puede hacer un verdadero cambio.
Los resultados del informe de ISACA demuestran la eficacia de la formación en seguridad. El informe registra que el 80% de las organizaciones afirmaron que la formación en materia de seguridad beneficia positivamente a la concienciación de los empleados.
Utilizando la formación sobre seguridad del personal como medida fundamental en la lucha contra los ciberataques, una organización puede prevenirlos. Si a esta formación en seguridad se le añaden medidas como el cifrado de datos y la autenticación robusta, es mucho menos probable que se produzca una violación de datos maliciosa o accidental.
