La violación de datos: ¿Quién lleva la lata?
Publicado el: 15 Nov 2022
Última modificación: 24 Jul 2025
Las estadísticas sobre las violaciones de datos ofrecen una lectura sobria: si lee este blog con regularidad, habrá observado que las violaciones de datos son habituales y que a menudo comienzan con un ataque de ingeniería social incrementado con phishing.
En 2021, Cisco registró que el 90% de las violaciones de datos comienzan con phishing, la mayoría de estas violaciones se basan en spear-phishing dirigido. Un ciberataque o incluso un accidente que provoque una pérdida de datos tiene muchas consecuencias. Pero, ¿qué ocurre después de que se produzca una filtración de datos? Por lo general, alguien debe asumir la responsabilidad de dejar la puerta abierta a los ciberdelincuentes, así que ¿quién carga con el muerto cuando se produce una violación de datos?
Las personas implicadas en una filtración de datos
Una violación de datos tiene un impacto de gran alcance en las personas de una organización. Un ciberataque afecta al corazón mismo de una empresa, desde los altos mandos hasta el empleado de planta:
El director general
Un director general desempeña un papel integral en cómo se ve la ciberseguridad en la organización. Una cultura de seguridad viene de arriba abajo, y una violación de datos refleja una grieta en esta cultura. Los directores generales también están en el punto de mira de los ciberdelincuentes, con estafas como Fraude del director general y Compromiso del correo electrónico empresarial (CEO) Utilización de la autoridad de un director general para cometer fraude.
El analista Gartner resume la situación prediciendo que, para 2024, el 75% de los directores generales podrían ser personalmente responsables de las violaciones de datos ciberfísicos si su empresa no se centra en la ciberseguridad o no invierte lo suficiente en ella. Cuando se produce una violación de datos, un CEO debe estar preparado para gestionar la situación y mitigar su impacto en la empresa.
El Jefe de Seguridad o CISO (Chief Information Security Officer)
El jefe de seguridad es el primer punto de llamada obvio cuando algo relacionado con la seguridad va mal. En un Tripwire, el 21% de los responsables de la toma de decisiones de TI culparían al CISO de una violación de la seguridad. Esto no es sorprendente, ya que el trabajo de un CISO implica la toma de decisiones sobre las mejores prácticas de seguridad y la supervisión de su aplicación.
Así pues, cuando se produzca una filtración de datos, el CISO o jefe de seguridad será quien esté sobre el terreno recogiendo los pedazos junto a su equipo.
El equipo de seguridad o de TI
Los miembros de los equipos informáticos o de seguridad están en la vanguardia de una violación de datos junto a sus responsables. Es su trabajo identificar y responder a una violación de datos. Esto se hace internamente o a través de un proveedor externo de servicios de seguridad gestionados. Sin embargo, el tiempo necesario para identificar una violación puede ser largo.
Por ejemplo, un La encuesta de IBM reveló que se tarda, por término medio, 212 días en detectar una brecha y 75 días en contenerla. Eso supone mucho trabajo para el personal de TI y de seguridad, lo que les aparta del trabajo en proyectos fundamentales.
Responsable de cumplimiento
El responsable del cumplimiento está sometido a una enorme presión tras una violación de datos. Su trabajo consiste en garantizar el cumplimiento de la normativa tras la violación. Esto significa tratar con el supervisor de la normativa para notificarle las métricas de la violación de datos. Dependiendo del impacto de la violación y de la ley, esto puede ser en las 24 horas siguientes al descubrimiento de la violación.
Los responsables del cumplimiento también deben ocuparse de las consecuencias de largo alcance de una violación de datos, incluida la gestión de las notificaciones a los clientes y a la prensa. Por último, será tarea del responsable de cumplimiento trabajar con el CISO y otras personas para rectificar la situación que provocó la violación de datos y evitar que vuelva a producirse.
Marketing y relaciones públicas
El marketing puede parecer totalmente ajeno a la respuesta a una violación de datos, pero el marketing y las relaciones públicas deben desempeñar un papel cada vez más importante. La vergüenza y la exposición perjudicial de la marca son a menudo consecuencia de una violación de datos.
Un informe sobre los costes financieros de un ciberataque reveló que el 71% de los directores de marketing estaban convencidos de que el mayor coste de un incidente de seguridad era la pérdida de valor de la marca. Además, una encuesta de Okta y YouGov reveló que el 39% de los empleados británicos ha perdido la confianza en una empresa que ha hecho un uso indebido de sus datos.
La confianza se rompe cuando se produce una violación de datos. Esto afecta materialmente al marketing y a las relaciones públicas de una empresa. Los responsables de marketing de una organización deben trabajar para resolver el impacto de una violación de datos en la marca de una organización.
Empleados
La responsabilidad directa de la prevención y las secuelas de una violación de datos puede recaer en la alta dirección. Sin embargo, los empleados también se ven afectados: desde una caída de la moral a un aumento de los niveles de estrés, pasando por medidas disciplinarias por la exposición accidental de datos, los empleados forman parte del espectro de responsabilidad más amplio de una violación de datos. Por lo tanto, los empleados deben formar parte de una cultura de seguridad general que les capacite.
Consecuencias reales de la filtración de datos
El impacto de una violación de datos no sólo incluye consecuencias financieras; los empleados se ven materialmente afectados, a menudo pierden su trabajo, y algunos pueden incluso acabar en la cárcel. Por ejemplo, una Un informe de 2018 de Shred-IT reveló que el 30% de las empresas británicas que sufrieron una violación de datos rescindieron el contrato de un empleado por negligencia.
Algunos ejemplos de recientes violaciones de datos que muestran el impacto de largo alcance en una organización y quién acaba cargando con la lata, incluyen:
Uber: la empresa de alquiler de coches sufrió una violación de datos en 2016 que afectó a 57 millones de clientes. Sin embargo, el jefe de seguridad (Joe Sullivan) de Uber no reveló la violación. En su lugar, el jefe de seguridad supuestamente dijo a su personal que mantuviera el conocimiento de la brecha «estrictamente controlado» y que presentara el incidente como parte de un programa de recompensas por fallos. Sullivan llegó incluso a pagar a los hackers 100.000 dólares como parte de la ‘recompensa por fallos’, aceptando los hackers firmar acuerdos de no divulgación como parte del trato.
El resultado de todo este subterfugio ha devastado tanto a Uber como al jefe de seguridad. Sullivan fue recientemente declarado culpable de no revelar la infracción y se enfrenta a un máximo de cinco años de prisión por obstrucción y a tres años por un cargo de encubrimiento. En cuanto a Uber, la empresa fue multada con 148 millones de dólares (130 millones de libras) en 2018.
DWP (Departamento de Trabajo y Pensiones): en 2010, 26 empleados fueron despedidos por «husmear en datos personales». Los datos estaban almacenados en el Sistema de Información al Cliente (SIC) del Departamento de Trabajo y Pensiones (DWP). Se culpó de los problemas a un ‘régimen de seguridad laxo’ con procedimientos deficientes para el seguimiento de notificaciones y alertas.
Singhealth: una violación de datos en Singhealth en 2018 afectó a 1,5 millones de pacientes. Como resultado, dos empleados, el jefe del equipo Citrix y el responsable de la respuesta a incidentes de seguridad, fueron declarados negligentes y, en consecuencia, despedidos. Además, se impusieron multas personales a cinco ejecutivos de alta dirección, incluido el director general.
Cómo evitar las consecuencias personales de una filtración de datos
Los datos son asunto de todos, y la seguridad de los datos debería ser una parte intrínseca de su estrategia de seguridad. Esto es posible si una empresa se esfuerza por desarrollar una cultura que dé prioridad a la seguridad y que impregne toda la organización. Como se muestra aquí, todos compartimos las consecuencias de una violación de datos.
Sin embargo, esas consecuencias pueden controlarse creando una cultura de seguridad en la que todos los miembros de la organización reciban formación sobre cómo actúan los ciberdelincuentes, su papel a la hora de mantener los datos a salvo y cómo detectar los intentos de suplantación de identidad.
