Halloween está a la vuelta de la esquina, pero las brujas, los duendes y los demonios no son los únicos que causan miedo este mes. Las organizaciones siguen siendo perseguidas por la amenaza del ransomware envenenado, las diabólicas brechas de seguridad y el phishing fantasma. Los temores son razonables si se tiene en cuenta que el coste total anual de la ciberdelincuencia para una empresa ha pasado de 11,7 millones de dólares en 2017 a un récord de 13 millones.
Aunque la concienciación sobre la ciberseguridad debería ser una prioridad durante todo el año, quizá sea oportuno que en octubre se celebre también el Mes Nacional de la Concienciación sobre la Ciberseguridad. La campaña de concienciación pública, de un mes de duración, lanzada por el Departamento de Seguridad Nacional(DHS) de los Estados Unidos, tiene como objetivo concienciar sobre la ciberseguridad.
A medida que 2019 llega a su fin, la proporción de empresas británicas que informan de una brecha ha aumentado y cada día se envían 3.400 millones de correos electrónicos falsos. Este año ya ha sido devastador para miles de organizaciones y personas, con ciberataques que han causado estragos en todo el mundo.
Aquí está nuestra selección de los incidentes cibernéticos más aterradores de 2019, hasta ahora:
Capital One
En marzo de 2019, una filtración de datos en Capital One dio lugar a la exposición de los datos personales de 106 millones de clientes. Estos datos incluían nombres, direcciones, fechas de nacimiento, puntuaciones de crédito, números de la Seguridad Social y números de cuentas bancarias.
Se atribuyó a un error de configuración del servidor la filtración, que fue calificada como "una de las mayores filtraciones de datos de la historia".
Canva
Canva, un servicio de diseño web australiano de alto nivel, sufrió una filtración de su base de datos que supuso la exposición de los datos personales de unos 139 millones de usuarios, incluyendo direcciones de correo electrónico, ubicaciones geográficas, nombres, contraseñas, nombres de usuario y datos financieros.
Los usuarios fueron notificados por haveibeenpwned.com (HIBP) y Firefox Monitor de la brecha de seguridad que se produjo el 24 de mayo de 2019.
First American
No todos los incidentes de seguridad de datos son violaciones. La empresa de seguros inmobiliarios y de títulos, First American, expuso accidentalmente más de 885 millones de documentos confidenciales en línea cuando los datos se almacenaron de forma inadecuada y se hicieron públicos.
La información, que se remonta a 2003, estaba disponible sin ningún tipo de protección y se podía acceder a ella sin siquiera una contraseña si una persona sabía dónde buscar.
Los registros digitales, que incluían números y extractos de cuentas bancarias, registros hipotecarios y fiscales, números de la Seguridad Social, recibos de transacciones bancarias e imágenes de permisos de conducir, se pusieron a disposición de cualquiera en su sitio web. Aunque actualmente no hay pruebas que sugieran que la información fue encontrada o robada, la escala de la violación de datos era un tesoro para cualquier estafador o ladrón de identidad y, por lo tanto, muy valioso.
Quest Diagnostics
En junio, se reveló que la información perteneciente a hasta 11,9 millones de pacientes de Quest Diagnostics había sido comprometida.
AMCA, una empresa asociada a la facturación de cobros, fue la culpable de que un pirata informático pudiera acceder a los sistemas de la empresa, que contenían información sensible sobre cuentas bancarias y datos médicos. Se cree que el incidente fue causado por una vulnerabilidad de seguridad de la cadena de suministro interna.
Ecuador
En septiembre, las autoridades ecuatorianas iniciaron una investigación sobre una filtración de datos en la que se pusieron en línea los datos personales de hasta 20 millones de personas, más que la población del país.
Los datos expuestos incluían información personal como el nombre completo, la fecha de nacimiento, el número del documento nacional de identidad, el número de identificación fiscal, información sobre el empleo y los nombres de los miembros de la familia. También se filtró información financiera, como el estado de las cuentas de los clientes del banco, el saldo y el tipo de crédito.
La base de datos no segura pertenecía a una pequeña empresa de análisis de datos llamada Novaestrat y fue descubierta por los investigadores de seguridad Noam Rotem y Ran Locar de vpnMentor.
La ciberseguridad es un negocio que da miedo
Con unas estadísticas tan alarmantes, no cabe duda de que la ciberseguridad puede ser un asunto aterrador. Nos guste o no, la profunda red oscura está llena de siniestros espías a los que nada les gusta más que engañarle con sus datos, causando una costosa violación de datos y un desastroso daño a su reputación.
Sus empleados son su primera línea de defensa contra la ciberdelincuencia, por lo que es vital que estén equipados con todos los conocimientos y habilidades que necesitan para proteger su organización. Un programa completo de concienciación sobre la ciberseguridad es la mejor manera de educar al personal y crear una cultura que dé prioridad a la seguridad.
Al concienciar al personal sobre la ciberseguridad y comunicarle las devastadoras consecuencias que una violación de datos podría tener en su organización, los empleados entienden mejor cómo reconocer y evitar las posibles amenazas a la ciberseguridad.
Automatizar las campañas de concienciación cibernética
MetaCompliance ha creado un módulo de campaña de concienciación cibernética para automatizar el ciclo de vida de su programa de concienciación de seguridad. Hable con nuestros asesores de concienciación de seguridad sobre cómo podemos ayudar a reducir el tiempo y los recursos necesarios para planificar una campaña de concienciación.