Una violación de datos suele producirse cuando un atacante no autorizado accede a una base de datos segura que contiene información sensible, protegida o confidencial.

Hay multitud de razones por las que los piratas informáticos quieren hacerse con datos confidenciales, pero la mayoría de las veces todo se reduce al dinero. La ciberdelincuencia es un negocio lucrativo y nuestros datos pueden utilizarse para cometer un fraude de identidad o venderse por una buena suma en la web oscura.

Una violación de datos también puede producirse accidentalmente por la pérdida de un ordenador portátil, la pérdida de documentos o el envío de un correo electrónico a la persona equivocada, pero los ataques dirigidos suelen llevarse a cabo de alguna de las siguientes formas:

  • Explotar las vulnerabilidades del sistema – Los piratas informáticos suelen investigar y llevar a cabo un reconocimiento completo de una empresa antes de lanzar un ataque. Explorarán metódicamente una red en busca de cualquier punto débil en la seguridad y en cuanto localicen un área que explotar, lanzarán un ataque dirigido para infiltrarse en la red.
  • Ingeniería social – En lugar de utilizar los ataques de piratería tradicionales, los ciberdelincuentes se aprovechan de nuestra naturaleza humana confiada para engañarnos y hacer que incumplamos las prácticas de seguridad habituales. Este tipo de ataques ha crecido en frecuencia y está demostrando ser una forma muy exitosa para que los hackers obtengan acceso no autorizado a redes informáticas y datos sensibles.

Los métodos más utilizados incluyen:

Phishing – El phishing sigue siendo el ataque de ingeniería social más popular debido a su elevada tasa de éxito. El 72% de las violaciones de datos están relacionadas con la recepción de correos electrónicos de phishing por parte de los empleados y los atacantes suelen hacerse pasar por una empresa legítima para engañar a un empleado y conseguir que revele información confidencial.

Malware, virus yspyware- El malware, los virus y el spyware representan el 33% de todas las violaciones de datos. Se instalan en un ordenador cuando un usuario hace clic en un enlace, descarga un archivo adjunto malicioso o abre un programa de software fraudulento. Una vez instalado, los atacantes pueden utilizar el malware para espiar las actividades en línea, robar información personal y financiera o el dispositivo puede utilizarse para piratear otros sistemas.

ContraseñasLas contraseñas débiles e inseguras constituyen una vía fácil para que los piratas informáticos accedan a una red. Los piratas informáticos más sofisticados utilizarán incluso software especializado que les permita probar miles de posibles combinaciones de nombre de usuario y contraseña.

Prevenir una filtración de datos

Las organizaciones necesitan desarrollar una estrategia de seguridad sólida y completa que proteja los datos sensibles, reduzca las amenazas y garantice que la reputación de una organización permanezca intacta.

Para reducir las posibilidades de que se produzca una filtración de datos, hay una serie de medidas que las organizaciones deben adoptar:

  • Actualice el software de seguridad – El software de seguridad debe actualizarse periódicamente para evitar que los piratas informáticos accedan a las redes a través de las vulnerabilidades de los sistemas más antiguos y obsoletos. Así es exactamente como los piratas informáticos pudieron acceder a los datos de más de 143 millones de estadounidenses en la infame filtración de datos de Equifax en 2017. Dos meses antes de la filtración se puso a disposición una solución para esta vulnerabilidad, pero la empresa no actualizó su software.
  • Auditorías periódicas y evaluaciones de riesgos – El RGPD especifica que las organizaciones deben realizar auditorías periódicas de las actividades de tratamiento de datos y cumplir una serie de principios de protección de datos que ayudarán a salvaguardarlos. Esto garantizará la existencia de un marco adecuado que mantenga segura la información personal identificable de los clientes y mitigue cualquier riesgo. La implantación de un sistema eficaz de gestión de políticas permitirá a las organizaciones demostrar el cumplimiento de los requisitos legislativos y centrarse eficazmente en las áreas que presentan un mayor riesgo para la seguridad de los datos.
  • Utilice contraseñas seguras – Una de las formas más fáciles que tienen los piratas informáticos de acceder a los sistemas sensibles de la empresa es adivinar las contraseñas. El 70% de las personas utilizan el mismo nombre de usuario y contraseña para todas sus cuentas, por lo que si los piratas informáticos consiguen acceder a una de ellas, tienen vía libre para entrar en todas. Una contraseña segura debe tener entre 8 y 15 caracteres, una mezcla de mayúsculas y minúsculas e incluir números o símbolos. Para mayor seguridad, se puede crear una frase de contraseña, que es una contraseña compuesta por una frase o combinación de palabras. La primera letra de cada palabra formará la base de su contraseña y las letras pueden sustituirse por números y símbolos para añadir otra línea de defensa.
  • Formación del personal – Una seguridad eficaz no es sólo cuestión de tecnología. El 88% de todas las violaciones de datos pueden atribuirse a errores humanos, por lo que es vital que las organizaciones inviertan en una formación de concienciación sobre seguridad de alta calidad que permita al personal reconocer el importante papel que desempeñan en la salvaguarda de los datos sensibles de la empresa. El personal es fundamental para que una organización funcione de forma segura, por lo que es vital que los empleados dispongan de toda la información y los conocimientos necesarios para respaldar la seguridad de la red y los sistemas de información de una empresa.