Si cree que las noticias sobre filtraciones de datos son cotidianas, podría estar en lo cierto. O las filtraciones de datos son cada vez más frecuentes, o algo más está ocurriendo en el mundo de la ciberseguridad. ¿Podría ser que las violaciones de datos corporativos y personales parezcan más comunes simplemente porque las leyes de privacidad de datos más estrictas están obligando a informar sobre tales incidentes?
Desde principios de la década de 2000, los legisladores de todo el mundo han introducido leyes que obligan a las empresas y organizaciones a notificar las violaciones de datos a un organismo regulador designado. Hasta entonces, las empresas podían evitar cualquier situación embarazosa "guardando silencio" sobre una violación de datos.
Sin embargo, en 2018, un cambio radical en las leyes de privacidad en América del Norte, Europa y la región de Asia Pacífico significó que cualquier organización que sufriera una violación de datos, de alto riesgo o no, estaría obligada a notificar a las personas afectadas por la violación lo antes posible, y también a informar del incidente a la autoridad reguladora correspondiente.
En Europa, el Reino Unido se apresuró a adoptar el Reglamento General de Protección de Datos (RGPD) el 14 de abril de 2016, y entró en vigor a partir del 25 de mayo de 2018. Como el RGPD es un reglamento, no una directiva, es directamente vinculante y aplicable, pero ofrece flexibilidad para que los Estados miembros ajusten determinados aspectos del reglamento.
Antes del GDPR, el Reino Unido ya contaba con The Data Protection Act de 1998, una ley del Parlamento del Reino Unido diseñada para proteger los datos personales almacenados en ordenadores o en un sistema organizado de archivo en papel. Ahora que el Reino Unido ya no forma parte de la UE, el GDPR ha sido sustituido por la Ley de Protección de Datos del Reino Unido de 2018 (a veces conocida como GDPR del Reino Unido).
La Oficina del Comisionado de Información (ICO) establece que las organizaciones deben informar de una violación notificable en el plazo de 72 horas tras tener conocimiento de la misma.
Mientras tanto, en Estados Unidos, California fue el primer estado en regular la divulgación de las violaciones de datos en 2003, y en 2018, comenzó a actualizar su legislación adoptando el GDPR como modelo para lo que se convertiría en la Ley de Privacidad del Consumidor de California (CCPA).
Todas las leyes nacionales y estatales de protección de la intimidad pueden imponer multas punitivas a las organizaciones que no las cumplan, y algunas leyes otorgan a los individuos el derecho a reclamar daños y perjuicios a través de demandas privadas.
Antes de considerar algunas de las medidas preventivas que se pueden tomar para minimizar el riesgo de una violación de datos, es importante entender cómo puede ocurrir una violación de datos en primer lugar.
¿Cómo se produce una filtración de datos?
Una violación de datos suele producirse cuando un pirata informático consigue acceder a una fuente de datos y extrae información sensible. Originalmente, el término "hacker" se refería a cualquier experto informático que utiliza sus conocimientos técnicos para superar un problema. Pero, aunque "hacker" puede referirse a cualquier programador informático cualificado, el término se ha asociado más comúnmente a alguien que, con sus conocimientos técnicos, utiliza bugs o exploits para entrar en sistemas informáticos.
En muchos casos, un hacker busca robar datos sólo para demostrar que puede hacerlo. Esto puede hacerse accediendo físicamente a un ordenador para robar archivos almacenados localmente, o burlando la seguridad de la red de forma remota. Los hackers suelen seguir los siguientes pasos cuando intentan acceder a un ordenador o a una red de forma remota:
- INVESTIGACIÓN
El hacker busca puntos débiles de seguridad en los sistemas informáticos o en las redes. - ATAQUE A LA ESCENA
El hacker utiliza los puntos débiles de la red, el sistema y las aplicaciones de software para infiltrarse en la red de una empresa. Un ataque social consiste en engañar a un empleado para que dé acceso a la red de la empresa. En estos casos, se engaña a un empleado para que revele sus datos de acceso. También pueden abrir inadvertidamente un archivo adjunto malicioso en un correo electrónico. - EXFILTRACIÓN
Una vez que el hacker consigue acceder a un ordenador, puede proceder a atacar otros dispositivos de la red de la empresa y hacer un "túnel" para acceder a múltiples fuentes de información confidencial. En este punto, el hacker puede descargar los datos.
Hay varias formas en las que un hacker, o más concretamente, un "ciberdelincuente" puede entrar y robar datos confidenciales. Los cinco métodos más comunes son los siguientes:
Los controles de acceso mal configurados o rotos pueden hacer "públicos" archivos y carpetas privados. Por ejemplo, un administrador de red, o alguien con derechos de administrador en la red, puede hacer privada una carpeta que contenga datos confidenciales, como los datos de las tarjetas de crédito de los clientes. Pero si el administrador no hace privadas también las subcarpetas relacionadas, es como si cerraras la puerta de casa pero dejaras una ventana abierta, lo que permitiría a un ladrón entrar y robar tu propiedad.
El spyware es un tipo de malware (software) cuyo objetivo es recopilar información sobre una persona u organización -normalmente sin su conocimiento- que puede enviar dicha información a otra entidad sin el consentimiento del usuario. El spyware también puede introducirse en un ordenador como infección secundaria a través de un troyano como Emotet. Una vez infectado el sistema informático, el programa espía puede enviar todos los datos personales del usuario a los servidores de mando y control (C&C) operados por los ciberdelincuentes.
Una inyección SQL es una técnica de inyección de código, utilizada para atacar aplicaciones basadas en datos, en la que los malintencionados SQL Las sentencias se insertan en un campo de entrada de datos para su ejecución (por ejemplo, para volcar el contenido de la base de datos al atacante). La inyección SQL se conoce sobre todo como un ataque vector para sitios web, pero también puede utilizarse para atacar cualquier tipo de base de datos SQL.
Los ataques de inyección SQL permiten a los atacantes suplantar la identidad, manipular los datos existentes, anular las transacciones, cambiar los saldos, permitir la divulgación completa de todos los datos del sistema, destruir los datos o hacerlos inaccesibles y convertirse en administradores del servidor de la base de datos.
La inyección SQL es uno de los ataques menos sofisticados de llevar a cabo, ya que requiere unos conocimientos técnicos mínimos. Los ciberdelincuentes pueden incluso utilizar programas automatizados para llevar a cabo los ataques por ellos.
Un ataque de explotación utiliza errores preexistentes u otras vulnerabilidades para obtener acceso no autorizado a un ordenador o servidor y a sus datos. Entre los programas informáticos que se suelen explotar se encuentran el sistema operativo del ordenador, los navegadores web y las aplicaciones de Microsoft Office.
El phishing es el intento fraudulento de obtener información sensible, como nombres de usuario, contraseñas y datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza en una comunicación electrónica. Normalmente lo llevan a cabo falsificación del correo electrónico o de mensajería instantánea, a menudo dirige a los usuarios a introducir información personal en un sitio web falso que coincide con la apariencia del sitio web legítimo.
El phishing es un ejemplo de ingeniería social técnicas que se utilizan para engañar a los usuarios, que a menudo son atraídos por comunicaciones que pretenden ser de partes de confianza, como sitios web sociales, sitios de subastas, bancos, procesadores de pagos en línea o administradores de TI.
Normalmente, un ataque de phishing comienza con un correo electrónico falso que parece proceder de alguien que el usuario conoce, o de una empresa con la que el usuario hace negocios. El correo electrónico suele contener un lenguaje exigente que requiere que el usuario realice algún tipo de acción, como verificar un pago o unas compras que el usuario nunca realizó. Al hacer clic en el enlace proporcionado, el usuario es dirigido a una página de inicio de sesión maliciosa que captura el nombre de usuario y la contraseña del usuario. Sin la autenticación multifactor (MFA) habilitada, los ciberdelincuentes tienen todo lo que necesitan para acceder a la cuenta del usuario.
Proteja su empresa y reduzca el riesgo de filtración de datos
Tiene todo el sentido del mundo ser diligente y proactivo en lo que respecta a la seguridad de los datos, ya que las consecuencias de una filtración de datos pueden ser enormes. Entonces, ¿cómo puede evitarse una filtración de datos?
Los piratas informáticos profesionales son cada vez más hábiles a la hora de acceder a ordenadores y redes. Sin embargo, hay ciertas salvaguardias que se pueden aplicar para minimizar los riesgos potenciales.
Tras una evaluación de riesgos, la empresa de seguridad en Internet Malwarebytes recomienda las siguientes medidas:
- Practicar la segmentación de datos. En una red de datos plana, los ciberdelincuentes tienen libertad para moverse por su red y robar cada byte de datos valiosos. Al poner en marcha la segmentación de datos, se frena a los delincuentes, ganando tiempo extra durante un ataque y limitando los datos comprometidos. La segmentación de datos también ayuda con nuestro siguiente consejo.
- Aplicar el principio del mínimo privilegio (PolP). PolP significa que cada cuenta de usuario sólo tiene el acceso suficiente para hacer su trabajo y nada más. Si una cuenta de usuario se ve comprometida, los ciberdelincuentes no tendrán acceso a toda la red.
- Invierta en un buen programa de ciberseguridad. Si tiene la mala suerte de hacer clic en un enlace malicioso o de abrir un archivo adjunto malicioso, un buen programa de ciberseguridad podrá detectar la amenaza, detener la descarga y evitar que el malware entre en su red.
El principal objetivo de las violaciones de datos es el sector comercial y las grandes organizaciones. Pero es perfectamente natural que el público en general se preocupe, no solo por sus datos personales en poder de las organizaciones con las que trata, sino también por los datos almacenados en sus propios ordenadores y dispositivos conectados.
¿Qué deben hacer los particulares para proteger sus datos personales y reducir riesgos?
Tanto si sus datos personales en poder de una organización se han visto comprometidos como si le preocupan los datos que tiene almacenados en sus propios dispositivos, las siguientes directrices de Malwarebytes son dignos de mención:
- Restablecer la contraseña para la cuenta comprometida y cualquier otra cuenta que comparta la misma contraseña. En realidad, no deberías reutilizar las contraseñas en todos los sitios. Es cierto que recordar una contraseña alfanumérica única para todas tus cuentas y servicios en línea es imposible, a menos que seas bueno con la mnemotecnia o, mejor aún, que tengas un disco duro implantado en tu cabeza como Johnny Mnemonic. Para todos los demás, considere la posibilidad de utilizar un gestor de contraseñas como 1Password. Los gestores de contraseñas tienen la ventaja añadida de alertarte cuando aterrizas en un sitio web falsificado. Aunque esa página de inicio de sesión de Google o Facebook pueda parecer real, tu gestor de contraseñas no reconocerá la URL y no rellenará tu nombre de usuario y contraseña por ti.
- Controle sus cuentas de crédito. Busca cualquier actividad sospechosa. Recuerde que puede obtener un informe de crédito gratuito, uno de cada una de las tres principales agencias de crédito, cada año en annualcreditreport.com. Este es el único sitio autorizado por la Comisión Federal de Comercio de EE.UU. para obtener informes de crédito gratuitos.
- Considere la posibilidad de congelar su crédito. La congelación del crédito dificulta la apertura de una línea de crédito a su nombre al restringir el acceso a su informe crediticio. Puede levantar o detener la congelación en cualquier momento. El único inconveniente es que debe ponerse en contacto con cada oficina de crédito por separado para promulgar o eliminar la congelación.
- Vigila tu bandeja de entrada. Los ciberdelincuentes oportunistas saben que millones de víctimas de cualquier violación de datos esperan algún tipo de comunicación sobre las cuentas hackeadas. Estos estafadores aprovecharán la oportunidad para enviar mensajes de correo electrónico de phishing que parezcan provenir de esas cuentas pirateadas, en un intento de conseguir que usted facilite información personal. Lea nuestros consejos sobre cómo detectar un correo electrónico de phishing.
- Considere los servicios de control de crédito. ¿Debe inscribirse? A menudo, tras una filtración de datos, las empresas y organizaciones afectadas ofrecen a las víctimas servicios gratuitos de supervisión de robos de identidad. Vale la pena señalar que servicios como LifeLock y otros le notificarán si alguien abre una línea de crédito a su nombre, pero no pueden proteger sus datos de ser robados en primer lugar. En resumen, si el servicio es gratuito, inscríbase. Si no, piénsatelo dos veces.
- Utilice la autenticación multifactor (MFA). La autenticación de dos factores es la forma más sencilla de AMF, lo que significa que necesitas tu contraseña y otra forma de autenticación para demostrar que eres quien dices ser y no un ciberdelincuente que intenta piratear tu cuenta. Por ejemplo, un sitio web puede pedirte que introduzcas tus credenciales de inicio de sesión y que introduzcas otro código de autenticación enviado por mensaje de texto a tu teléfono.
¿Sabías que...?
Aproximadamente el 90% de todas las violaciones de datos se atribuyen a ataques de phishing. La semana que viene publicaremos un artículo sobre cómo identificar una posible estafa de phishing y qué puede hacer para proteger su empresa.
NOTA: Este artículo se facilita únicamente con fines informativos y no constituye asesoramiento jurídico o profesional. El Grupo de Privacidad de Datos recomienda que las empresas contraten los servicios de un profesional con experiencia en privacidad de datos y/o de un abogado especializado en privacidad de datos a la hora de prepararse para el cumplimiento de cualquier legislación sobre protección de datos y privacidad.
Fuentes: Malwarebytes, TrendMicro, Wikipedia