¿Qué es una violación de datos? Guía definitiva sobre las brechas de ciberseguridad

Dado el aumento de los riesgos y los costes crecientes de las violaciones de datos, las organizaciones de toda una serie de sectores deben asegurarse de que entienden a qué se enfrentan. Esto es particularmente importante dado que los ciberdelincuentes -ya sea fuera de las organizaciones o dentro de ellas- están explotando las mismas vulnerabilidades que son el resultado de los mismos errores cometidos de una industria a otra. De hecho, el informe 2018 Verizon Data Breach Investigations Report encontró que el 94% de los incidentes de seguridad y el 90% de las violaciones de datos han caído en las mismas nueve categorías desde 2014.

Para los equipos de TI y los CISO, esto significa que es hora de aprender a prevenir una violación de datos e invertir en herramientas para cerrar las brechas de ciberseguridad que hacen posible tales incidentes. Aunque esto significará cosas diferentes para las distintas organizaciones y empresas, lo importante es identificar los riesgos a los que se enfrenta actualmente, situar esos riesgos en el contexto de las violaciones de la ciberseguridad en su sector y en otros, e implementar soluciones que puedan ayudar a proteger sus datos sensibles y su infraestructura digital.

Es importante plantear preguntas claras que le ayuden a montar una defensa adecuada. Por ejemplo, ¿cuáles son los tipos de violaciones de datos? Cuáles son los motivos de las violaciones de datos? ¿Qué productos del mercado pueden ayudar a su equipo a evitar las violaciones de datos? Al comenzar a responder a estas preguntas y trabajar para evaluar las respuestas de la industria, puede acercar a su organización a una estrategia de seguridad de datos que se adapte a sus necesidades.

¿Qué es una brecha de seguridad de datos?

La naturaleza exacta de las brechas de datos variará dependiendo de la industria, el tamaño de la organización y la arquitectura de la red. Sin embargo, en el nivel más básico, una violación de datos se define como el acceso no autorizado a información digital que de otra manera sería privada. Lo que los ciberdelincuentes hacen con esos datos varía en función de su intención, pero lo fundamental es la naturaleza ilícita de su acceso a información personal que no les pertenece. Las violaciones de la seguridad de los datos también pueden incluir la exfiltración de información a la que los malos actores tienen acceso pero no deberían o datos a los que tienen acceso sin la aprobación explícita para difundirlos.

Si te preguntas qué es una violación de datos, cabe destacar que siguen un patrón establecido, aunque hay diferentes tipos de violaciones de datos que analizaremos más adelante. Al evaluar los pasos más comunes que los malos actores pueden dar en su camino para llevar a cabo una violación de datos exitosa, los equipos de ciberseguridad pueden analizar mejor sus propias vulnerabilidades y preparar las defensas para dificultar la penetración exitosa de la mayoría de los cibercriminales.

1. Sonda: Las partes maliciosas comienzan tratando de aprender más sobre su red y su entorno digital más amplio. Pueden sondear sus defensas de ciberseguridad, probar contraseñas, evaluar cómo lanzar un eventual ataque de phishing o buscar software desactualizado sin los últimos parches de seguridad.
2. Ataque inicial: Una vez que tengan claro cuál es la mejor manera de llevar a cabo su ataque, lanzarán una primera oleada, quizás enviando un correo electrónico que intente engañar a los empleados para que hagan clic en un enlace a un sitio web malicioso o corrompiendo una aplicación esencial para los flujos de trabajo de los empleados.
3. Ataque ampliado: Una vez que una vulnerabilidad ha sido explotada de esta manera, los ciberdelincuentes evaluarán sus próximos pasos. Normalmente, esto implicará que aprovechen cualquier punto de apoyo que tengan para atacar el resto de la red y localizar toda la información personal valiosa posible.
4. Levantamiento de datos: debido a que los diferentes tipos de brechas de ciberseguridad ocurren en diferentes escalas de tiempo, los malos actores pueden intentar exfiltrar la mayor cantidad de datos tan rápido como sea posible o permanecer inactivos hasta que entiendan cuánto pueden obtener.

El tipo exacto de información robada a un ciberdelincuente externo o a un mal actor interno variará de una organización a otra. Sin embargo, el estudio de Verizon descubrió que el 76% de las filtraciones tenían una motivación económica. Puede tratarse de secretos comerciales, información financiera de propiedad exclusiva y registros gubernamentales sensibles, o puede centrarse en el robo de datos personales de los clientes -como ha ocurrido con las brechas publicitadas de Facebook, Yahoo y Uber- que los ciberdelincuentes podrían utilizar para su propio beneficio. Y es crucial saber cómo prevenir las violaciones de seguridad en la atención sanitaria para las entidades regidas por la HIPAA, ya que los pacientes podrían ver sus datos de salud en peligro.

¿Cuáles son los principales tipos de violaciones de seguridad de datos?

Como se ha explicado anteriormente, hay muchas advertencias cuando se trata de discutir cómo evitar las violaciones de datos. La naturaleza exacta de un asalto dependerá de las vulnerabilidades específicas de una organización y de lo que un determinado ciberdelincuente pretenda hacer con la información que robe.

Dicho esto, hay varios tipos principales de violaciones de datos. Entre ellas se encuentran el error humano básico, los ciberataques que van desde el phishing y el malware hasta el ransomware y los ataques a las contraseñas, y los asaltos realizados deliberadamente por personas con información privilegiada.

• Error humano: Las violaciones de la seguridad de los datos causadas por errores humanos son, como la categoría implica, accidentales. Por ejemplo, los equipos de TI pueden exponer inadvertidamente información personal de los clientes (como números de tarjetas de crédito, credenciales de inicio de sesión y direcciones de correo electrónico) al desconfigurar los servidores, o los empleados pueden ser presa de ataques de ingeniería social. Este tipo de ataques intenta engañar a los miembros del equipo de una organización para que hagan clic en enlaces maliciosos o descarguen archivos aparentemente seguros. Según CompTIA, más de la mitad de las violaciones de datos son el resultado de un error humano, lo que hace que esta categoría sea una de las más importantes a resolver.

• Pérdida de dispositivos: Además, la pérdida de dispositivos debido a un olvido personal o a un simple robo puede suponer un gran riesgo para la seguridad. Las personas pueden ser descuidadas y dejar atrás teléfonos inteligentes, ordenadores portátiles, tabletas o memorias USB, dispositivos con información de propiedad o acceso sin restricciones a su red. También es posible que no presten la debida atención a esos dispositivos y den a los malos actores la oportunidad de robarlos cuando no los cuidan. En cualquiera de las dos situaciones, los delincuentes pueden saltarse los protocolos de seguridad de un determinado dispositivo y acceder a información sensible.

• Ciberataque: La siguiente categoría, el ciberataque, está comprensiblemente en primera línea de la conversación sobre seguridad de datos. Con el coste de la ciberdelincuencia superando los 600.000 millones de dólares en todo el mundo, las organizaciones están preocupadas por las amenazas que suponen los malos actores que intentan burlar sus defensas. Para ello, los ciberdelincuentes pueden desplegar malware para infectar los sistemas, phishing para acceder a través de los usuarios de la red o ransomware para extorsionar a las empresas tras robar información valiosa. Aunque las vulnerabilidades subyacentes explotadas durante estos ataques difieren -el malware puede depender de aplicaciones que no han sido actualizadas correctamente, mientras que el phishing se basa en un error humano-, la intención concertada y nefasta de los ataques sigue siendo la misma.

• Brechas internas: Por último, las violaciones internas de la seguridad de los datos que no son accidentales son una amenaza real. Los empleados descontentos, los empleados que sospechan que están a punto de ser despedidos o los empleados despedidos cuyas credenciales, inadvertidamente, aún no han sido revocadas, pueden exfiltrar información a la que tienen acceso sin permiso para difundirla. Aunque puede haber cualquier número de razones por las que decidan intentar un ataque como este, desde la extorsión hasta el comercio en el mercado negro, las organizaciones deben recordar que las brechas que vienen desde dentro a menudo no son causadas sólo por un error humano.

Mejores prácticas: Cómo prevenir una brecha de seguridad de datos

Para los equipos de TI, defender a las organizaciones de un conjunto tan diverso de amenazas es desalentador. Es necesario saber cómo prevenir una filtración de datos y qué pasos son los componentes esenciales de cualquier defensa de ciberseguridad más amplia. Tradicionalmente, el ciclo de vida de la violación de datos incluye cinco etapas clave: descubrir, detectar, priorizar, remediar y gestionar. Sin embargo, estas etapas no son pasos únicos. Por el contrario, deben ser componentes continuos de una operación de prevención de violaciones de datos durante todo el día.

1. Descubrimiento: Durante la fase de descubrimiento, los profesionales de la seguridad deben trabajar con la información sensible para identificar cualquier dato desprotegido en reposo. Este tipo de información es un objetivo fácil para los malos actores tanto dentro como fuera de su organización, por lo que es vital tomar medidas para asegurarla. Puede comenzar este proceso revisando qué personas internas tienen acceso a qué datos y cambiando las autorizaciones para asegurarse de que sólo pueden trabajar con esos datos quienes lo necesitan.
2. Detección: A continuación viene la detección. En esta etapa, los profesionales de TI deben vigilar las amenazas de seguridad que pueden proporcionar a los ciberdelincuentes puntos de entrada fáciles en su red. Sin este tipo de vigilancia, puede ser sorprendentemente fácil para los malos actores acceder y exfiltrar sus datos. Por ejemplo, si las principales aplicaciones no han sido actualizadas con los últimos parches de seguridad, los malos actores pueden explotar fácilmente esas vulnerabilidades para acceder a su red. Revisar regularmente las actualizaciones pendientes es, de esta manera, esencial.
3. Priorización: Durante la fase de priorización, es importante clasificar los activos de riesgo para asegurar las aperturas de ciberseguridad más evidentes. Al aprovechar la inteligencia combinada de la información de seguridad y las operaciones de datos para identificar dónde podrían atacar su red los malos actores, su equipo puede cerrar las brechas y proteger mejor su organización. Para lograr esto, los profesionales de la seguridad tendrán que realizar auditorías para entender lo que necesita ser priorizado.
4. Remediación: Con la remediación, trabajará para resolver las amenazas a la seguridad de los datos que ha identificado y priorizado durante los pasos anteriores. Como se ha explicado anteriormente, esto podría implicar la actualización de las aplicaciones con los últimos parches de seguridad. También podría requerir que cifre la información sensible para controlar el acceso a la misma, que la elimine por completo de su red o que revise las autorizaciones y los permisos de los usuarios en toda la organización.
5. Gestión: Por último, los profesionales de TI deben gestionar este proceso de forma estratégica y eficaz. Tomar el control del ciclo de vida de la prevención de la filtración de datos y hacer que funcione para su organización requerirá soluciones escalables que aprovechen los datos útiles de toda su red y los conviertan en información procesable. Como ya se ha dicho, este proceso es continuo, más que un proyecto con un punto final determinado. Merece la pena invertir en herramientas que faciliten a los equipos de ciberseguridad la supervisión de su infraestructura digital y la resolución de posibles amenazas.

¿Cuáles son las mejores herramientas para prevenir una filtración de datos?

Prevenir una filtración de información sensible es una tarea esencial para los equipos de TI y los profesionales de la ciberseguridad, aunque sea un reto. Dado el aumento de la ciberdelincuencia avanzada en todo el mundo y la proliferación de nuevas tecnologías y comportamientos digitales como el IoT y el BYOD, respectivamente, asegurar la información sensible a través de empresas dispersas requiere soluciones sofisticadas con capacidades de próxima generación para ayudar a apoyar su estrategia de ciberseguridad organizacional.

Los siguientes son algunos tipos comunes de software de seguridad diseñados para ayudarle a proteger su negocio de las violaciones de datos sensibles:

• Control de acceso: Es importante tener una herramienta para gestionar los derechos de acceso y ayudar a delegar los permisos adecuados a los empleados. El software de control de acceso proporciona una seguridad básica y esencial para las empresas, ya que permite al departamento de TI supervisar quién tiene acceso a determinada información y modificar más fácilmente los permisos según sea necesario. Una plantilla configurable y basada en roles ayuda a garantizar que los equipos de TI puedan asignar automáticamente lo que su empresa considera que es la cantidad adecuada de niveles de permiso según el rol del trabajo. En algunos casos, este tipo de software puede ayudarle a auditar rastros y generar informes de cumplimiento.
  Si bien contar con un control de acceso eficaz es un buen paso para prevenir los problemas de seguridad relacionados con las cuentas de usuario, disponer de una solución para supervisar los datos expuestos en las infracciones también puede ayudarle a estar al tanto de las credenciales potencialmente comprometidas. El uso de una herramienta específica que combine la automatización con la inteligencia humana para supervisar la búsqueda y la señalización de datos de infracciones procedentes de fuentes públicas y no públicas puede reducir el riesgo y ayudar a prevenir la toma de cuentas.
• SIEM: el software de gestión de eventos e información de seguridad (SIEM) combina la gestión de información de seguridad (SIM) y la gestión de eventos de seguridad (SEM) para obtener una solución más completa. El objetivo principal de una herramienta SIEM es la gestión de registros, que implica la recopilación y el almacenamiento de mensajes de registro, y el análisis y la elaboración de informes sobre los datos de registro. El software también supervisa las alertas de seguridad en tiempo real y, en algunos casos, puede resolver automáticamente las amenazas típicas. El departamento de TI también puede utilizar la herramienta SIEM para ver y actuar sobre las amenazas actuales y revisar los datos históricos de amenazas pasadas.
• Antivirus: El software de seguridad antivirus puede ayudar a proteger contra las amenazas externas y ayudarle a identificar y eliminar las amenazas que ya se han infiltrado en sus defensas. Idealmente, las herramientas antivirus pueden ayudar a protegerle de problemas como troyanos, gusanos, adware, spyware, ransomware y todo tipo de actividades maliciosas. Una herramienta antivirus robusta debe hacer frente a una serie de estas amenazas y proporcionar una visibilidad completa de los ciberataques.

Independientemente del tipo de herramientas de gestión de la seguridad informática que implemente, asegúrese de que sus características son robustas. Las plataformas deben venir con actualizaciones y parches automáticos para garantizar la fiabilidad. Asegúrese de que el software tiene en cuenta el cifrado de datos, si es pertinente. Además, busque una herramienta que coteje las amenazas potenciales con una base de datos actualizada de amenazas globales conocidas. Los nuevos ciberataques diseñados para evitar los métodos de detección tradicionales pueden propagarse con increíble rapidez, y su solución de seguridad debe «evolucionar» continuamente para ir un paso por delante.

En general, si busca proteger a su organización contra una serie de violaciones de datos, es crucial evaluar las amenazas potenciales, comprender cómo podría producirse un ataque y elegir herramientas potentes y de calidad empresarial diseñadas para proteger completamente las redes, los servidores y los datos sensibles.