Dado que las empresas y los particulares de todo el mundo manejan constantemente información sensible, incluso un pequeño indicio de fuga de datos puede plantear riesgos importantes. Pero, ¿qué es una fuga de datos? Los términos "fuga de datos" y "violación de datos" suelen utilizarse indistintamente, pero técnicamente describen situaciones diferentes.

8 pasos para evitar filtraciones de datos

  1. Imponga controles de acceso estrictos.
  2. Actualización y parcheado periódicos del software
  3. Cifrar datos
  4. Sistemas de auditoría y control
  5. Formar a los empleados 
  6. Proteger el entorno de nube
  7. Implantar una solución DLP
  8. Desarrollar planes de respuesta a incidentes

¿Cuál es la diferencia entre una fuga de datos y una violación de datos?

La diferencia clave es la intención. 

A fuga de datos consiste en dejar escapar información sensible, muchas veces por culpa de un protocolo de seguridad deficiente o un error humano. No es necesario que se produzca de forma malintencionada. Un buen ejemplo sería un cubo de almacenamiento en la nube mal configurado, que puede causar una fuga de datos donde los archivos sensibles son accesibles con un enlace a cualquiera.

A violación de datos en general implicaría el acceso no autorizado a datos sensibles a través de medios maliciosos. Un método habitual de pirateo es la intrusión activa en una red, servidor o base de datos utilizando vulnerabilidades para robar, corromper o manipular datos.

Independientemente de cuál sea el problema, la aplicación de medidas de seguridad sólidas, la supervisión periódica de las vulnerabilidades y el fomento de la concienciación en materia de ciberseguridad son pasos esenciales para reducir las posibilidades de que se produzcan filtraciones o violaciones de datos. La prevención siempre es más eficaz que afrontar las consecuencias a posteriori.

¿Busca una solución de seguridad de aplicaciones basada en IA para proteger su negocio? Eche un vistazo a XTD.

¿Cómo puede producirse una filtración de datos?

Las fugas de datos suelen ser accidentales y se deben a vulnerabilidades en la forma de almacenar los datos o de compartirlos. Las siguientes son algunas de las formas en que pueden producirse las fugas de datos.

Fugas accidentales

Una de las formas más comunes de fuga de datos es la exposición accidental de datos. Una fuga de datos se produce cuando información sensible queda expuesta inadvertidamente debido a errores de los empleados, desconfiguraciones del sistema o prácticas de seguridad deficientes. Por ejemplo, los empleados pueden transferir datos sensibles a través de canales menos seguros, como cuentas de correo electrónico personales, o almacenarlos en plataformas de almacenamiento en la nube no seguras.

Desconfiguraciones de la nube

La mayoría de las veces, las filtraciones de datos se producen porque algunas empresas no configuran correctamente sus ajustes de almacenamiento en la nube y, como resultado, las bases de datos acaban expuestas públicamente.

Software sin parchear

Siempre habrá parches y vulnerabilidades que surjan en el lado del software de una empresa, y dichos parches tardan bastante tiempo en implementarse. Una vez que los piratas informáticos encuentran esos puntos débiles, los utilizan en su beneficio para obtener acceso no autorizado a los sistemas.

Fugas intencionadas

La tendencia a la fuga de datos suele ser perpetrada por amenazas internas. Normalmente ocurre cuando empleados internos o contratistas exponen o roban intencionadamente información sensible. Los motivos detrás de estas filtraciones pueden ser variados; puede tratarse de un beneficio económico, de una necesidad de venganza o incluso de una denuncia. Las amenazas internas suelen ser difíciles de defender porque los atacantes en cuestión ya tienen acceso a los sistemas de la empresa.

Causas comunes de las violaciones de datos

Las violaciones de datos son el resultado de una acción maliciosa directa, normalmente dirigida. Las filtraciones de datos pueden dar lugar a violaciones porque la información expuesta puede atraer a los atacantes.

Phishing

Es el más antiguo de los trucos, que normalmente promete a individuos desprevenidos revelar información sensible a cambio de algo que puede hacerse a través de correos electrónicos de spam o sitios web falsos. En el momento en que un atacante consigue acceder a las credenciales de inicio de sesión o a cualquier otra información útil desde allí, puede aprovecharse de ello.

Contraseñas deficientes

Las contraseñas deficientes o débiles siguen siendo la norma para la mayoría de los usuarios. Un atacante utiliza aplicaciones o herramientas automatizadas para "forzar" una cuenta con una contraseña común con la que puede infiltrarse en sistemas sensibles o en información personal.

¿Cuál es el objetivo de una violación de datos?

La información objeto de violación suele depender de los objetivos de los atacantes. La mayoría de la información atacada incluye:

Información personal identificable (IPI)

Información como números de la Seguridad Social, direcciones, números de teléfono y fechas de nacimiento, que tienen valor monetario en el mercado negro o se utilizan en robos de identidad.

Información financiera

Números de tarjetas de crédito junto con información de cuentas bancarias y un historial de todas las transacciones realizadas, ya que esto es lo que normalmente se busca para las transacciones financieras fraudulentas.

Propiedad intelectual

Información privada de las empresas que, si la obtuviera un competidor, sería una gran herramienta en sus manos. Puede ir desde planos de productos a contratos confidenciales.

Credenciales de acceso

La mayoría de las veces, en los ciberataques, tras conseguir los nombres de usuario y las contraseñas, los ciberatacantes piratean sistemas más seguros o los venden a otros para que los utilicen.

¿Qué daños pueden causar las fugas y filtraciones de datos?

Así pues, las fugas y violaciones de datos pueden estar rodeadas de graves consecuencias tanto a nivel individual como organizativo.

Daños a la reputación

Mientras el cliente confía a una empresa la custodia de la información, ésta se rompe en mil pedazos debido a una filtración. El resultado es la pérdida de negocio a largo plazo y una reputación dañada.

Pérdidas financieras

Además de las cuantiosas multas por incumplimiento de la legislación sobre protección de datos, las empresas suelen verse implicadas en fuertes gastos de control de daños y restauración. El coste medio de una violación de datos asciende a millones de dólares.

Consecuencias jurídicas

Hoy en día, la mayoría de los países desarrollados tienen leyes de protección de datos muy estrictas, como la GDPR en Europa, entre otras. En ese caso, cuando se ha producido una violación, se pueden presentar demandas contra la empresa, e incluso podría ser considerada responsable de pagar sanciones sin precedentes si se descubre que sus medidas de seguridad son inadecuadas.

Perturbación del negocio

Normalmente, las organizaciones se ven obligadas a cerrar sistemas o servicios en el curso de una investigación. Debido a este factor, suele haber una pérdida de tiempo y de ingresos cuando se cierran los sistemas para investigar después de la mayoría de las infracciones.

Normativa gubernamental para evitar la fuga de datos

Las normativas de protección de datos han sido impuestas por gobiernos de todo el mundo debido al aumento de la frecuencia y gravedad de las violaciones de datos, lo que ha hecho que las empresas asuman la responsabilidad de la seguridad de la información personal.

GDPR (Reglamento General de Protección de Datos)

En RGPD es una de las leyes de protección de datos más amplias hasta la fecha, que entrará en vigor en 2018. Se aplica a cualquier empresa que procese datos de ciudadanos de la UE, incluso cuando la empresa tiene su sede fuera de Europa.

Según el RGPD, las empresas podrían tomar medidas para proteger los datos personales cifrando la información sensible, realizando pruebas de seguridad periódicas e informando a los clientes si sus datos se han visto comprometidos.

En el RGPD, un concepto importante es que el derecho de supresión permite a los ciudadanos exigir a las empresas que borren sus datos personales. Ello garantizaría la realización de algunas grandes reformas en la forma en que las empresas manejan los datos y la seguridad de los mismos.

CCPA (Ley de Privacidad del Consumidor de California)

Del mismo modo, la CCPA protege a los residentes de California en EE.UU. permitiéndoles solicitar que se les informe de qué datos personales se recogen sobre ellos, con derecho a optar por no participar en la venta. La CCPA ha liderado la concienciación sobre la protección de datos en Estados Unidos, obligando a las empresas a reforzar su seguridad para evitar cuantiosas multas.

Legislación sobre residencia de datos

Las normativas nacionales se combinan con normativas generales, como las leyes de residencia de datos de algunos países, que exigen que determinados tipos de datos permanezcan almacenados dentro de las fronteras nacionales.

Todos los países tienen posturas diferentes al respecto. Por ejemplo, tanto China como Rusia tienen leyes de residencia de datos muy estrictas que impiden a las empresas conservar los datos de los ciudadanos en servidores extranjeros. Esto ayuda a evitar que los datos se filtren a jurisdicciones en las que podrían estar sujetos a medidas de seguridad menos flagrantes.

En respuesta a la creciente preocupación mundial por la privacidad de los datos, Verimatrix ha obtenido numerosas certificaciones reconocidas por el sector para demostrar aún más nuestro compromiso con la seguridad y la integridad de las aplicaciones de nuestros clientes. Consulte la lista completa.

Cómo evitar las filtraciones de datos

Se requieren buenas prácticas, medidas de seguridad proactivas y una cultura de seguridad dentro de la organización para asegurarse de que no se produce una fuga de datos. He aquí cómo puede reducir el riesgo de exposición de los datos de su organización:

  1. Imponga controles de acceso estrictos.

Los métodos más sencillos pero válidos de control de acceso consisten en asegurarse de que quienes no deberían tener acceso no lo tengan. Utiliza herramientas como RBAC para mostrar y editar funciones sólo a unos pocos. Por ejemplo, la información sensible sobre recursos humanos no debe dejarse a la vista de todo un equipo.

  1. Actualización y parcheado periódicos del software

El software de sus aplicaciones debe actualizarse: las vulnerabilidades sin parches ocupan un lugar destacado entre los puntos de entrada que invitan a cometer ataques. En primer lugar, priorice las actualizaciones críticas y, a continuación, organice la gestión automática de los parches cuando sea factible en su organización.

  1. Cifrado de datos

Para aumentar la seguridad, los datos sensibles deben cifrarse tanto en reposo como en tránsito. Todo lo que pudiera filtrarse, aunque cayera en malas manos, les resultaría inútil.  

  1. Auditar y supervisar los sistemas.

Permitir supervisión constante de cualquier cosa que pueda parecer sospechosa; podría tratarse de una fuga u otro tipo de violación de datos. Establezca alertas para accesos no autorizados o grandes volúmenes de datos en transmisión, junto con cualquier otro tráfico anómalo en la red. Las auditorías periódicas proporcionan la confianza de que sus políticas de seguridad y su infraestructura funcionan como deberían.

  1. Formación de los empleados

El error humano es uno de los factores que más contribuyen a las filtraciones. En este sentido, sus empleados necesitarían formación periódica sobre los mejores hábitos en materia de seguridad, concienciación sobre la suplantación de identidad y uso de contraseñas seguras. Diseñe una cultura orientada a la seguridad que guíe a los empleados en el manejo adecuado de los datos sensibles. 

  1. Asegure el entorno de la nube.

Aunque hoy en día la mayoría de las empresas se han pasado al almacenamiento en la nube, muy pocas toman las medidas adecuadas para protegerlos. Por lo tanto, la configuración de la infraestructura adecuada y el cifrado de datos sensibles en la nube son vitales para garantizar que sólo los usuarios autorizados tengan acceso a dichos datos. Se pueden utilizar soluciones para la gestión de la postura de seguridad en la nube (CSPM). Se trata de soluciones de seguridad que supervisan y protegen los entornos de nube 24 horas al día, 7 días a la semana. 

  1. Implantar una solución DLP.

Las soluciones de prevención de pérdida de datos (DLP) supervisan los flujos de datos sensibles dentro de una organización y eliminan las fugas de información. Puede detectar por sí misma las posibles fugas y bloquear cualquier intento no autorizado de transferencia de datos fuera de los canales permitidos. 

  1. Desarrollar planes de respuesta a incidentes.

Lo que ayudará a contener la fuga de datos es un plan de respuesta a incidentes bien planificado. Este debe incluir el aislamiento de los sistemas comprometidos, la evaluación del alcance de la fuga, la notificación a las personas afectadas y la información a los organismos reguladores pertinentes. Igual de importante es contar con un equipo adecuado que haya sido formado para manejar la situación, a fin de minimizar los daños financieros y de reputación con la rapidez de ejecución. 

Conclusión

En el mundo actual, los datos pueden considerarse uno de los mayores activos, y es primordial comprender exactamente qué es una fuga de datos y cómo puede prevenirse. Una fuga de datos no está necesariamente asociada a actividades maliciosas; sin embargo, es capaz de desatar el caos tanto a nivel individual como organizativo. 

Una seguridad adecuada, la supervisión de las vulnerabilidades y la realización de actividades de concienciación en materia de ciberseguridad son formas de minimizar el riesgo de filtraciones o violaciones de datos. Por supuesto, es mucho más fácil prevenir que curar. Invierta en seguridad de aplicaciones hoy mismo para proteger a su empresa y a sus clientes de las amenazas que se avecinan mañana.