[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/05\/07\/filtracion-datos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/05\/07\/filtracion-datos\/","headline":"La filtracion de datos \u00bfC\u00f3mo comprobarla? \u00bfC\u00f3mo evitarla?","name":"La filtracion de datos \u00bfC\u00f3mo comprobarla? \u00bfC\u00f3mo evitarla?","description":"Descubre qu\u00e9 es la filtraci\u00f3n de datos, c\u00f3mo detectarla y c\u00f3mo prevenir una fuga de datos en tu empresa \u00a1M\u00e1s informaci\u00f3n aqu\u00ed!","datePublished":"2020-05-07","dateModified":"2022-03-03","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/05\/filtracion-de-datos.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/05\/filtracion-de-datos.jpg","height":900,"width":1600},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/05\/07\/filtracion-datos\/","about":["CIBERSEGURIDAD","LOPDGDD & RGPD"],"wordCount":2576,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Una filtraci\u00f3n de datos no solo puede suponer una p\u00e9rdida de prestigio para la empresa que la sufre, tambi\u00e9n puede conllevar p\u00e9rdidas econ\u00f3micas y la imposici\u00f3n de sanciones, si la filtraci\u00f3n es de datos personales. Por lo tanto, la prevenci\u00f3n de la fuga de datos, sea esta accidental o intencional, se ha convertido en una prioridad importante para las empresas, especialmente al afrontar los retos de la digitalizaci\u00f3n.En este art\u00edculo explicaremos qu\u00e9 significa la filtraci\u00f3n de datos, c\u00f3mo se produce habitualmente y c\u00f3mo localizar y evitar filtraciones de datos accidentales o intencionales.\u00bfQu\u00e9 es una filtraci\u00f3n de datos?\u00bfC\u00f3mo se produce una filtraci\u00f3n de datos?Violaci\u00f3n accidentalEmpleado descontento o mal intencionadoComunicaciones electr\u00f3nicas con intenci\u00f3n maliciosa\u00bfC\u00f3mo detectar una filtraci\u00f3n de datos en la empresa?\u00bfC\u00f3mo prevenir la filtraci\u00f3n de datos?Medidas para prevenir fugas accidentales de datosMedidas para prevenir fugas de datos intencionadas\u00bfC\u00f3mo comprobar si mis datos personales han sido filtrados?Algunas de las filtraciones de datos m\u00e1s importantes de la historia\u00bfQu\u00e9 es una filtraci\u00f3n de datos?Una filtraci\u00f3n de datos es la transmisi\u00f3n no autorizada de datos desde una organizaci\u00f3n a un destino o destinatario externo. El t\u00e9rmino se puede usar para describir datos que se transfieren electr\u00f3nica o f\u00edsicamente.El filtrado de datos puede referirse a cualquier tipo de datos o informaci\u00f3n confidencial o privada que maneje una empresa, sea esta de car\u00e1cter personal o empresarial, de manera que pueden producirse filtraci\u00f3n de datos bancarios, de datos personales, de informaci\u00f3n sobre patentes, de listas de clientes, etc.Como dec\u00edamos, la filtraci\u00f3n o fuga de datos, tambi\u00e9n conocida como robo de datos, es una de las amenazas para la ciberseguridad cada vez m\u00e1s habitual para empresas y usuarios particulares, puesto que ambos sufren las consecuencias de una filtraci\u00f3n masiva de datos; la primera, con p\u00e9rdidas econ\u00f3micas y de reputaci\u00f3n, el segundo por quedar expuesto a cierto tipo de ciberataques y suplantaci\u00f3n de identidad.En lo que respecta a las empresas, ninguna que opere m\u00ednimamente a trav\u00e9s de Internet o almacene la informaci\u00f3n en dispositivos digitales, est\u00e1 a salvo de ser v\u00edctima de un robo de datos, puesto que estos se han convertido en el objetivo principal de muchos ciberdelincuentes, ya que la filtraci\u00f3n de datos y contrase\u00f1as se usa para crear bases de datos con ellas y venderlas al mejor postor en la dark web.Los datos filtrados, como dec\u00edamos, pueden usarse para diferentes fines, entre ellos, llevar a cabo ataques phishing, spam masivo, vulneraci\u00f3n o robo de cuentas de usuario, etc.\u00bfC\u00f3mo se produce una filtraci\u00f3n de datos?Una filtraci\u00f3n de datos puede producirse de diferentes maneras, pueden ocurrir a trav\u00e9s de p\u00e1ginas web, el correo electr\u00f3nico, uso de aplicaciones o programas, mediante el robo de dispositivos electr\u00f3nicos como ordenadores, memorias USB o discos duros externos que almacenen informaci\u00f3n confidencial.Aunque las causas detr\u00e1s de una fuga de datos accidental o los m\u00e9todos empleados por los ciberdelincuentes para robar datos son bastante variados, los tipos de filtraciones de datos m\u00e1s habituales son los que vamos a ver en los siguientes puntos.Violaci\u00f3n accidentalLa filtraci\u00f3n de datos \u00abno autorizada\u00bb no significa necesariamente intencional o maliciosa. La buena noticia es que la mayor\u00eda de los incidentes de fuga de datos son accidentales.Por ejemplo, un empleado puede elegir involuntariamente al destinatario incorrecto cuando env\u00eda un correo electr\u00f3nico que contiene datos confidenciales. Desafortunadamente, la filtraci\u00f3n involuntaria de datos a\u00fan puede resultar en las mismas sanciones y da\u00f1os a la reputaci\u00f3n, ya que no mitigan las responsabilidades legales.Empleado descontento o mal intencionadoCuando pensamos en las filtraciones de datos, pensamos en los datos almacenados en ordenadores port\u00e1tiles robados o extraviados o en los datos que se filtran por correo electr\u00f3nico.Sin embargo, una gran parte de la p\u00e9rdida de datos no ocurre en un medio electr\u00f3nico, sino a trav\u00e9s de impresoras, c\u00e1maras, fotocopiadoras, unidades USB extra\u00edbles e incluso inmersiones en contenedores para documentos descartados.Si bien un empleado puede haber firmado un contrato de trabajo que efectivamente significa confianza entre el empleador y el empleado, no hay nada que les impida filtrar m\u00e1s tarde informaci\u00f3n confidencial de la empresa, si est\u00e1n descontentos o si los cibercriminales les prometen un pago considerable. Este tipo de fuga de datos a menudo se conoce como exfiltraci\u00f3n de datos.Comunicaciones electr\u00f3nicas con intenci\u00f3n maliciosaMuchas organizaciones dan a los empleados acceso a Internet, correo electr\u00f3nico y mensajer\u00eda instant\u00e1nea como parte de su funci\u00f3n. El problema es que todos estos medios son capaces de transferir archivos o acceder a fuentes externas a trav\u00e9s de Internet.El malware a menudo se usa para atacar estos medios y con una alta tasa de \u00e9xito. Por ejemplo, un ciberdelincuente podr\u00eda falsificar f\u00e1cilmente una cuenta de correo electr\u00f3nico comercial leg\u00edtima y solicitar que se le env\u00ede informaci\u00f3n confidencial. El usuario enviar\u00eda involuntariamente la informaci\u00f3n, que podr\u00eda contener datos financieros o informaci\u00f3n confidencial sobre precios.Los ataques de phishing son otro m\u00e9todo de ataque cibern\u00e9tico con una alta tasa de \u00e9xito de fuga de datos. Simplemente haciendo clic en un enlace y visitando una p\u00e1gina web que contiene c\u00f3digo malicioso podr\u00edas permitir que un atacante acceda a un ordenador o red para recuperar la informaci\u00f3n que necesita.El ransomware tambi\u00e9n se han convertido en uno de los m\u00e9todos habituales para exfiltrar datos, puesto que muchas veces, antes de secuestrar los sistemas de una empresa, los cibercriminales aprovechan su incursi\u00f3n en ellos para, a trav\u00e9s de t\u00e9cnicas movimiento lateral, buscar informaci\u00f3n o datos confidenciales y robarlos. De esa forma, aparte de la extorsi\u00f3n para recuperar el funcionamiento del sistema, pueden extorsionar tambi\u00e9n a la compa\u00f1\u00eda a cambio de no publicar los datos robados o directamente venderlos en la dark web.\u00bfC\u00f3mo detectar una filtraci\u00f3n de datos en la empresa?La mejor forma de detectar una filtraci\u00f3n de datos es instalar sistemas IDS \/ IPS y ejecutar pruebas de penetraci\u00f3n.Una parte clave para prevenir una fuga de datos es poder identificar r\u00e1pidamente un intento de robo de datos y contener la violaci\u00f3n. Cuanto m\u00e1s tiempo tardes en identificar un intento de intrusi\u00f3n, m\u00e1s tiempo dispondr\u00e1 el atacante para violar tus defensas y robar datos.Los sistemas de detecci\u00f3n de intrusiones (IDS) y los sistemas de prevenci\u00f3n de intrusiones (IPS) pueden ayudar con la detecci\u00f3n temprana de ataques y, en el caso de IPS, incluso proporcionan alguna prevenci\u00f3n de ataques automatizada.Las pruebas de penetraci\u00f3n te ayudan a probar tus medidas de seguridad para detectar posibles debilidades y verificar cu\u00e1n efectiva es tu soluci\u00f3n IDS \/ IPS para detectar varios tipos de intentos de intrusi\u00f3n.\u00bfC\u00f3mo prevenir la filtraci\u00f3n de datos?Existen diversas pr\u00e1cticas que podemos implantar en la empresa para prevenir las filtraciones de datos. A la hora de determinar estas mejores pr\u00e1cticas, tenemos que distinguir entre fugas de datos accidentales e intencionadas.Medidas para prevenir fugas accidentales de datosComo dec\u00edamos, no todas las filtraciones de datos son el resultado de acciones maliciosas. En muchos casos, es el resultado de un error honesto: alguien env\u00eda un correo electr\u00f3nico al destinatario incorrecto, se olvida de cifrar un dato que est\u00e1 transmitiendo o coloca archivos confidenciales en una unidad USB y lo carga accidentalmente en un dispositivo desprotegido.Algunas de las mejores pr\u00e1cticas que tu empresa puede usar para minimizar el riesgo de fuga accidental de datos incluyen:Aplicaci\u00f3n de una pol\u00edtica de privilegios m\u00ednimos (POLP) al acceso a datos. Es dif\u00edcil para alguien filtrar accidentalmente datos a los que no tiene acceso. Una pol\u00edtica de privilegios m\u00ednimos restringe el acceso a los datos de cada usuario al m\u00ednimo absoluto que necesitan para realizar su funci\u00f3n de trabajo. El uso de dicha pol\u00edtica tambi\u00e9n ayuda a minimizar el riesgo de fugas de datos intencionales.Coloca restricciones sobre los dominios de correo electr\u00f3nico a los que los empleados pueden enviar archivos adjuntos en los sistemas de la empresa. Algunos clientes y aplicaciones de correo electr\u00f3nico permiten organizar a las personas en grupos u organizaciones y administrar las comunicaciones fuera del grupo hasta cierto punto. Por ejemplo, Google Drive se puede configurar para generar una pantalla \/ advertencia de confirmaci\u00f3n al compartir el acceso a un archivo con alguien fuera de la organizaci\u00f3n \/ grupo del empleado. El uso de este tipo de alertas puede hacer que sea mucho menos probable que los datos se compartan accidentalmente.Establecer una pol\u00edtica BYOD y hacerla cumplir. Una pol\u00edtica de traer su propio dispositivo (BYOD) puede ayudar a tu organizaci\u00f3n a definir las reglas sobre si los empleados pueden usar dispositivos personales y c\u00f3mo hacerlo, como tel\u00e9fonos inteligentes, ordenadores port\u00e1tiles, unidades USB y otros dispositivos que se pueden usar para copiar, almacenar y transmitir datos en el lugar de trabajo. Si dichos dispositivos no est\u00e1n permitidos (o su uso est\u00e1 restringido) en el lugar de trabajo, puede reducir el riesgo de fuga accidental de datos.Proporcionar capacitaci\u00f3n sobre ciberseguridad. Es importante que los empleados conozcan no solo cu\u00e1les son los mayores riesgos de fuga de datos, sino cu\u00e1les pueden ser las potenciales consecuencias de tales fugas para la empresa. Ofrecer tal capacitaci\u00f3n y sensibilizaci\u00f3n ayuda a los empleados a evitar cometer errores b\u00e1sicos que conducen a fugas de datos. Adem\u00e1s, puede ayudar a los empleados a identificar intentos de phishing y otras estrategias que los actores malintencionados pueden intentar usar para robar datos.Medidas para prevenir fugas de datos intencionadasSi bien es posible que no puedas detener a todos los actores maliciosos que intentan acceder a tus datos para su propio beneficio personal, puedes minimizar los riesgos de una filtraci\u00f3n de datos siguiendo algunas buenas pr\u00e1cticas, que incluyen:Instalaci\u00f3n de protecciones b\u00e1sicas de ciberseguridad en todos los puntos finales de red (endpoint). Puede ser que un antivirus b\u00e1sico o firewall no detenga a un determinado atacante o a una persona con intenciones maliciosas, pero estas protecciones b\u00e1sicas pueden evitar intentos menos sofisticados de robar datos para tener \u00e9xito o al menos retrasar el progreso de un atacante. Adem\u00e1s, los sistemas antivirus del cliente de correo electr\u00f3nico pueden ayudar a prevenir algunas fugas de datos al escanear archivos adjuntos de correo electr\u00f3nico en busca de malware.Asegurarse de borrar datos confidenciales de sistemas no cr\u00edticos. \u00bfEs necesario que haya una copia de la informaci\u00f3n m\u00e1s confidencial de tu empresa, como registros de clientes e informaci\u00f3n de la tarjeta de pago, en cada terminal de la oficina? No, ni deber\u00eda serlo. Limpiar terminales individuales y asegurarse de que todos tus datos m\u00e1s confidenciales se mantengan en los sistemas m\u00e1s aislados es una parte fundamental de la prevenci\u00f3n de fugas de datos. Si un atacante introduce malware en una estaci\u00f3n de trabajo aleatoria, mantener esa estaci\u00f3n de trabajo libre de informaci\u00f3n confidencial puede reducir el riesgo de una fuga de datos.Uso de defensa en profundidad y estrategias de seguridad. Cuantas m\u00e1s capas de protecci\u00f3n puedas poner en tu red, mejor. Disponer en tu red de una defensa en capas, que usa firewalls que a\u00edslan cada activo y restringen el tr\u00e1fico entre pares, hace m\u00e1s complicado para un ataque acceder a todos tus activos m\u00e1s protegidos a la vez. De esta manera, incluso si un ataque supera tus defensas perimetrales m\u00e1s externas, el atacante necesitar\u00e1 tiempo y esfuerzo para acceder a m\u00e1s de un pu\u00f1ado de tus activos de TI.\u00bfC\u00f3mo comprobar si mis datos personales han sido filtrados?Como hemos se\u00f1alado m\u00e1s arriba, los usuarios particulares tambi\u00e9n son v\u00edctimas cuando se producen filtraciones de datos masivas, lo que puede acarrearles diferentes tipos de problemas, entre ellos, ser objetivo de campa\u00f1as de phishing o incluso el robo de cuentas de usuario, porque entre esas filtraciones de datos tambi\u00e9n se filtran contrase\u00f1as de diferentes tipos de cuentas (email, banca electr\u00f3nica, suscripciones a servicios, etc.).Las empresas est\u00e1n obligadas a informar a aquellos usuarios cuyos datos hayan podido verse afectados por una filtraci\u00f3n de datos, adem\u00e1s, las filtraciones m\u00e1s sonadas suelen acabar ocupando los titulares informativos. Pero si quieres asegurarte de que tus datos est\u00e1n todav\u00eda a salvo y no esperar a esa notificaci\u00f3n, en Internet hay diferentes webs en las que podemos comprobar si nuestros datos han sido v\u00edctimas de una filtraci\u00f3n.La p\u00e1gina m\u00e1s conocida es Have i been pwned; en ella solo tendremos que introducir nuestra direcci\u00f3n de correo electr\u00f3nico, n\u00famero de tel\u00e9fono o contrase\u00f1a para cruzarlos con su base de datos (elaborada con los reportes de filtraciones de datos que se han ido produciendo con el tiempo). La web nos informar\u00e1 de si nuestros datos han sido filtrados o no, y, en caso de serlo, d\u00f3nde se produjo la filtraci\u00f3n.Algunas de las filtraciones de datos m\u00e1s importantes de la historiaLamentablemente, las violaciones de datos son bastante habituales y cada poco tiempo se publican noticias relacionadas con ello. Entre las mayores filtraciones a lo largo de la historia tenemos:Yahoo: N\u00famero de registros afectados: 3 mil millones en 2013 y 500 millones en 2014. Motivo: pirater\u00eda. Actualmente, el t\u00edtulo de la mayor violaci\u00f3n de datos en la historia es para Yahoo. La compa\u00f1\u00eda, que Verizon anunci\u00f3 planes de adquirir en julio de 2016, revel\u00f3 que fue v\u00edctima de m\u00faltiples ataques importantes a lo largo de los a\u00f1os que expusieron los nombres, direcciones de correo electr\u00f3nico, n\u00fameros de tel\u00e9fono y fechas de nacimiento de m\u00e1s de mil millones de personas que usaron Yahoo.First American Financial Corp.: N\u00famero de registros afectados: 885 millones en 2019. Motivo: mala seguridad.Facebook: N\u00famero de registros afectados: 540 millones en 2019 y 533 millones en 2021. Motivo: mala seguridad.Marriott International: N\u00famero de registros afectados: 500 millones en 2018. Motivo: ciberataque.Redes de FriendFinder: N\u00famero de registros afectados: 412,2 millones en 2016. Motivo: Mala seguridad \/ ciberataque."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/05\/07\/filtracion-datos\/#breadcrumbitem","name":"La filtracion de datos \u00bfC\u00f3mo comprobarla? \u00bfC\u00f3mo evitarla?"}}]}]