Una filtración de datos no solo puede suponer una pérdida de prestigio para la empresa que la sufre, también puede conllevar pérdidas económicas y la imposición de sanciones, si la filtración es de datos personales. Por lo tanto, la prevención de la fuga de datos, sea esta accidental o intencional, se ha convertido en una prioridad importante para las empresas, especialmente al afrontar los retos de la digitalización.
En este artículo explicaremos qué significa la filtración de datos, cómo se produce habitualmente y cómo localizar y evitar filtraciones de datos accidentales o intencionales.
¿Qué es una filtración de datos?
Una filtración de datos es la transmisión no autorizada de datos desde una organización a un destino o destinatario externo. El término se puede usar para describir datos que se transfieren electrónica o físicamente.
El filtrado de datos puede referirse a cualquier tipo de datos o información confidencial o privada que maneje una empresa, sea esta de carácter personal o empresarial, de manera que pueden producirse filtración de datos bancarios, de datos personales, de información sobre patentes, de listas de clientes, etc.
Como decíamos, la filtración o fuga de datos, también conocida como robo de datos, es una de las amenazas para la ciberseguridad cada vez más habitual para empresas y usuarios particulares, puesto que ambos sufren las consecuencias de una filtración masiva de datos; la primera, con pérdidas económicas y de reputación, el segundo por quedar expuesto a cierto tipo de ciberataques y suplantación de identidad.
En lo que respecta a las empresas, ninguna que opere mínimamente a través de Internet o almacene la información en dispositivos digitales, está a salvo de ser víctima de un robo de datos, puesto que estos se han convertido en el objetivo principal de muchos ciberdelincuentes, ya que la filtración de datos y contraseñas se usa para crear bases de datos con ellas y venderlas al mejor postor en la dark web.
Los datos filtrados, como decíamos, pueden usarse para diferentes fines, entre ellos, llevar a cabo ataques phishing, spam masivo, vulneración o robo de cuentas de usuario, etc.
¿Cómo se produce una filtración de datos?
Una filtración de datos puede producirse de diferentes maneras, pueden ocurrir a través de páginas web, el correo electrónico, uso de aplicaciones o programas, mediante el robo de dispositivos electrónicos como ordenadores, memorias USB o discos duros externos que almacenen información confidencial.
Aunque las causas detrás de una fuga de datos accidental o los métodos empleados por los ciberdelincuentes para robar datos son bastante variados, los tipos de filtraciones de datos más habituales son los que vamos a ver en los siguientes puntos.
Violación accidental
La filtración de datos «no autorizada» no significa necesariamente intencional o maliciosa. La buena noticia es que la mayoría de los incidentes de fuga de datos son accidentales.
Por ejemplo, un empleado puede elegir involuntariamente al destinatario incorrecto cuando envía un correo electrónico que contiene datos confidenciales. Desafortunadamente, la filtración involuntaria de datos aún puede resultar en las mismas sanciones y daños a la reputación, ya que no mitigan las responsabilidades legales.
Empleado descontento o mal intencionado
Cuando pensamos en las filtraciones de datos, pensamos en los datos almacenados en ordenadores portátiles robados o extraviados o en los datos que se filtran por correo electrónico.
Sin embargo, una gran parte de la pérdida de datos no ocurre en un medio electrónico, sino a través de impresoras, cámaras, fotocopiadoras, unidades USB extraíbles e incluso inmersiones en contenedores para documentos descartados.
Si bien un empleado puede haber firmado un contrato de trabajo que efectivamente significa confianza entre el empleador y el empleado, no hay nada que les impida filtrar más tarde información confidencial de la empresa, si están descontentos o si los cibercriminales les prometen un pago considerable. Este tipo de fuga de datos a menudo se conoce como exfiltración de datos.
Comunicaciones electrónicas con intención maliciosa
Muchas organizaciones dan a los empleados acceso a Internet, correo electrónico y mensajería instantánea como parte de su función. El problema es que todos estos medios son capaces de transferir archivos o acceder a fuentes externas a través de Internet.
El malware a menudo se usa para atacar estos medios y con una alta tasa de éxito. Por ejemplo, un ciberdelincuente podría falsificar fácilmente una cuenta de correo electrónico comercial legítima y solicitar que se le envíe información confidencial. El usuario enviaría involuntariamente la información, que podría contener datos financieros o información confidencial sobre precios.
Los ataques de phishing son otro método de ataque cibernético con una alta tasa de éxito de fuga de datos. Simplemente haciendo clic en un enlace y visitando una página web que contiene código malicioso podrías permitir que un atacante acceda a un ordenador o red para recuperar la información que necesita.
El ransomware también se han convertido en uno de los métodos habituales para exfiltrar datos, puesto que muchas veces, antes de secuestrar los sistemas de una empresa, los cibercriminales aprovechan su incursión en ellos para, a través de técnicas movimiento lateral, buscar información o datos confidenciales y robarlos. De esa forma, aparte de la extorsión para recuperar el funcionamiento del sistema, pueden extorsionar también a la compañía a cambio de no publicar los datos robados o directamente venderlos en la dark web.
¿Cómo detectar una filtración de datos en la empresa?
La mejor forma de detectar una filtración de datos es instalar sistemas IDS / IPS y ejecutar pruebas de penetración.
Una parte clave para prevenir una fuga de datos es poder identificar rápidamente un intento de robo de datos y contener la violación. Cuanto más tiempo tardes en identificar un intento de intrusión, más tiempo dispondrá el atacante para violar tus defensas y robar datos.
Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) pueden ayudar con la detección temprana de ataques y, en el caso de IPS, incluso proporcionan alguna prevención de ataques automatizada.
Las pruebas de penetración te ayudan a probar tus medidas de seguridad para detectar posibles debilidades y verificar cuán efectiva es tu solución IDS / IPS para detectar varios tipos de intentos de intrusión.
¿Cómo prevenir la filtración de datos?
Existen diversas prácticas que podemos implantar en la empresa para prevenir las filtraciones de datos. A la hora de determinar estas mejores prácticas, tenemos que distinguir entre fugas de datos accidentales e intencionadas.
Medidas para prevenir fugas accidentales de datos
Como decíamos, no todas las filtraciones de datos son el resultado de acciones maliciosas. En muchos casos, es el resultado de un error honesto: alguien envía un correo electrónico al destinatario incorrecto, se olvida de cifrar un dato que está transmitiendo o coloca archivos confidenciales en una unidad USB y lo carga accidentalmente en un dispositivo desprotegido.
Algunas de las mejores prácticas que tu empresa puede usar para minimizar el riesgo de fuga accidental de datos incluyen:
- Aplicación de una política de privilegios mínimos (POLP) al acceso a datos. Es difícil para alguien filtrar accidentalmente datos a los que no tiene acceso. Una política de privilegios mínimos restringe el acceso a los datos de cada usuario al mínimo absoluto que necesitan para realizar su función de trabajo. El uso de dicha política también ayuda a minimizar el riesgo de fugas de datos intencionales.
- Coloca restricciones sobre los dominios de correo electrónico a los que los empleados pueden enviar archivos adjuntos en los sistemas de la empresa. Algunos clientes y aplicaciones de correo electrónico permiten organizar a las personas en grupos u organizaciones y administrar las comunicaciones fuera del grupo hasta cierto punto. Por ejemplo, Google Drive se puede configurar para generar una pantalla / advertencia de confirmación al compartir el acceso a un archivo con alguien fuera de la organización / grupo del empleado. El uso de este tipo de alertas puede hacer que sea mucho menos probable que los datos se compartan accidentalmente.
- Establecer una política BYOD y hacerla cumplir. Una política de traer su propio dispositivo (BYOD) puede ayudar a tu organización a definir las reglas sobre si los empleados pueden usar dispositivos personales y cómo hacerlo, como teléfonos inteligentes, ordenadores portátiles, unidades USB y otros dispositivos que se pueden usar para copiar, almacenar y transmitir datos en el lugar de trabajo. Si dichos dispositivos no están permitidos (o su uso está restringido) en el lugar de trabajo, puede reducir el riesgo de fuga accidental de datos.
- Proporcionar capacitación sobre ciberseguridad. Es importante que los empleados conozcan no solo cuáles son los mayores riesgos de fuga de datos, sino cuáles pueden ser las potenciales consecuencias de tales fugas para la empresa. Ofrecer tal capacitación y sensibilización ayuda a los empleados a evitar cometer errores básicos que conducen a fugas de datos. Además, puede ayudar a los empleados a identificar intentos de phishing y otras estrategias que los actores malintencionados pueden intentar usar para robar datos.
Medidas para prevenir fugas de datos intencionadas
Si bien es posible que no puedas detener a todos los actores maliciosos que intentan acceder a tus datos para su propio beneficio personal, puedes minimizar los riesgos de una filtración de datos siguiendo algunas buenas prácticas, que incluyen:
- Instalación de protecciones básicas de ciberseguridad en todos los puntos finales de red (endpoint). Puede ser que un antivirus básico o firewall no detenga a un determinado atacante o a una persona con intenciones maliciosas, pero estas protecciones básicas pueden evitar intentos menos sofisticados de robar datos para tener éxito o al menos retrasar el progreso de un atacante. Además, los sistemas antivirus del cliente de correo electrónico pueden ayudar a prevenir algunas fugas de datos al escanear archivos adjuntos de correo electrónico en busca de malware.
- Asegurarse de borrar datos confidenciales de sistemas no críticos. ¿Es necesario que haya una copia de la información más confidencial de tu empresa, como registros de clientes e información de la tarjeta de pago, en cada terminal de la oficina? No, ni debería serlo. Limpiar terminales individuales y asegurarse de que todos tus datos más confidenciales se mantengan en los sistemas más aislados es una parte fundamental de la prevención de fugas de datos. Si un atacante introduce malware en una estación de trabajo aleatoria, mantener esa estación de trabajo libre de información confidencial puede reducir el riesgo de una fuga de datos.
- Uso de defensa en profundidad y estrategias de seguridad. Cuantas más capas de protección puedas poner en tu red, mejor. Disponer en tu red de una defensa en capas, que usa firewalls que aíslan cada activo y restringen el tráfico entre pares, hace más complicado para un ataque acceder a todos tus activos más protegidos a la vez. De esta manera, incluso si un ataque supera tus defensas perimetrales más externas, el atacante necesitará tiempo y esfuerzo para acceder a más de un puñado de tus activos de TI.
¿Cómo comprobar si mis datos personales han sido filtrados?
Como hemos señalado más arriba, los usuarios particulares también son víctimas cuando se producen filtraciones de datos masivas, lo que puede acarrearles diferentes tipos de problemas, entre ellos, ser objetivo de campañas de phishing o incluso el robo de cuentas de usuario, porque entre esas filtraciones de datos también se filtran contraseñas de diferentes tipos de cuentas (email, banca electrónica, suscripciones a servicios, etc.).
Las empresas están obligadas a informar a aquellos usuarios cuyos datos hayan podido verse afectados por una filtración de datos, además, las filtraciones más sonadas suelen acabar ocupando los titulares informativos. Pero si quieres asegurarte de que tus datos están todavía a salvo y no esperar a esa notificación, en Internet hay diferentes webs en las que podemos comprobar si nuestros datos han sido víctimas de una filtración.
La página más conocida es Have i been pwned; en ella solo tendremos que introducir nuestra dirección de correo electrónico, número de teléfono o contraseña para cruzarlos con su base de datos (elaborada con los reportes de filtraciones de datos que se han ido produciendo con el tiempo). La web nos informará de si nuestros datos han sido filtrados o no, y, en caso de serlo, dónde se produjo la filtración.
Algunas de las filtraciones de datos más importantes de la historia
Lamentablemente, las violaciones de datos son bastante habituales y cada poco tiempo se publican noticias relacionadas con ello. Entre las mayores filtraciones a lo largo de la historia tenemos:
- Yahoo: Número de registros afectados: 3 mil millones en 2013 y 500 millones en 2014. Motivo: piratería. Actualmente, el título de la mayor violación de datos en la historia es para Yahoo. La compañía, que Verizon anunció planes de adquirir en julio de 2016, reveló que fue víctima de múltiples ataques importantes a lo largo de los años que expusieron los nombres, direcciones de correo electrónico, números de teléfono y fechas de nacimiento de más de mil millones de personas que usaron Yahoo.
- First American Financial Corp.: Número de registros afectados: 885 millones en 2019. Motivo: mala seguridad.
- Facebook: Número de registros afectados: 540 millones en 2019 y 533 millones en 2021. Motivo: mala seguridad.
- Marriott International: Número de registros afectados: 500 millones en 2018. Motivo: ciberataque.
- Redes de FriendFinder: Número de registros afectados: 412,2 millones en 2016. Motivo: Mala seguridad / ciberataque.