Parece que todos los días se anuncian nuevas brechas de seguridad, algunas de las cuales afectan a millones de personas. Estas infracciones son más que solo pérdida de datos; pueden afectar la disponibilidad general de los servicios, la confiabilidad de los productos y la confianza que el público tiene en una marca.
Piensa en una violación de seguridad como un robo. Si alguien rompe una ventana y entra en tu casa, eso es una violación de seguridad. Si el intruso te arrebata tus documentos e información personal y vuelve a salir por la ventana, es una violación de datos.
Las violaciones de seguridad ocurren mucho, no necesariamente en tu casa, sino en organizaciones grandes y pequeñas. Una violación de seguridad puede dañar la reputación y las finanzas de una organización.
Sigue leyendo para conocer la definición de brechas de seguridad y cómo minimizar la posibilidad de que se produzca una infracción en tu organización.
Definición de brecha de seguridad según el RGPD
Una brecha de seguridad es cualquier incidente que resulte en acceso no autorizado a datos de ordenadores, aplicaciones, redes o dispositivos que de como resultado el acceso a la información sin autorización. Por lo general, ocurre cuando un intruso puede pasar por alto los mecanismos de seguridad.
Técnicamente, hay una distinción entre una violación de seguridad y una violación de datos. Una violación de seguridad es efectivamente un robo, mientras que una violación de datos se define como el cibercriminal que se escapa de la información. La violación de seguridad es cuando él entra por la ventana, y la violación de datos es cuando coge tu cartera u ordenador portátil.
La información confidencial tiene un valor inmenso. A menudo se vende en la web oscura. Por ejemplo, se pueden comprar nombres y números de tarjetas de crédito, y luego usarlos con fines de robo de identidad o fraude.
No es sorprendente que las infracciones de seguridad puedan costarles a las compañías enormes cantidades de dinero. En promedio, la factura es de casi 4 millones de euros para las grandes corporaciones.
También es importante distinguir la definición de violación de seguridad de la definición de un incidente de seguridad.
Un incidente puede involucrar una infección de malware, un ataque DDoS o un empleado que deja un portátil en un taxi, pero si no resultan en el acceso a la red o la pérdida de datos, no contarían como una violación de seguridad.
Por ejemplo, un ataque de fuerza bruta contra un sistema protegido, que intenta adivinar múltiples nombres de usuario y contraseñas, es un incidente de seguridad, pero no puede definirse como una violación a menos que el atacante haya logrado adivinar una contraseña.
Si un incidente de seguridad le otorga al atacante acceso a sistemas protegidos, puede calificar como una violación de seguridad. Si el atacante obtuvo acceso a datos confidenciales, es una violación de datos.
Tipos de brechas de seguridad que se pueden dar
Podemos clasificar las brechas de seguridad en tres tipos diferentes, en función de los datos afectados y de los objetivos o consecuencias que pueden tener dichos incidentes (que pueden ser fruto de un ataque intencionado o de un descuido):
- Brecha de confidencialidad: Se produce al ocurrir un acceso no autorizado al almacenamiento de datos personales o cuando ocurre un ataque o descuido que pueda dejar expuestos dichos datos.
- Brecha de integridad: Ocurre cuando se alteran los datos o información original almacenada en el sistema, pudiendo ocasionar algún perjuicio a la empresa o a los afectados.
- Brecha de disponibilidad: Se produce cuando un incidente, intencionado o no, provoca la pérdida de acceso a los datos e información almacenada, tanto de forma temporal como permanente.
Además de esta clasificación, las brechas de seguridad a menudo se caracterizan por el vector de ataque utilizado para obtener acceso a sistemas o datos protegidos.
A continuación se muestran los tipos comunes de ataques utilizados para realizar infracciones de seguridad.
- Denegación de servicio distribuida (DDoS): los atacantes toman el control de una gran cantidad de dispositivos para formar una botnet y los utilizan para inundar un sistema de destino con tráfico, abrumando su ancho de banda y recursos del sistema. DDoS no es un medio directo para violar los sistemas organizacionales, pero puede usarse como una distracción mientras los atacantes cometen la violación real.
- Man in the middle (MitM): los atacantes interceptan la comunicación entre los usuarios y el sistema objetivo, se hacen pasar por el usuario o el sistema objetivo y lo utilizan para robar credenciales o datos. Esto les permite obtener datos no autorizados o realizar acciones ilícitas.
- Ataque de Ingeniería social: los atacantes manipulan a los usuarios o empleados de una organización, engañándolos para que expongan datos confidenciales. Un método de ataque común es el phishing, en el que los atacantes envían correos electrónicos o mensajes falsos, lo que hace que un usuario responda con información privada, haga clic en un enlace a un sitio malicioso o descargue un archivo adjunto malicioso.
- Malware y ransomware: los atacantes pueden infectar sistemas de destino o puntos finales conectados a un sistema de destino protegido con software malicioso, conocido como malware. El malware puede inyectarse mediante ingeniería social, explotando vulnerabilidades de software o aprovechando una autenticación débil. El malware se puede utilizar para comprometer un sistema informático y obtener el control remoto del mismo o dañar o eliminar su contenido, como en un ataque de ransomware.
- Ataques de contraseña: los atacantes pueden usar bots, en combinación con listas de contraseñas comunes o credenciales robadas, para adivinar una contraseña y comprometer una cuenta en el sistema de destino. Por lo general, esto se hace para cuentas regulares con privilegios limitados y los atacantes realizan movimientos laterales para comprometer cuentas adicionales más privilegiadas.
- Amenazas persistentes avanzadas (APT): si bien la mayoría de los ataques cibernéticos son automáticos y no distinguen entre víctimas, APT es un ataque organizado y dirigido contra una organización específica. Lo lleva a cabo un equipo de actores de amenazas expertos durante semanas o meses y puede incluir una combinación de varias técnicas de ataque avanzadas.
¿Cómo gestionar una brecha de seguridad en tu empresa? Pasos a seguir
Las violaciones de datos son una amenaza constante para todas las organizaciones, y no importa cuántas políticas, estrategias o defensas existan, tarde o temprano un atacante experto podrá comprometerlas.
Los efectos de una violación de datos para una empresa pueden ser perjudiciales; informes citan que el 60 por ciento de las pequeñas empresas se queden sin trabajo dentro de los 6 meses después de una violación de datos.
Es importante mantenerse protegido y hacer todo lo posible para evitar ataques, pero incluso si no funcionan, no hay necesidad de entrar en pánico. Es completamente posible recuperarse de una violación de datos y volver al negocio, por lo que tener un plan de recuperación es de crucial importancia. Cada organización tiene su propio plan de recuperación.
Aquí tienes algunos pasos que siempre deben incluirse en caso de sufrir una brecha de seguridad en la empresa.
Detección, identificación y análisis
Antes de dejarnos llevar, establezcamos si, de hecho, ha habido una violación. Esto es parte de la etapa de identificación en el proceso de respuesta a incidentes.
Debes ver lo que se ha informado y cómo. ¿Fue una notificación de terceros? ¿Un miembro del personal interno que informó algo extraño o hizo clic en un enlace? ¿Tu banco fue el que te hizo saber que ha habido transacciones fraudulentas con tarjetas de crédito de tu organización? ¿Los archivos en la red están encriptados repentinamente?
Todas estas notificaciones deben validarse y confirmarse. No sería la primera vez que un incidente resulta ser una nueva característica en un sitio web, un nuevo sistema o una configuración incorrecta.
¿Cómo se confirma el incumplimiento? Simple, supón que la información recibida es correcta y formula una hipótesis de cómo podría haber ocurrido.
Algunas preguntas clave que deberás hacer son:
- ¿Dónde existe esta información en nuestra organización?
- ¿Cómo se puede acceder? ¿Es solo interno o tiene conexión a Internet? Tal vez es almacenado por un tercero?
Hacer estas dos preguntas te ayudará a establecer si realmente son tus datos y tal vez te dará una idea de qué controles pueden haber fallado. Estas preguntas te proporcionarán orientación sobre dónde debes buscar a continuación. ¿Estamos examinando registros web y de aplicaciones, o estamos explorando registros de acceso interno, registros proxy, registros de correo electrónico, etc.?
Ahora que lo has validado, es realmente una violación o una sospecha de violación, puedes pasar a la siguiente fase. Si aún no lo has hecho para ayudar a identificar los problemas, este es un buen momento para reunir al equipo de respuesta a incidentes. Puede ser un buen momento para informarle a la gerencia que existe una posible violación que debe abordarse y avisar al oficial de privacidad para que sepa que puede haber un requisito de quiebra de datos de notificación obligatoria.
Clasificación
Durante la fase de análisis y detección también es importante identificar el tipo de brecha de seguridad al que te enfrentas. En función de ello habrá que tomar unas u otras medidas. Como ya has visto, las brechas de seguridad pueden ser de diferentes tipos, desde virus o malware hasta ataques de denegación de servicio, pasando por la ingeniería social.
Plan de contingencia ante una brecha
¿Cómo actuar en caso de que se haya detectado una brecha de seguridad? De nuevo, hay que dar una serie de pasos encaminados a erradicar la amenaza y evitar que vuelva a producirse.
Contención
La contención del incidente es el siguiente paso en el proceso. Es posible que el daño ya esté hecho, es cierto, pero aún debes lidiar con el hecho de que un atacante aún puede estar en tu red y aún tener acceso a los datos.
En la etapa de identificación, habrías mirado los diversos registros y establecido cómo ocurrió el hecho, o al menos tendrás una buena idea. Si los registros web indican una inyección de SQL, puedes eliminar la aplicación o configurar un WAF para descartar esas solicitudes. Puedes apagar el servicio mientras identificas la causa raíz y erradicas el problema.
Si fue un correo enviado por un miembro del personal, habla con el culpable y explícale el resultado de sus acciones. Entonces, para contener el problema, puedes:
- Restablecer contraseñas y deshabilitar credenciales comprometidas
- Abordar vulnerabilidades y errores conocidos a través de parches
- Bloqueo de acceso a la red
- Poner en cuarentena hosts o aplicaciones comprometidas o apagar sistemas.
- Tener algunas discusiones severas sobre los siguientes procesos.
La decisión de cerrar los sistemas que efectivamente cierran las operaciones comerciales no debe tomarse a la ligera, pero puede ser necesaria para ayudar a prevenir un daño mayor. No olvides que si tus sistemas se están utilizando para atacar a otros, puede ser aún más grave. Además, comunica a la gerencia lo que ha estado sucediendo.
Solución
Una vez que se ha logrado la contención, existe una gran presión para eliminar la maldad de inmediato. Sin embargo, debes identificar la causa raíz del problema.
Durante la identificación, obtuviste las primeras pistas, durante la contención, las excluiste y, con suerte, obtuviste más información. Ahora es el momento de observar e identificar exactamente cómo, qué y por qué del problema.
Realmente no hay sustituto para una investigación exhaustiva. Hacer esto mal dará como resultado un sistema que se verá comprometido una y otra vez.
Identificar la causa raíz del problema es primordial. El análisis debe llevarse a cabo y la ruta de compromiso debe entenderse en detalle íntimo. Si no puedes explicar la quiebra de datos con detalles y no tienes una línea de tiempo completa de los eventos, entonces la investigación no está completa.
Cuando busques la causa raíz, asegúrate de administrar su evidencia, establecer sus cronogramas e identificar el cómo y el por qué. ¿Faltaron parches, una configuración incorrecta de un sistema, una regla de firewall que faltaba, un código incorrecto en una aplicación? Crear una línea de tiempo es, con mucho, el mejor enfoque para obtener claridad sobre los eventos que han ocasionado la violación.
Revisa todos los elementos. Usa las herramientas que tienes para identificar la vulnerabilidad que fue explotada. Podría ser técnico, podría ser de procedimiento. Considera implementar una herramienta de respuesta a incidentes para ayudar a identificar los sistemas comprometidos o el malware si están presentes.
Una vez que hayas establecido cómo puedes diseñar estrategias para erradicar el problema.
Tendrás información sobre:
- el marco temporal (¿cuándo comenzó la violación?)
- qué sistemas e información ha sido revelada, modificada o perdida
- quien ha sido impactado. ¿Es probable que el impacto cause daños graves?
- son terceros involucrados o afectados
Recuperación
Esta es la etapa de recuperación del proceso de respuesta a incidentes. Reconstruir sistemas, recuperar datos, parchear sistemas, arreglar la configuración para asegurarse de que no vuelva a ocurrir el mismo problema.
Este paso está informado y guiado por el resultado de los pasos de erradicación anteriores. La limpieza posterior a la quiebra de los datos es vital para prevenir la recurrencia.
Constrúyelo desde cero, parche, pruébalo, escanea, parchea de nuevo, pruébalo de nuevo, asegúrate de aplicar todos los controles adicionales que has identificado para ayudar a prevenir los problemas. Pruébalo de nuevo. Después de todo eso, esa es la etapa en la que el sistema se puede volver a poner en línea.
Ten en cuenta que durante la recuperación, es probable que tu personal de soporte y administración permanezca con exceso de trabajo y bajo presión. Implementa y aplica procesos de gestión de la fatiga para gestionar las cargas de trabajo para garantizar que los errores tontos no se introduzcan en esta etapa.
Comunicación
Las lecciones aprendidas en la etapa de preparación son clave. Una vez que el incidente haya terminado, siéntate y pregúntate lo que debería haber ido mejor. Revisa la información del análisis de causa raíz y determina qué es parte de la respuesta a incidentes.
Actualiza la documentación, escribe un informe posterior al incidente. El Informe posterior al incidente proporciona excelentes lecciones aprendidas, permite una revisión objetiva de los procesos actuales y brinda oportunidades de mejora.
Desde una perspectiva de notificación, debes notificar ese incidente de seguridad a los afectados y a las autoridades correspondientes, según lo exigido en la normativa para la resolución de estas incidencias.
Si me pongo en la posición de un individuo afectado por una violación. Evaluaré la violación para ver si la organización violada ha hecho todo lo posible para asegurar mi información personal y datos confidenciales antes de la violación.
Lo que más me importará desde el punto de ser notificado, es cómo la organización gestiona la quiebra y la recuperación.
Si la recuperación y la gestión son ejemplares, es más probable que proporcione a la empresa divulgadora un cierto grado de comprensión y les brinde el beneficio de la duda. Si la gestión de incumplimiento es deficiente o descuidada, llevaré mis datos y mi negocio a otra parte.
¿Cómo Notificar la brecha de seguridad?
Si bien el RGPD deja el significado de las infracciones de datos bastante amplio, es mucho más específico sobre cómo manejarlas.
El artículo 33 del RGPD se titula «Notificación de una violación de datos personales a la autoridad supervisora», y establece el procedimiento adecuado notificación de una violación de datos en términos claros.
¿Quién debe notificarla?
El RGPD señala que los encargados de notificar las brechas de seguridad han de ser los controladores de datos de una empresa. La propia normativa lo define como «la persona física o moral, autoridad pública, dependencia u otro organismo que solo, o en conjunto con otros, determina la finalidad y los medios para procesar los datos personales». Es decir, el responsable del tratamiento.
¿A quién debe notificarse y cuándo?
El responsable del tratamiento debe informar sobre las brechas de seguridad a la autoridad de supervisión adecuada, que en el caso de España es la AEPD, dentro de las 72 horas posteriores a su conocimiento. Si un encargado de tratamiento descubre la violación, debe notificar al responsable sin demora indebida.
En cuanto a los interesados que hayan podido verse afectados por brechas de seguridad en empresas a las que han cedido sus datos personales, el RGPD establece que también deben ser informados cuando estos incidentes puedan poner en riesgo sus derechos fundamentales, en cuyo caso hay que informarles sin demora indebida.
Para poder ayudar a los responsables de tratamiento que puedan tener dudas sobre si deben o no informar a los interesados tras sufrir una brecha de seguridad, la AEPD ha creado Comunica-Brecha RGPD.
Esta herramienta no es más que un formulario que una vez rellenado con la información sobre la empresa, los datos tratados, las consecuencias de la brecha y alguna información más al respecto, ofrecerá tres posibles respuestas:
- Es necesario informar sobre la brecha de seguridad, porque el riesgo para los derechos de los afectados es alto.
- No es necesario informarles.
- No se puede determinar el grado de riesgo.
Estas respuestas son orientativas, pero usar Comunica-Brecha RGPD no elimina la obligación de informar a la AEPD ni tampoco a los interesados afectados, si se determina que el riesgo para sus derechos y libertades es alto.
Procedimiento
El detectar una brecha de seguridad se han de evaluar una serie de factores, para poder comunicar el hecho a la autoridad de supervisión con la mayor exactitud posible.
Valoración del riesgo
Definir el tipo de amenaza al que se enfrenta la empresa. ¿Se trata de un virus o malware? ¿Ha sido un ataque man-in-the-middle? ¿O un ataque DNS?
Se trata de determinar el nivel de riesgo que para los derechos y libertades de los afectados pueden tener las brechas de seguridad informática sufridas por una empresa.
Daños materiales o inmateriales
Determinar los daños que dicha amenaza puede suponer para la empresa tanto para sus equipos de trabajo, ya sea hardware o software, como para su operativa interna.
Alcance
Las consecuencias que podría acarrear. ¿Qué áreas de la compañía podrían verse afectadas por esta brecha de seguridad? ¿Supone algún riesgo para los empleados? ¿Y para la seguridad o privacidad de los clientes?
Evidencia o incidente real
En caso de que las brechas de seguridad pudieran tener graves consecuencias, es recomendable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de esta situación irregular.
Contenido mínimo
La notificación a la AEPD de brechas de seguridad debe incluir varios datos específicos, que incluyen:
- La naturaleza y el alcance de la quiebra de datos, incluidas, cuando sea posible, las categorías de datos, la cantidad de interesados y la cantidad de registros de datos personales involucrados
- Información de contacto del Delegado de protección de datos de la organización u otro punto de contacto
- Posibles consecuencias de la violación.
- Qué intenta hacer la empresa para abordar la violación y limitar la amenaza a los interesados
Las organizaciones que no informan una violación de datos en el plazo asignado de 72 horas tienen la oportunidad de explicar los motivos de la demora, pero pueden enfrentar multas y sanciones importantes.
Formularios para la notificación de una brecha de seguridad a la AEPD y a los afectados
Excepciones a la obligación de notificación
No existe la obligación de notificar brechas de seguridad en los siguientes casos:
- Cuando se hubieran tomado las medidas técnicas y organizativas necesarias antes de la violación de seguridad.
- Si el responsable ha tomado posteriormente a la violación las medidas necesarias para evitar que el riesgo se convierta en real.
- En caso de que la notificación requiera un esfuerzo demasiado alto, en cuyo caso se podría sustituir por una comunicación pública.
Figuras implicadas
Las figuras implicadas en la notificación de brechas de seguridad son los responsables o encargados del tratamiento, o de sus representantes. También, el Delegado de Protección de Datos en los casos previstos por ley. De otra parte, está la autoridad de control a la cual se remite el incidente.
Ejemplos de brechas de seguridad
Estos son solo algunos ejemplos de las infracciones de seguridad a gran escala que se descubren todos los días.
Yahoo
La infracción de seguridad de Yahoo fue causada por una campaña de correo electrónico de phishing y resultó en el compromiso de más de 3 mil millones de cuentas de usuario. Los datos expuestos incluyen nombres, números de teléfono, preguntas de seguridad y contraseñas débilmente cifradas. Muchas de esas contraseñas han llegado a la web oscura y forman la base de las bases de datos de credenciales robadas que los atacantes utilizan hoy en día.
La violación ocurrió en 2013 y 2014, pero solo descubrió en 2016.
Equifax
Equifax es un servicio de informes de crédito en Estados Unidos. Los atacantes explotaron una vulnerabilidad en Struts, un marco de código abierto que fue utilizado por el sitio web de la organización.
La tragedia fue que se trataba de una vulnerabilidad conocida y los procedimientos adecuados para parchear y actualizar los sistemas del sitio web habrían evitado la violación. El ataque expuso la información privada de 145 millones de personas, incluidos nombres, números de seguridad social y licencias de conducir, creando un grave riesgo de robo de identidad.
En 2018, los atacantes obtuvieron acceso a 400.000 cuentas de usuario de Facebook y las usaron para obtener los tokens de acceso de 30 millones de usuarios de Facebook. Estos tokens proporcionan acceso completo a las cuentas de Facebook.
Catorce millones de usuarios tenían información privada expuesta, incluido el estado de la relación y los lugares recientes que visitaron. Quince millones tenían nombres y datos de contacto violados.
Home Depot
El robo de información de tarjetas de pago se ha convertido en un problema común en la sociedad actual. Incluso después de las lecciones aprendidas de la violación de datos de Target, los sistemas de punto de venta de Home Depot se vieron comprometidos por métodos de explotación similares.
El uso de credenciales de proveedores de terceros robadas y el malware de eliminación de RAM fueron fundamentales para el éxito de ambas violaciones de datos.
El malware de raspado de RAM capturó los datos de la tarjeta de pago en el incumplimiento de Home Depot, no los skimmers de tarjetas de pago. Sin embargo, el malware nunca se habría instalado en los sistemas si los atacantes no tuvieran credenciales de terceros y si la red de pago estuviera segregada adecuadamente del resto de la red de Home Depot.
La implementación del cifrado P2P y la segregación de red adecuada habrían evitado la violación de datos de Home Depot.
Sanciones y consecuencias si no se notifica la brecha adecuadamente
No comunicar las brechas de seguridad se considera como una infracción grave y podría acarrear multas de hasta 10 millones de euros o el 2% del volumen de negocio de la empresa en el ejercicio anterior.
Preguntas frecuentes
¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?
Los encargados deben informar a los responsables del tratamiento siempre que se produzca una brecha de seguridad que puedan suponer que se ha producido una quiebra de seguridad de datos personales.
¿Qué consecuencias tiene la notificación de la brecha de seguridad a la AEPD?
Notificar las brechas de seguridad tiene un doble aspecto positivo. Por un lado, reduce la sanción que podría recibir la empresa. Por otro, limpia la imagen que ofrece a la opinión pública.
¿Cuándo debe considerarse que supone un riesgo para los derechos de los interesados?
Casos en lo que exista riesgo de fraude o usurpación de identidad, reversión de la anonimización, pérdidas financieras para la empresa o perjuicio para su reputación.
Cuando se ponga en riesgo la confidencialidad de información sometida al deber de secreto profesional. O se evalúen aspectos personales referentes al rendimiento laboral.
Si el tratamiento afecta a un elevado número de interesados e implica el tratamiento de un gran volumen de datos personales.
¿Qué ocurre si notifico la brecha de seguridad después del plazo de 72 horas?
Si una empresa no notifica una brecha de seguridad a tiempo corre el riesgo de ser sancionada.
En todo caso, se puede realizar la notificación pasado este plazo, siempre y cuando se acompañe de una explicación que argumente los motivos de este retraso.
¿Cómo puedo evitar un incidente de seguridad en mi empresa?
Esta es la pregunta más complicada de todas. Nadie está totalmente a salvo de sufrir algún ataque informático o un fallo de seguridad. En todo caso, hay que adoptar las medidas técnicas y organizativas necesarias para reducir al máximo las posibilidades de que esto suceda. También hay que tener una política de seguridad definida y un protocolo de respuesta ante incidentes, con el objetivo de actuar con la mayor rapidez posible ante los ataques.
Podéis ampliar esta información sobre el tratamiento de las brechas de seguridad según el RGPD, en la Guía para la gestión y notificación de brechas de seguridad de la AEPD.
Hola buenas tarde, mi caso es que hay días que me llamas 3, 4, 5 veces pero cuando lo cojo se quedan callados y no responden, trabajo de noche y pienso que puede ser un familiar en apuros y me despiertan, uno de los días que libraba recibí una llamada a las 6 de la mañana y la verdad me enfade mucho, me comentaron que este tipo de llamada provienen de fuera de España que las compañías telefónicas las contratan a bajo coste sin mirar el daño que hacen a los que las padecemos, comentar que mi teléfono no es digital y no reflejan los Nº, estoy en el listado Robinson hace años, me pueden ayudar por favor.
Un cordial saludo.
Emilio.
Buenas tardes Emilio, esto puedes denunciarlo ante la AEPD