El aumento del uso de Internet en los últimos años ha hecho que cada vez circulen más y más datos por la Red, sean personales o corporativos, y que estos se hayan convertido en el objetivo de muchos ciberdelincuentes para cometer diferentes tipos de fraudes o simplemente ganar dinero vendiendo bases de datos robadas. El robo de datos es un problema cada vez más importante para las empresas, que no solo pueden sufrir pérdidas económicas y de prestigio, sino también multas millonarias por no proteger adecuadamente los datos de sus clientes y usuarios.
En este artículo explicaremos qué es el robo de datos informáticos, qué métodos se emplean habitualmente para llevarlo a cabo y cómo podemos protegernos ante él.
¿Qué es el robo de datos?
El robo de datos en el contexto digital actual, que es el que nos ocupa en este artículo, consiste en el acceso y sustracción ilícita de datos e información guardada en ordenadores, servidores, unidades externas de memoria, dispositivos electrónicos (como puede ser un smartphone o una tablet) y cualquier otro dispositivo que pueda contener datos personales o información confidencial o secreta. Pueden sufrirlo tanto usuarios particulares como empresas u otro tipo de organizaciones, así como organismos e instituciones públicas.
La finalidad del robo de datos en Internet varía según los objetivos que tenga el ciberdelincuente o ciberdelincuentes detrás del robo y el tipo de datos que haya conseguido robar. Así, los datos robados pueden usarse, por ejemplo, para venderlos en la Dark Web, para lanzar campañas masivas de phishing, para llevar a cabo otros fraudes a través de la usurpación de identidad o para robar cuentas de usuario y contraseñas.
¿Cómo se produce el robo de datos?
El robo de datos personales o corporativos se puede producir de diferentes formas, dependiendo del método escogido por el ciberdelincuente para llevarlo a cabo y, aunque lo habitual es recurrir a ataques cibernéticos, también se puede realizar el robo de datos por llamadas telefónicas, donde el interlocutor se hará pasar por una entidad (como puede ser un banco, por ejemplo) y solicitará datos personales o confidenciales a la víctima, para hacerse con ellos.
Centrándonos en los robos de datos por Internet, los métodos empleados más habituales son los siguientes:
- Phishing: Posiblemente una de las técnicas más usadas para robar datos personales. Es habitual que se lleve a cabo a través del envío de correos electrónicos o SMS fraudulentos, que conducen a los usuarios a páginas falsas que imitan páginas oficiales, para que introduzcan en ellas sus datos y credenciales. Es un método del que tenemos muchos ejemplos, especialmente para el robo de datos bancarios.
- Spyware: Se trata de un tipo de malware que una vez instalado en el ordenador de la víctima, tratará de acceder a tu información y datos, además de «ver» tus usuarios y contraseñas y enviarlos a un servidor de comando y control controlado por el ciberdelincuente.
- Keyloggers: Podemos decir que es un tipo de spyware que registra todo lo que se escribe en el ordenador la víctima, por lo que cuando se introducen credenciales de cualquier cuenta, están quedan «a la vista» de los ciberdelincuentes que han infectado el equipo.
- Vulnerabilidades: Son fallos de seguridad o errores en programas legítimos, que los ciberdelincuentes pueden usar para introducirse en nuestros equipos o redes e infectarlos con malware o recorrerlos en busca de datos que robar.
- Sniffing: Se produce cuando nos conectamos a Internet a través de una red WiFi pública no protegida, que hace más fácil que los ciberdelincuentes puedan interceptar cualquier información que enviemos.
- Scraping: No es exactamente un ataque informático o un robo de datos per se, puesto que lo que se hace aquí es «raspar» la parte superficial de una web para recopilar todos los datos públicos que figuran en ella y crear con ellos una base de datos que luego se puede vender en la Dark Web. Es habitual que lo sufran redes sociales como LinkedIn o Facebook.
- Formajaking: Este es un tipo reciente de ciberataque en el que los ciberdelincuentes inyectan código JavaScript malicioso para recopilar los datos que se introducen en los formularios web. El código malicioso recopila y transfiere los datos a un servidor controlado por los ciberdelincuentes.
- Accesos a escritorios remotos con contraseñas débiles: Se produce cuando un trabajador a distancia utiliza una contraseña débil para conectarse a la red de la empresa y su escritorio remoto, abriendo la puerta a que un ciberdelincuente pueda introducirse en dicha red y, a través de técnicas movimiento lateral, vaya consiguiendo accesos a niveles más restringidos.
- Robo de datos por WhatsApp: Todavía no es una técnica muy extendida, pero funciona a través de una falsa promoción para obtener un producto de forma gratuita que nos llega a través de un mensaje de WhatsApp. En el mensaje se pide reenviarlo a 10 personas o 3 grupos para activar la promoción, al hacerlo, recibiremos un mensaje con un enlace que nos llevará a una web donde se nos pedirá descargar un software sospechoso o registrarnos en un servicio prémium.
- Inyección SQL: Este ataque se produce sobre las propias bases de datos SQL de páginas web no seguras, permitiendo que los ciberdelincuentes puedan acceder a las bases de datos que albergan información sobre los usuarios (como puede ser números de tarjetas de crédito si es un comercio online).
Tipos de robo de datos
Igual que existen diferentes métodos para robar datos, también podemos diferenciar entre diferentes tipos de robo de datos en función de la finalidad u objetivos que se persigan con ello.
Estos son los principales tipos de robo de datos:
- Robo de identidad fiscal
- Robo de número de la Seguridad Social
- Robo de identidad infantil
- Robo de número de tarjetas de crédito o cuenta bancaria
- Robo de datos para la suplantación de identidad
- Robo de cuentas de móviles
El robo de datos es una tendencia en aumento
El robo de datos es una tendencia que van en aumento, desde 2009, cuando se dio el primer «boom» en robo de datos, hasta ahora hemos sido testigos de noticias como el robo de datos en Facebook (que afectó a 30 millones de usuarios), en PlayStation Network (en el que se robaron datos de 77 millones de cuentas de usuario), en la ya desaparecida Google+ (quedaron expuestos datos de más de 50 millones de usuarios) o, más reciente, en el robo de datos a Phonehouse (que afectó a más de un millón de usuarios). Pese a que en 2019 se notó una ligera mejoría, con un descenso en este tipo de delitos, las cifras no han hecho más que subir desde 2020.
En un informe del Foro Económico Mundial se constató que el número de ataques sufridos por las empresas relacionados con datos (como el ransomware y el robo de datos) había aumentado un 151% en 2021.
Más centrado en robo de datos personales, según la Comisión Federal de Comercio de Estados Unidos (FTC), los casos relacionados con robo o suplantación de identidad aumentaron un 45% en 2020.
El robo de datos, además, no solo un problema para las empresas, aunque suelen ser el principal objetivo de los ciberdelincuentes, sino también de particulares, especialmente para usuarios habituales de redes sociales, que según algunos estudios de empresas de ciberseguridad, tienen un riesgo superior a ser víctimas de robo de cuentas y suplantación de identidad.
De cara al futuro, se espera que los ataques cuyo objetivo sea el robo de datos sigan aumentando, puesta que cada vez llevamos a cabo más operaciones y transacciones a través de la Red y las empresas han comenzado mayoritariamente su proceso de digitalización
¿Cómo protegernos ante el robo de datos?
Las consecuencias del robo de datos suelen ser económicas siempre, tanto para particulares como para empresas, además de poder afectar a la reputación y la imagen cuando entra en juego la suplantación de identidad. Por ello es importante protegerse ante el robo de datos.
Como usuarios particulares, las recomendaciones para protegerse del robo de datos son:
- Usar una contraseña diferente para cada cuenta de usuario que tengamos hecha y que estas sean robustas (largas, con mayúsculas y minúsculas, números y símbolos).
- No pulsar en enlaces de emails, SMS o mensajes sospechosos (dudar siempre de correos de supuestas empresas que nos pidan introducir nuestros datos de acceso pulsando en un enlace que suministran ellos).
- Limitar la información personal que compartimos en redes sociales de forma pública. Y controlar la que tenemos vinculada en nuestro perfil privado.
- Utilizar antivirus.
- Mantener actualizados hardware y software.
- No compartir nunca nuestras contraseñas.
- Ante la duda de haber podido sufrir un robo de datos, cambiar las contraseñas
- En caso de tener información sensible en el ordenador o una memoria externa, cifrarlos (existen programas para ello e incluso Windows 10 pro cuanta con esta opción).
En el caso de las empresas, están son las recomendaciones básicas para evitar el robo de datos o, en caso de que se produzca, minimizar el impacto y las consecuencias del mismo:
- Encripta los datos y la información confidencial de la empresa y de sus clientes almacenada en ordenadores o servidores.
- Limita el número de personas que pueden acceder a información confidencial y datos de usuarios o clientes, estableciendo un sistema de accesos basado en niveles de responsabilidad o necesidad.
- Protege mediante contraseña todos los accesos a equipos de la empresa y la red interna.
- Utiliza soluciones de seguridad como antivirus, firewall, sistemas de seguridad endpoint, sistemas de detección de intrusiones, etc.
- Actualiza hardware y software en cuento haya parches y actualizaciones disponibles para evitar vulnerabilidades.
- Utiliza redes privadas virtuales para las conexiones remotas y asegúrate de que los trabajadores no se conectan desde redes públicas y configuran contraseñas seguras.
- Forma a tus empleados en ciberseguridad y asegúrate de que cumplen con los protocolos y medidas de seguridad para la protección de datos.
- Si contratas servicios de terceros, como servicios de cloud computing, asegúrate de que estos cumplen con los estándares de seguridad necesarios.
¿Qué hacer si mi empresa ha sufrido un robo de datos?
Si tu empresa ha sufrido un robo de datos, lo primero que debes hacer, especialmente si los datos son datos personales y no estaban cifrados, es notificarlo a la Agencia Española de Protección de Datos (AEPD) y a los usuarios o clientes cuyos datos hayan podido verse afectados (es una obligación de la normativa de protección de datos y para ello se dispone de un plazo de 72 horas).
Ten en cuenta que ante una brecha de seguridad que haya derivado en un robo de datos personales de clientes o usuarios, estos podrían ponerte una denuncia de protección de datos ante la AEPD e incluso reclamar una indemnización por vulneración de protección de datos.
Es recomendable que tras sufrir un robo de datos, se lleve a cabo un análisis del incidente por un equipo de forenses o peritos informáticos, para determinar qué datos se hayan podido ver afectados y cómo se ha realizado el robo (qué tipo de ataque se ha usado, si se han vulnerado cuentas de empleados, etc.). Esta investigación no solo nos servirá para reunir pruebas sobre el ataque, que podremos usar en procedimientos judiciales, sino que también servirá para mejorar y reforzar las medidas de seguridad de cara a evitar nuevos robos de datos en el futuro.
También habrá que presentar la consecuente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.