Según el Centro de Recursos contra el Robo de Identidad (ITRC, por sus siglas en inglés), en 2023 se produjeron más de 3.200 ataques de datos en Estados Unidos, con 353 millones de víctimas, incluidas las que se vieron afectadas varias veces. Cada una de esas personas podría ser un cliente que decide llevar su negocio a otra parte como resultado. O un empleado que reconsidera su puesto en su organización. Esto debería ser motivo suficiente para dar prioridad a la seguridad de los datos.

Sin embargo, a pesar de que las empresas de todo el mundo gastan decenas de miles de millones de dólares al año en ciberseguridad, las filtraciones de datos siguen proliferando. ¿Por qué resulta tan difícil mitigar estos riesgos cibernéticos? La escala y variedad de los ataques, los recursos de los actores de las amenazas y el tamaño de la superficie de ataque típica de las empresas son algunas de las respuestas.

Por qué los datos son un negocio

El volumen de datos creados en todo el mundo se ha disparado en los últimos años gracias a la transformación digital. Según una estimación, en 2024 se crearán, capturarán, copiarán y/o consumirán 147 zettabytes cada día. Estos datos contienen la clave para desbloquear información vital sobre los clientes, mejorar la eficiencia operativa y, en última instancia, tomar mejores decisiones empresariales. También contienen secretos comerciales, IP sensible e información personal/financiera sobre clientes y empleadores, que es altamente monetizable en el subsuelo de la ciberdelincuencia. Esto la pone en peligro tanto para los ciberdelincuentes con motivaciones financieras como para los actores alineados con el Estado.

Según el ITRC, en 2023 se produjeron en Estados Unidos más de 3.200 ataques contra datos. Estos pueden causar importantes daños financieros y de reputación, incluyendo:

  • Costosas demandas colectivas
  • Daños a la marca
  • Pérdida de clientes
  • Caída del precio de las acciones
  • Costes asociados al análisis forense y la recuperación informática
  • Multas reglamentarias
  • Costes de notificación de infracciones
  • Pérdida de productividad
  • Interrupciones operativas

¿Cuáles son las amenazas más graves para los datos?

No todas las violaciones son deliberadas. Más de dos tercios (68%) de las analizadas por Verizon el año pasado tuvieron su origen en "una acción humana no malintencionada", como que un empleado fuera víctima de un ataque de ingeniería social o enviara accidentalmente información confidencial por correo electrónico al destinatario equivocado. El error humano también puede incluir una mala configuración de sistemas informáticos críticos, como las cuentas en la nube. Puede ser algo tan simple como no añadir una contraseña fuerte y única.

Sin embargo, también hay que ser consciente de la amenaza de los intrusos malintencionados. Estos tienden a ser más difíciles de detectar, si la persona en cuestión oculta deliberadamente pruebas de sus malas acciones, mientras que al mismo tiempo es capaz de utilizar el conocimiento interno de los procesos de negocio y herramientas. Se afirma que el coste de este tipo de incidentes se está disparando.

Los actores envalentonados de los Estados nación también constituyen un adversario persistente y sofisticado. Puede que sólo representen alrededor del 7% de las violaciones (según Verizon), pero tienen muchas posibilidades de éxito si su organización tiene la mala suerte de ser un objetivo o se ve atrapada en el fuego cruzado.

¿Cuáles son los principales vectores de amenaza a los que se enfrenta su organización?

  • El phishing y otros métodos de ingeniería social siguen siendo una de las principales vías de ataque. ¿Por qué? Porque los seres humanos siguen siendo criaturas falibles que a menudo se tragan las historias que les cuentan los estafadores. Si estos esfuerzos se dirigen a individuos específicos en ataques de spear-phishing, tienen aún más posibilidades de éxito. Los ciberdelincuentes pueden extraer información de las redes sociales, especialmente de LinkedIn, para adaptar estos mensajes.
  • Las cadenas de suministro pueden secuestrarse de varias maneras. Los ciberdelincuentes pueden utilizar la nube o los proveedores de servicios gestionados (CSP/MSP) como trampolín para acceder a las organizaciones de varios clientes. O podrían implantar malware en componentes de código abierto y esperar a que se descarguen. En los ataques más sofisticados, podrían vulnerar a un desarrollador de software e instalar malware dentro de actualizaciones de software, según la campaña de SolarWinds.
  • La explotación de vulnerabilidades sigue siendo uno de los tres métodos principales para desencadenar ataques de ransomware. Según Verizon, el volumen de exploits de vulnerabilidades asociados a incidentes de violación de datos este año creció un 180% con respecto a 2023. El grupo de inteligencia Five Eyes ha advertido de que el número de vulnerabilidades de día cero también está creciendo, lo que debería ser motivo de preocupación aún mayor, ya que se trata de fallos para los que no existen parches de software.
  • Las credenciales comprometidas suelen ser el resultado de una mala seguridad o gestión de contraseñas, ataques de phishing con éxito, filtraciones de datos a gran escala o ataques de fuerza bruta contra contraseñas. Constituyen una de las formas más eficaces de eludir sus ciberdefensas, sin hacer saltar ninguna alarma. Verizon afirma que el uso de credenciales robadas ha aparecido en casi un tercio (31%) de todas las brechas de la última década.
  • El BYOD sigue ofreciendo oportunidades a los actores de amenazas, ya que los empleados de las empresas a menudo se olvidan de descargar antimalware en sus dispositivos personales. Si se ven comprometidos, los piratas informáticos pueden obtener inicios de sesión para cuentas corporativas en la nube, acceder a correos electrónicos de trabajo y mucho más.
  • Vivir de la tierra es un conjunto de técnicas de post-explotación comúnmente utilizadas para el movimiento lateral y la exfiltración, que permiten a un adversario permanecer oculto a plena vista. Utilizando herramientas legítimas como Cobalt Strike, PsExec y Mimikatz, pueden realizar una serie de funciones de forma difícil de detectar.

También debemos mencionar aquí el potencial de las herramientas basadas en IA para ayudar a los actores de amenazas. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) afirmó en enero de 2024 que la tecnología "aumentará casi con toda seguridad el volumen y agudizará el impacto de los ciberataques en los próximos dos años", especialmente en lo que respecta al reconocimiento y la ingeniería social.

Contraatacar

Afrontar el reto de las filtraciones de datos significa tomar medidas en todos los frentes, para reducir el riesgo en una superficie de ataque que sigue creciendo con cada inversión en transformación digital, punto final de trabajo remoto sin parchear y credencial robada. He aquí algunas ideas para empezar:

  • Comprender el alcance de su superficie de ataque mediante el mapeo continuo de todos sus activos de TI
  • Implementar programas de gestión de vulnerabilidades y parches basados en el riesgo, incluidas pruebas de penetración periódicas
  • Asegurarse de que todos los equipos y dispositivos corporativos están protegidos por un software de seguridad multicapa
  • Instalar herramientas de prevención de pérdida de datos
  • Utilizar la gestión de dispositivos móviles (MDM) para vigilar todos los dispositivos y asegurarse de que tienen instalado un antimalware de un proveedor de confianza
  • Aplcar políticas de contraseñas seguras y autenticación multifactor (MFA) en todas partes
  • Educar a las personas sobre cómo detectar mensajes de phishing y otras áreas críticas de concienciación sobre seguridad
  • Crear un plan de respuesta a incidentes y someterla a pruebas de estrés periódicamente
  • Cifrar los datos en tránsito y en reposo
  • Auditar a los proveedores y socios externos
  • Supervisar la red y los puntos finales para alertar con antelación de cualquier intrusión
  • Asegurarse de que los sistemas en la nube están correctamente configurados

Como recientemente se celebró el Día Internacional de la Protección de Datos, está claro que mantener nuestros datos más sensibles bajo llave requiere vigilancia tanto por parte de los individuos como de las empresas en las que confían para que cuiden de su información. Las consecuencias normativas de no hacerlo podrían ser graves, al igual que la pérdida de confianza de los clientes. Pero lo contrario también es cierto. Demuestre que su empresa es un custodio responsable de estos datos, y podría convertirse en un poderoso diferenciador competitivo.