Los datos en general constituyen en este momento uno de los activos más valiosos, de ahí que las filtraciones constituyan un tema de interés prioritario para organizaciones, gobiernos y para las personas
Las formas que más comúnmente usan los ciberdelincuentes para provocar una filtración de datos son la suplantación de identidad, el robo de credenciales, la explotación de vulnerabilidades y las redes de bots, sin olvidar los ataques con denegación de servicio (DoS).
Causas y riesgos de la filtración de datos
Ciberataques, vulnerabilidades y errores humanos son las causas más frecuentes de la filtración de datos. La creación de nuevos virus bajo el formato de malware y variadas técnicas de penetración a través de phishing forman parte de los ataques cibernéticos constantes a toda clase de sistemas. Las vulnerabilidades incluyen corrupción de datos, acceso sin restricciones a sitios web y descarga de contenidos que pueden contener código malicioso, cortes de suministro eléctrico, carencia de políticas claras de seguridad informática, entre otras. En cuanto a los errores humanos, pueden ser debidos a que se descuida el monitoreo interno, el acceso de terceros en áreas restringidas o el acceso y conexión de dispositivos no autorizados.
La pérdida de información confidencial es uno de los riesgos más importantes derivados de una filtración de datos, como también lo es el daño financiero asociado a la recuperación de datos y reemplazo de equipamiento comprometido (servidores, discos duros, etc.)
Consecuencias de la filtración de datos
Cualquier filtración de datos provoca problemas, cuya dimensión es tan variada como lo es el tipo y tamaño de organización vulnerada.
Una empresa farmacéutica u hospitalaria, por el tipo de información que maneja, puede generar afectaciones graves relacionadas con la confidencialidad de los datos de los pacientes y sus tratamientos médicos. En tanto que una empresa minorista del sector papelero, pudiera tener una afectación de menor impacto si la filtración de datos incluye tendencias en el consumo de suministros de oficina.
En cualquier caso, las consecuencias, tanto para las organizaciones como para los individuos, dañan la reputación y el valor de marca, con lo que llegan también pérdidas de oportunidades comerciales y de credibilidad, así como descenso en las ventas. Perjudican el desempeño económico-financiero y desencadenan problemas legales, donde se pueden involucrar demandas, sanciones y multas para la entidad vulnerada.
Los datos personales filtrados son material valioso para los atacantes, ya que sirven para fraudes o robos de identidad, así como para ser vendidos en el mercado negro.
Cómo prevenir la filtración de datos
A veces olvidamos que el enfoque más sencillo puede generar los mejores resultados. Aplicar este concepto en prevenir la filtración de datos no es la excepción, así que comenzar por lo básico, como es el conocimiento del marco regulatorio que afecta la protección de datos personales, marca la pauta, para continuar con la capacitación de los empleados, acercándoles toda la información posible acerca de las estrategias y herramientas de ciberseguridad que utiliza la empresa, las posibles amenazas y cómo actuar en cada caso.
Una valoración del tipo de datos que se manejan, clasificándolos por grupos para tener identificados los más sensibles, ayuda a establecer los protocolos de almacenamiento, acceso y resguardo para cada grupo, facilitando así una gestión estratégica que minimice el impacto de una filtración, ya que solo impactará un segmento, en caso de que se presente.
Contraseñas seguras y encriptación garantizan líneas de defensa robustas ante posibles atacantes. La aplicación de contraseñas complejas gestionadas con actualizaciones diarias, PIN únicos o accesos programados, dan muy buenos resultados. En cuanto a la encriptación, los algoritmos de cifrado dificultan la lectura de datos para quien no posee la clave de acceso.
Mención aparte merece la gestión de identidades, que son los procesos internos enfocados en las cuentas de usuario y recursos de red corporativa, así como privilegios de acceso, para autenticar a los usuarios.
El uso de dispositivos portátiles debe estar regulado y supervisado (esto recibe el nombre de MDM o sistemas de gestión de dispositivos móviles), de la mano con una estrecha vigilancia en caso de que se apliquen las políticas BYOD (bring your own device).
Por último, mediante la aplicación de pruebas de penetración (que llevan a cabo hackers profesionales o “de sombrero blanco”) se pueden identificar vulnerabilidades en los sistemas y redes, así como también la forma de corregirlas.
¿Qué hacer en caso de filtración de datos?
Para las empresas que experimentan una filtración de datos, la recomendación es seguir un protocolo de tres pasos: apagar todos los sistemas involucrados; corregir las vulnerabilidades de sistemas y redes; notificar el incidente. Al apagar los sistemas se evita que otros más resulten comprometidos, se procede con una renovación de contraseñas, al mismo tiempo que se comienza la búsqueda de las causas del incidente con un equipo interdisciplinario, preservando todo aquello que pueda servir como pruebas. Con lo que diagnostique el grupo experto, la corrección de vulnerabilidades es lo que permitirá regresar a operar con relativa normalidad. Por último, dar a conocer lo sucedido, tanto interna como externamente, mediante los canales oficiales de comunicación de la empresa, ya que hay clientes y usuarios que pueden resultar afectados por el uso malicioso de la información filtrada. La notificación del incidente puede requerir también la intervención de las autoridades, ya sea ministerio público, guardia nacional o policía cibernética.
En lo individual, al enterarse de una filtración de datos que afecte por ejemplo a la entidad financiera donde se tienen cuentas, lo primero es averiguar qué datos están comprometidos y que tan antiguos son. De no ser posible, actuar de inmediato cambiando las contraseñas, dando de baja tarjetas de crédito o débito y luego requiriendo sus reemplazos. Además, resulta imprescindible notificar a las autoridades correspondientes, que en el caso de México es el INAI (Instituto Nacional de Acceso a la Información), como garante del derecho a la protección de datos personales; la CNBV (Comisión Nacional Bancaria y de Valores) responsable de investigar filtraciones de datos en el sector financiero; el ministerio público, instancia encargada de la persecución de delitos y, solo si media petición de éste último, interviene la Guardia Nacional, que proporciona apoyo ante posibles ataques cibernéticos, interviene como entidad técnica y de ser necesario como entidad policial.
Ejemplos de filtraciones de datos
Sonados ejemplos de filtraciones de datos a lo largo de los años hay docenas, entre ellos los siguientes:
“Court Ventures”, nombre con el que se identifica una de las filtraciones de datos consideradas más audaces. Entre 2007 y 2013, Hieu Minh Ngo, hacker y especialista vietnamita en ciberseguridad, siendo muy joven encabezó una actividad sostenida de robo de información personal identificable de ciudadanos norteamericanos (nombres, datos bancarios) sustrayéndola de bases de datos empresariales, entre ellas las de Court Ventures, subsidiaria de Experian. Este ataque afectó a más de doscientos millones de personas. Hieu, como ciberdelincuente, pasó un tiempo en prisión en los Estados Unidos. Actualmente es un reconocido experto y conferencista en temas de ciberseguridad, además de liderar organizaciones humanitarias y “non-profit”.
Otro caso, es el de Anthem, la segunda más grande compañía de seguros de salud en los Estados Unidos, que experimentó en 2015 una enorme filtración de datos, con más de ochenta y ocho millones de clientes afectados. La información comprometida contenía nombres, direcciones, fechas de nacimiento, números de seguridad social, números de teléfono e información laboral, que fueron empleados en campañas de phishing. No se tiene identificado al responsable del ciberataque, aunque se considera una ventaja el que los registros médicos y la información financiera no hubieran sido comprometidos.
En el ámbito político, el caso de los “Panamá Papers” en 2016 colocó en el escenario público más de once millones de documentos que involucraban alrededor de doscientas catorce mil empresas offshore donde políticos de alto rango, atletas profesionales y personajes del crimen organizado manejaban sus activos, en forma oculta y aprovechando los paraísos fiscales. Esta filtración de datos es una de las más grandes de la historia, no solo por el volumen de información filtrada, sino por su impacto y alcance, los negocios ilegales involucrados, y la evasión de impuestos.
Tendencias y estadísticas actuales
Independientemente de lo que puedan reportar en ganancias a los ciberdelincuentes la venta de información comprometida o su utilización para phishing o ransomware ¿cuánto cuestan las filtraciones de datos? Pues IBM destaca, en su reciente reporte Cost of a Data Breach 2023, que en Latinoamérica se presentan los mayores costos, por ejemplo en materia de ataques maliciosos, $2 millones 590,000 dólares, seguido de ataques con credenciales robadas y comprometidas, $2 millones 560,000 dólares y en tercer lugar, por la pérdida accidental o robo de datos o dispositivos, aproximadamente $2 millones 530,000 dólares. Los sectores que más sufren filtraciones de datos son el financiero, el industrial y el de servicios.
Legislación y regulaciones
Entre las consecuencias derivadas de una filtración de datos, está la responsabilidad legal en que puede incurrir quien recolecta, almacena, opera o resguarda datos personales y a quien en última instancia se le están robando tales datos. La legislación al respecto en todo el mundo es compleja, pero se trata de brindar cierto nivel de confianza y certeza a las personas en cuanto a la información sensible que directa o indirectamente están aportando a empresas, instituciones y gobiernos.
Un referente importante es el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea, qué entró en vigor en 2018. Su ámbito de aplicación es amplio, abarca el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de un individuo y afecta a cualquier organización a nivel mundial que procese datos personales de individuos de la Unión Europea. Contempla sanciones elevadas para aquellas empresas que sufran una violación en materia de protección de tales datos, llegando hasta un 4% de los ingresos globales.
Esta normativa europea, constituye la base sobre la que países tales como Argentina, México, Brasil y Colombia, han desarrollado su propia legislación en la materia.
Para el caso de México, el marco normativo que regula la protección de datos personales incluye dos ordenamientos: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Ley General de Protección de Datos personales en Posesión de Sujetos Obligados (LGPDPPSO). La legislación involucra aspectos tecnológicos, regulaciones, privacidad y el uso correcto de la información.
En cuanto a la aplicación, corresponde al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) la emisión de guías o documentos a observar por parte de quienes manejan datos personales, siendo estas: La Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y la Guía para el Tratamiento de Datos Biométricos.
Para las empresas en nuestro país es altamente recomendable respetar algunos lineamientos: asegurarse de mantener avisos de privacidad, obtener el consentimiento por parte de las personas que aportan sus datos (los titulares de la información) y estar atentos al ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición).
Tecnologías y soluciones de seguridad
Buena parte de las soluciones para evitar o minimizar la filtración de datos, pasa por la concientización de las personas, así que las organizaciones deben contemplar este componente en su gestión de ciberseguridad. Es necesaria la implementación de campañas informativas con recomendaciones al respecto, así como de los pasos a seguir en caso de experimentar algún incidente que pueda poner en riesgo la información con la que se trabaja. Además de soluciones que gestionan el uso de puertos USB en los equipos de la organización, para impedir el reconocimiento de dispositivos ajenos o no autorizados y, soluciones DLP (data loss prevention) que inspeccionan el tráfico, pudiendo detectar e impedir el envío de documentos u otro tipo de información a posibles atacantes.
Zero Trust es una estrategia de ciberseguridad destinada a evitar que las filtraciones de datos consigan sus objetivos. Este modelo no confía en nada dentro ni fuera de su perímetro de red, supone que cada conexión o equipo es una potencial amenaza, por lo tanto, cada dispositivo, equipo, aplicación o conexión es validado.
Por último, la estrategia de seguridad en capas múltiples, que puede incluir: soluciones de autenticación multifactor; soluciones de acceso con privilegios, sumadas a buenas prácticas de gestión de privilegios mínimos; herramientas para detección y respuesta ante amenazas en endpoints (computadoras de escritorio, portátiles, smartphones, tablets o dispositivos de internet de las cosas).
Consejos para proteger la privacidad personal
Desde el entorno individual, la protección de los propios datos, la privacidad personal, atiende a un criterio básico que es la minimización de riesgos, para evitar ser víctimas de filtraciones o bien, si suceden, que las consecuencias sean las menos posibles.
- No dejar datos sueltos, esto es evitar registros y suscripciones innecesarias al navegar en internet; evitar dejar datos de contacto en mensajes públicos, incluidas redes sociales.
- Usar una tarjeta digital para las compras en línea.
- Evitar la reutilización de contraseñas.
- Utilizar una VPN (virtual private network) y servicios antiseguimiento, como las sesiones de incógnito en los navegadores.
- Actuar con rapidez en caso de sospechar o tener evidencia de ser víctima de filtración de datos.
Casos de filtraciones en la actualidad
Entre los casos recientes, destaca el de la Policía Nacional de Shanghái (SHGA) en 2022, con la filtración de datos correspondientes a mil millones de personas en China, esto es el 70% de su población. Los datos estuvieron expuestos y disponibles durante un año, antes de que se reportara en forma anónima la disponibilidad de toda esa información para su venta, desde un sitio accesible sin restricciones. Se trataba de veintitrés terabytes de datos, a la venta por 10 bitcoin, esto es, unos doscientos mil dólares en ese momento. La gravedad del caso es porque estaba implicada información gubernamental sensible y porque el tipo de información incluía nombres, direcciones, identificación nacional, móvil, registros policiales y médicos, datos de gran valor en el mercado de los ciberdelincuentes.
En México, el sector financiero presenta casos de filtración de datos con cierta frecuencia. Este 2023, en febrero se conoció una filtración de datos del Buró de Crédito, con afectación de registros de 2016, muchos de ellos ya eliminados del historial del Buró, quien confirmó el hecho, derivando la atención hacia la integridad de la base de datos actual. También del sector financiero, en junio, el Centro de Respuestas a Incidentes de México (CERT-MX) de la Guardia Nacional, emitió una alerta acerca de una posible filtración de datos provenientes de dos instituciones bancarias, que incluirían nombres, direcciones, números de cuenta, saldos y claves de acceso para nueve millones de registros, poniendo en riesgo la seguridad y privacidad de los clientes.
Conclusiones y perspectivas futuras
Conforme crece la interacción con el mundo digital, las aplicaciones de todo tipo, el gaming, las apuestas, las monedas cibernéticas, vamos dejando en el camino de los registros, inscripciones y cookies, una serie de piezas de información y datos personales sin mayor preocupación. Todo este universo es la materia de interés para los ciberdelincuentes quienes buscan hacerse con nombres, claves de acceso, etc. Es decir que la probabilidad de encontrar nuestros datos como parte de una filtración es cada vez mayor.
La presencia arrolladora de AI (artificial intelligence), el almacenamiento cloud, internet de las cosas (IoT), son, de acuerdo con los expertos, áreas que incrementan el riesgo de filtraciones de datos. Más concretamente, en los procesos de aprendizaje automático para entrenar los modelos AI, el riesgo de filtraciones de datos es una constante, que además entra en un escenario no regulado. La posibilidad de que ciberdelincuentes aprovechen alguna falla en los modelos, podría generar que se contaminen conjuntos de datos que servirán como fuente de información para otras aplicaciones, cuya validez estaría en entredicho. El camino de la regulación para AI apenas comienza.
Así que hay dos tendencias a reforzar. Una es la formación y certificación de más profesionales en cuestiones de seguridad informática y ciberseguridad, incluidos los científicos de datos, los expertos en analítica, así como los hackers éticos y forenses. La otra es la revisión y posiblemente redefinición de las estructuras y estrategias aplicables en términos de seguridad informática, tal y como ya lo están proponiendo algunas de las grandes firmas consultoras globales, como son los casos de PwC y EY.