Básicamente, una filtración de datos es un incidente de seguridad en el cual la información protegida de usuarios y clientes de una empresa o servidor de internet queda expuesta a accesos no autorizados. Puede producirse debido a causas internas o externas y acostumbra a ser intencional o accidental.
Dejando a un lado los accidentes y los empleados descontentos que publican documentos clasificados como alto secreto, suele ser consecuencia de un ataque deliberado y contundente.
Generalmente implica el robo de números de cuentas bancarias y tarjetas de crédito, contraseñas de cuentas de correo electrónico y todo tipo de información confidencial tanto corporativa como personal.
Fuga de datos
Por el contrario, una fuga de datos no tiene porque producirse necesariamente como consecuencia de un ataque.
Basta con que una empresa maneje mal su información o lleve a cabo prácticas de seguridad inadecuadas.
Algo parecido a dejarse el coche abierto y con las llaves puestas.
Un ejemplo clásico de fuga de datos es cuando un servicio de almacenamiento en la nube, expone a internet los datos que sus clientes tienen guardados en sus servidores por culpa de una vulnerabilidad en su infraestructura, o porque se han olvidado de cifrarlos y los guardan en texto plano.
A fines de diciembre de 2019, un investigador de seguridad descubrió una base de datos de soporte al cliente de Microsoft que contenía 250 millones de entradas acumuladas durante 14 años que era accesible a cualquiera que supiese donde buscar.
La base de datos incluía casos de soporte, correos electrónicos y direcciones IP, ubicaciones geográficas de los clientes y notas hechas por los agentes de soporte de Microsoft.
Incomprensiblemente, esta base de datos estuvo accesible al público durante aproximadamente un mes. Microsoft lo confirmó el mismo día en que se informó de la infracción.
¿Cómo ocurre una violación de datos?
Una violación de datos ocurre cuando un ciberdelincuente se infiltra en una base de datos eludiendo la seguridad del servidor, para extraer información confidencial.
Para ello puede valerse de varias técnicas, como por ejemplo:
- Inyección SQL.
- Ataques a aplicaciones web.
- Ciberespionaje.
- Intrusiones en puntos de venta.
- Intentos de phishing.
- Ataques de denegación de servicio distribuido.
- Skimmers de tarjetas de pago.
En mayo de 2019, Canva, un sitio web de herramientas de diseño gráfico en línea, sufrió una violación de datos que afectó a 139 millones de usuarios.
Los datos expuestos incluían nombres de usuario de los clientes, nombres reales, direcciones de correo electrónico, contraseñas e información sobre la ciudad y el país.
Además, del total de 139 millones de usuarios, 78 millones de ellos tenían una dirección de Gmail asociada a su cuenta de Canva, con lo que esto implica.
Se identificó al culpable como Gnosticplayers, un pirata informático cuya notoriedad salió a la luz al poner a la venta datos robados de varios millones de cuentas en línea, a través de mercados alojados la web oscura.
Si bien la mayoría de las violaciones de datos se atribuyen a ciberdelincuentes que utilizan la ingeniería social o herramientas de malware, los errores humanos son bastante comunes.
Con el aluvión de información que manejamos tanto en nuestra vida digital como en nuestros entornos de trabajo, todos podemos cometer errores de seguridad fácilmente.
- Es posible no reconocer los correos electrónicos fraudulentos.
- Utilizar contraseñas débiles para nuestras cuentas tanto personales como corporativas.
- Filtrar de forma intencional o accidental información confidencial en las redes sociales u otros canales.
- Dejar desbloqueados los dispositivos del trabajo.
- Dejarse un portátil en el vestíbulo de un hotel.
- Usar indebidamente información privilegiada.
- Introducir una unidad USB troyanizada en el ordendor del trabajo.
- Pérdida involuntaria de cualquier cosa que contenga datos confidenciales.
- Incontinencia verbal durante una noche de copas en un bar.
Si bien un empleado de una empresa puede haber firmado un contrato de confidencialidad, no hay nada que le impida filtrar información si está descontento, o si los ciberdelincuentes le prometen un pago considerable.
Este tipo de fuga de datos se denomina exfiltración.
Afortunadamente, la mayoría de exfiltraciónes son accidentales.
Por ejemplo, el empleado de una empresa puede enviar un correo electrónico que contiene información privilegiada al destinatario incorrecto.
¿Quiénes suelen ser objeto de violaciones de datos?
Obviamente, las empresas, gobiernos y corporaciones, porque almacenan grandes cantidades de información personal y financiera de sus clientes y proveedores, como por ejemplo credenciales de inicio de sesión, detalles de facturación y números de cuentas bancarias y de tarjetas de crédito.
Y en el caso de los gobiernos, mucha información sensible.
Y todo esto, se puede vender en mercados clandestinos.
Sin embargo, a los atacantes les interesa cualquier persona. Todos los datos personales y confidenciales son valiosos, y siempre habrá alguien dispuesto a pagar por ellos.
Cómo podemos protegernos los usuarios de las violaciones de datos
Desafortunadamente, no existen fórmulas infalibles para proteger nuestra información, sobre todo si se encuentra almacenada en servidores de terceros de los cuales no tenemos ningún control.
Sin embargo, podemos minimizará las consecuencias.
Utilizar contraseñas diferentes para cada servicio en línea
Hay que utilizar contraseñas únicas para cada servicio: muchos usuarios utilizan las mismas contraseñas en varios servicios en línea.
El resultado es que cuando uno de estos servicios sufre una violación de datos, los atacantes pueden usar esas credenciales para poner en peligro otras cuentas.
Implementar en nuestras cuentas la autenticación de doble o múltiple factor
La autenticación de doble o múltiple factor es la implementación de más de un método de verificación para confirmar la identidad de un usuario antes de que se le permita iniciar sesión en un servicio.
Al iniciar sesión, mediante un nombre de usuario y una contraseña en un servicio en línea que admita este tipo de método, se le solicita al usuario que ingrese el código que se muestra en la aplicación instalada en el dispositivo.
Google Authenticator, es posiblemente la aplicación más sencilla de utilizar y ni siquiera requiere configuración: plataformas admitidas Android e iOS.
Microsoft Authenticator, también opta por un enfoque austero, con una aplicación minimalista, pero cuenta con más funciones que Google Authenticator: plataformas admitidas Android e iOS.
Authy, es la aplicación de este tipo más sofisticada, con la principal ventaja de que todos los token se almacenan en la nube: plataformas admitidas Android, iOS, Windows, macOS y Chrome.
Todas utilizan un código de acceso de un solo uso generado por una aplicación instalada en el teléfono móvil.
Utilizando alguno de estos métodos, aunque un villano sepa nuestro nombre de usuario y contraseña, no podrá entrar en nuestra cuenta a no ser que tenga nuestro teléfono en su poder, lo que es un escenario poco probable.
No son la panacea, ya que los atacantes utizando un proxy inverso pueden eludir la autenticación de dos factores mediante páginas de phishing que sustituyen a la página original.
Pero ayudan a mantener nuestras credenciales un poco más seguras.
Limitar la cantidad de información confidencial que almacenamos en los sitios web
Muchos servicios online ofrecen la posibilidad de almacenar nuestra información de pago para que no tengamos que volver a ingresarla cada vez que compramos algo.
Esto puede parecer útil, pero si el sitio sufre una violación de datos, los piratas informáticos tendrán acceso a esta información.
También podemos haber facilitado información para registrarnos en chats, páginas de redes sociales como Facebook, en grupos de discusión etc.
Si ya no utilizamos el servicio, hay que solicitar amablemente a sus administradores que eliminen nuestra información de registro y todo el contenido.
Tener cuentas abandonadas o desatendidas es un riesgo que debemos evitar.
Si ponen dificultades o se niegan, existe la opción de presentar una denuncia en la AEPD (Agencia Española de Protección de Datos).
Cuidar nuestra información sensible
No todos los robos de identidad ocurren como resultado de una violación de seguridad de terceros. Hay muchas formas en que nosotros mismos podemos dejar expuesta nuestra información.
Es una buena idea triturar todos los documentos que contengan información confidencial (sobre todo si utilizamos ordenadores compartidos) mediante alguna herramienta para destruir datos de forma permanente.
No hay que proporcionar información sensible por teléfono y evitar hacer clic en enlaces insertados en correos electrónicos a no ser que estemos seguros de su procedencia.
Nunca hay que enviar información confidencial, y operar con la banca en línea a través de redes wifi no seguras.
Qué hacer si hemos sido víctimas de una violación de datos
Cuando ocurre una filtración de datos, muchas empresas o sitios web alertan directamente a sus clientes y usuarios.
También es posible que nos enteremos por otras fuentes.
O peor aún, es posible que no nos enteremos en absoluto.
En cualquier caso para comprobar de forma preventiva si tenemos una cuenta que se ha visto comprometida en una violación de datos podemos utilizar la página Have Been Pwned e introducir nuestro correo electrónico.
Si la infracción ocurrió en un sitio web, te recomendamos encarecidamente que cambies tu información de inicio de sesión. Si compartes la contraseña con otro sitio (algo nada recomendable) cámbiala también.
Si se filtró algún tipo de información financiera, como números de tarjetas de crédito o información bancaria, debes llamar al banco para informarles.
Ellos pueden cancelar tu tarjeta para evitar que se realicen cargos recurrentes, y en algunos casos, incluso revertir cualquier cargo fraudulento.
Las compañías recopilan cada vez más datos de los consumidores y nuestras interacciones en línea ya forman parte de nuestra vida cotidiana, por lo tanto cada vez se almacena más información sensible en servidores de Internet que están fuera de nuestro control.
Por eso, la implementación por parte de las compañías de medidas tecnológicas de ciberseguridad, junto con la concienciación de los usuarios, es tan importante.
Si crees que tus datos han sido vulnerados, o que una empresa está realizando un tratamiento indebido de tu información privada, tienes la opción de presentar una denuncia en la AEPD (Agencia Española de Protección de Datos).
