Una violación de datos , también conocida como fuga de datos , es "la exposición, divulgación o pérdida no autorizada de información personal ". [1]
Los motivos de los atacantes son muy variados: desde el lucro económico hasta el activismo político , la represión política y el espionaje . Existen varias causas técnicas que pueden provocar filtraciones de datos, como la divulgación accidental o intencional de información por parte de personas con información privilegiada, la pérdida o el robo de dispositivos no cifrados , la piratería de un sistema mediante la explotación de vulnerabilidades de software y los ataques de ingeniería social , como el phishing, en el que se engaña a personas con información privilegiada para que revelen información. Aunque las medidas de prevención de la empresa que posee los datos pueden reducir el riesgo de filtración de datos, no pueden reducirlo a cero.
La primera filtración de datos denunciada se produjo en 2002 y, desde entonces, la cantidad de filtraciones de datos que se producen cada año ha aumentado. Una gran cantidad de filtraciones de datos nunca se detectan. Si se informa de una filtración a la empresa que posee los datos, las medidas posteriores suelen incluir contener la filtración, investigar su alcance y causa y notificar a las personas cuyos registros se vieron comprometidos, tal como lo exige la ley en muchas jurisdicciones. Las fuerzas del orden pueden investigar las filtraciones, aunque rara vez se atrapa a los piratas informáticos responsables.
Muchos delincuentes venden los datos obtenidos en las infracciones en la red oscura . Por lo tanto, las personas cuyos datos personales se vieron comprometidos corren un riesgo elevado de robo de identidad durante años después y un número significativo se convertirá en víctimas de este delito. Las leyes de notificación de violaciones de datos en muchas jurisdicciones, incluidos todos los estados de los Estados Unidos y los estados miembros de la Unión Europea , requieren la notificación de las personas cuyos datos han sido violados. Las demandas contra la empresa que fue violada son comunes, aunque pocas víctimas reciben dinero de ellas. Hay poca evidencia empírica de daño económico a las empresas por las violaciones, excepto el costo directo, aunque hay alguna evidencia que sugiere una disminución temporal y a corto plazo en el precio de las acciones .
Una violación de datos es una violación de la ley o política "organizativa, regulatoria, legislativa o contractual" [2] que causa "la exposición, divulgación o pérdida no autorizada de información personal ". [1] Las definiciones legales y contractuales varían. [3] [2] Algunos investigadores incluyen otros tipos de información, por ejemplo , propiedad intelectual o información clasificada . [4] Sin embargo, las empresas en su mayoría divulgan las infracciones porque lo exige la ley, [5] y solo la información personal está cubierta por las leyes de notificación de violaciones de datos . [6] [7]
La primera violación de datos denunciada se produjo el 5 de abril de 2002 [8] , cuando 250.000 números de seguridad social recopilados por el estado de California fueron robados de un centro de datos. [9] Antes de la adopción generalizada de leyes de notificación de violaciones de datos alrededor de 2005, la prevalencia de las violaciones de datos era difícil de determinar. Incluso después, no se puede confiar en las estadísticas por año porque las violaciones de datos pueden notificarse años después de que ocurrieron, [10] o no notificarse en absoluto. [11] Sin embargo, las estadísticas muestran un aumento continuo en el número y la gravedad de las violaciones de datos que continúa a partir de 2022. [actualizar][ 12] En 2016, la investigadora Sasha Romanosky estimó que las violaciones de datos (excluyendo el phishing ) superaron en número a otras violaciones de seguridad por un factor de cuatro. [13]
Según una estimación de 2020, el 55 por ciento de las violaciones de datos fueron causadas por el crimen organizado , el 10 por ciento por administradores de sistemas , el 10 por ciento por usuarios finales como clientes o empleados, y el 10 por ciento por estados o actores afiliados al estado. [14] Los delincuentes oportunistas pueden causar violaciones de datos, a menudo utilizando malware o ataques de ingeniería social , pero normalmente seguirán adelante si la seguridad es superior a la media. Los delincuentes más organizados tienen más recursos y están más centrados en su objetivo de datos particulares . [15] Ambos venden la información que obtienen para obtener beneficios económicos. [16] Otra fuente de violaciones de datos son los piratas informáticos con motivaciones políticas , por ejemplo Anonymous , que apuntan a objetivos particulares. [17] Los piratas informáticos patrocinados por el Estado apuntan a ciudadanos de su país o entidades extranjeras, con fines tales como represión política y espionaje . A menudo utilizan vulnerabilidades de día cero no reveladas por las que se les paga a los piratas informáticos grandes sumas de dinero. [18] El spyware Pegasus —un malware sin clic desarrollado por la empresa israelí NSO Group que puede instalarse en la mayoría de los teléfonos celulares y espía la actividad de los usuarios— ha llamado la atención tanto por su uso contra criminales como el capo de la droga El Chapo como contra disidentes políticos, facilitando el asesinato de Jamal Khashoggi . [19]
A pesar del objetivo de los desarrolladores de entregar un producto que funcione completamente como se esperaba, prácticamente todo el software y hardware contiene errores. [20] Si un error crea un riesgo de seguridad, se llama vulnerabilidad . [21] [22] [23] A menudo se lanzan parches para corregir las vulnerabilidades identificadas, pero las que permanecen desconocidas ( días cero ), así como las que no han sido parcheadas, siguen siendo responsables de la explotación. [24] Tanto el software escrito por el objetivo de la violación como el software de terceros utilizado por ellos son vulnerables a los ataques. [22] El proveedor de software rara vez es legalmente responsable del costo de las violaciones, lo que crea un incentivo para hacer software más barato pero menos seguro. [25]
Las vulnerabilidades varían en su capacidad de ser explotadas por actores maliciosos. Las más valiosas permiten al atacante inyectar y ejecutar su propio código (llamado malware ), sin que el usuario sea consciente de ello. [21] Algunos programas maliciosos son descargados por los usuarios al hacer clic en un enlace malicioso, pero también es posible que las aplicaciones web maliciosas descarguen malware simplemente visitando el sitio web ( descarga automática ). Los keyloggers , un tipo de malware que registra las pulsaciones de teclas de un usuario, se utilizan a menudo en las violaciones de datos. [26] La mayoría de las violaciones de datos podrían haberse evitado almacenando toda la información confidencial en un formato cifrado. De esa manera, la posesión física del dispositivo de almacenamiento o el acceso a la información cifrada es inútil a menos que el atacante tenga la clave de cifrado . [27] El hash también es una buena solución para mantener las contraseñas a salvo de ataques de fuerza bruta , pero solo si el algoritmo es lo suficientemente seguro. [28]
Muchas violaciones de datos ocurren en el hardware operado por un socio de la organización atacada, incluida la violación de datos de Target en 2013 y la violación de datos de JPMorgan Chase en 2014. [ 29] La subcontratación de trabajo a un tercero conlleva un riesgo de violación de datos si esa empresa tiene estándares de seguridad más bajos; en particular, las pequeñas empresas a menudo carecen de los recursos para tomar tantas precauciones de seguridad. [30] [29] Como resultado, los acuerdos de subcontratación a menudo incluyen garantías de seguridad y disposiciones sobre lo que sucede en caso de una violación de datos. [30]
Las causas humanas de las violaciones de datos suelen basarse en la confianza en otro actor que resulta ser malicioso. Los ataques de ingeniería social se basan en engañar a un infiltrado para que haga algo que comprometa la seguridad del sistema, como revelar una contraseña o hacer clic en un enlace para descargar malware. [31] Las violaciones de datos también pueden ser causadas deliberadamente por infiltrados. [32] Un tipo de ingeniería social, el phishing , [31] obtiene las credenciales de un usuario enviándole un mensaje malicioso haciéndose pasar por una entidad legítima, como un banco, y haciendo que el usuario ingrese sus credenciales en un sitio web malicioso controlado por el cibercriminal. La autenticación de dos factores puede evitar que el actor malicioso use las credenciales. [33] Capacitar a los empleados para que reconozcan la ingeniería social es otra estrategia común. [34]
Otra fuente de infracciones es la divulgación accidental de información, por ejemplo, la publicación de información que debería mantenerse privada. [35] [36] Con el aumento del trabajo remoto y las políticas de traer su propio dispositivo , grandes cantidades de datos corporativos se almacenan en los dispositivos personales de los empleados. Por descuido o por no respetar las políticas de seguridad de la empresa, estos dispositivos pueden perderse o ser robados. [37] Las soluciones técnicas pueden prevenir muchas causas de error humano, como cifrar todos los datos confidenciales, evitar que los empleados utilicen contraseñas inseguras, instalar software antivirus para prevenir el malware e implementar un sistema de parches sólido para garantizar que todos los dispositivos se mantengan actualizados. [38]
Aunque la atención a la seguridad puede reducir el riesgo de violación de datos, no puede reducirlo a cero. La seguridad no es la única prioridad de las organizaciones, y un intento de lograr una seguridad perfecta haría que la tecnología fuera inutilizable. [39] Muchas empresas contratan a un director de seguridad de la información (CISO) para supervisar la estrategia de seguridad de la información de la empresa. [40] Para obtener información sobre amenazas potenciales, los profesionales de la seguridad se conectarán entre sí y compartirán información con otras organizaciones que enfrentan amenazas similares. [41] Las medidas de defensa pueden incluir una estrategia de respuesta a incidentes actualizada, contratos con empresas de investigación forense digital que podrían investigar una violación, [42] seguro cibernético , [43] [7] y monitoreo de la red oscura para credenciales robadas de empleados. [44] En 2024, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) emitió una publicación especial, "Confidencialidad de datos: identificación y protección de activos contra violaciones de datos". [45] El Marco de Ciberseguridad del NIST también contiene información sobre protección de datos. [46] Otras organizaciones han publicado diferentes estándares para la protección de datos. [47]
La arquitectura de los sistemas de una empresa juega un papel clave para disuadir a los atacantes. Daswani y Elbayadi recomiendan tener solo un medio de autenticación , [48] evitar sistemas redundantes y hacer que la configuración más segura sea la predeterminada. [49] La defensa en profundidad y el privilegio distribuido (que requiere múltiples autenticaciones para ejecutar una operación) también pueden hacer que un sistema sea más difícil de piratear. [50] Dar a los empleados y al software la menor cantidad de acceso necesaria para cumplir con sus funciones ( principio del mínimo privilegio ) limita la probabilidad y el daño de las infracciones. [48] [51] Varias infracciones de datos fueron posibles gracias a la confianza en la seguridad por oscuridad ; las víctimas habían puesto las credenciales de acceso en archivos de acceso público. [52] Sin embargo, priorizar la facilidad de uso también es importante porque, de lo contrario, los usuarios podrían eludir los sistemas de seguridad. [53] Las pruebas de software rigurosas , incluidas las pruebas de penetración , pueden reducir las vulnerabilidades del software y deben realizarse antes de cada lanzamiento, incluso si la empresa utiliza un modelo de integración continua/implementación continua donde se lanzan nuevas versiones constantemente. [54]
El principio de mínima persistencia [55] —evitar la recopilación de datos que no son necesarios y la destrucción de datos que ya no son necesarios— puede mitigar el daño causado por las infracciones. [56] [57] [58] El desafío es que la destrucción de datos puede ser más compleja con los sistemas de bases de datos modernos. [59]
Un gran número de violaciones de datos nunca se detectan. [60] De las que sí se detectan, la mayoría de las violaciones son detectadas por terceros; [61] [62] otras son detectadas por empleados o sistemas automatizados. [63] La respuesta a las violaciones es a menudo responsabilidad de un equipo de respuesta a incidentes de seguridad informática dedicado , que a menudo incluye expertos técnicos, relaciones públicas y asesores legales. [64] [65] Muchas empresas no tienen suficiente experiencia internamente y subcontratan algunas de estas funciones; [66] a menudo, estos recursos externos son proporcionados por la póliza de seguro cibernético. [67] Una vez que la empresa conoce una violación de datos, los siguientes pasos suelen incluir confirmar que ocurrió, notificar al equipo de respuesta e intentar contener el daño. [68]
Para detener la exfiltración de datos, las estrategias comunes incluyen apagar los servidores afectados, desconectarlos, parchar la vulnerabilidad y reconstruir . [69] Una vez que se identifica la forma exacta en que se comprometieron los datos, normalmente solo hay una o dos vulnerabilidades técnicas que deben abordarse para contener la violación y evitar que vuelva a ocurrir. [70] Una prueba de penetración puede verificar que la solución esté funcionando como se esperaba. [71] Si hay malware involucrado, la organización debe investigar y cerrar todos los vectores de infiltración y exfiltración, así como localizar y eliminar todo el malware de sus sistemas. [72] Si los datos se publicaron en la web oscura , las empresas pueden intentar eliminarlos. [73] Contener la violación puede comprometer la investigación, y algunas tácticas (como apagar los servidores) pueden violar las obligaciones contractuales de la empresa. [74]
La recopilación de datos sobre la infracción puede facilitar un litigio posterior o un proceso penal, [75] pero solo si los datos se recopilan de acuerdo con los estándares legales y se mantiene la cadena de custodia . [76] La investigación forense de bases de datos puede limitar los registros involucrados, lo que limita el alcance del incidente. [77] Se puede realizar una investigación exhaustiva, que puede ser incluso más costosa que un litigio . [62] En los Estados Unidos, las infracciones pueden ser investigadas por agencias gubernamentales como la Oficina de Derechos Civiles , el Departamento de Salud y Servicios Humanos de los Estados Unidos y la Comisión Federal de Comercio (FTC). [78] Las agencias de aplicación de la ley pueden investigar las infracciones [79] aunque rara vez se atrapa a los piratas informáticos responsables. [80]
Las notificaciones se envían normalmente según lo exige la ley. [81] Muchas empresas ofrecen monitoreo de crédito gratuito a las personas afectadas por una violación de datos, aunque solo alrededor del 5 por ciento de los elegibles aprovechan el servicio. [82] La emisión de nuevas tarjetas de crédito a los consumidores, aunque costosa, es una estrategia eficaz para reducir el riesgo de fraude con tarjetas de crédito . [82] Las empresas intentan restablecer la confianza en sus operaciones comerciales y toman medidas para evitar que se repita una violación. [83]
Después de una filtración de datos, los delincuentes ganan dinero vendiendo datos, como nombres de usuario, contraseñas, información de redes sociales o cuentas de fidelización de clientes , números de tarjetas de débito y crédito , [16] e información personal de salud (ver filtración de datos médicos ). [84] Los delincuentes a menudo venden estos datos en la dark web (partes de Internet donde es difícil rastrear a los usuarios y la actividad ilícita está muy extendida) utilizando plataformas como .onion o I2P . [85] Originada en la década de 2000, la dark web, seguida por criptomonedas imposibles de rastrear como Bitcoin en la década de 2010, hizo posible que los delincuentes vendieran datos obtenidos en filtraciones con un riesgo mínimo de ser atrapados, lo que facilitó un aumento en la piratería. [86] [87] Un popular mercado de la darknet, Silk Road , fue cerrado en 2013 y sus operadores arrestados, pero varios otros mercados surgieron en su lugar. [88] Telegram también es un foro popular para las ventas ilegales de datos. [89]
Esta información puede utilizarse para diversos fines, como el envío de spam , la obtención de productos con la información de fidelidad o de pago de la víctima, el robo de identidad , el fraude con medicamentos recetados o el fraude de seguros . [90] La amenaza de una violación de datos o la revelación de información obtenida en una violación de datos se puede utilizar para la extorsión . [16]
Los consumidores pueden sufrir diversas formas de daño tangible o intangible por el robo de sus datos personales, o no notar ningún daño. [91] Una parte significativa de los afectados por una violación de datos se convierten en víctimas de robo de identidad . [82] La información de identificación de una persona a menudo circula en la red oscura durante años, lo que provoca un mayor riesgo de robo de identidad independientemente de los esfuerzos de remediación. [80] [92] Incluso si un cliente no termina pagando la factura del fraude de tarjeta de crédito o el robo de identidad, tiene que dedicar tiempo a resolver la situación. [93] [94] Los daños intangibles incluyen el doxing (revelar públicamente la información personal de alguien), por ejemplo, el uso de medicamentos o fotos personales. [95]
Hay poca evidencia empírica de daño económico por violaciones excepto el costo directo, aunque hay alguna evidencia que sugiere una disminución temporal y de corto plazo en el precio de las acciones . [96] Otros impactos en la empresa pueden variar desde pérdida de negocios, reducción de la productividad de los empleados debido a que los sistemas están fuera de línea o personal redirigido a trabajar en la violación, [97] renuncia o despido de ejecutivos superiores, [78] daño a la reputación , [78] [98] y aumento del costo futuro de auditoría o seguridad. [78] Las pérdidas de los consumidores por una violación suelen ser una externalidad negativa para la empresa. [99] Algunos expertos han argumentado que la evidencia sugiere que no hay suficientes costos directos o daño a la reputación por las violaciones de datos para incentivar suficientemente su prevención. [100] [101]
Calcular el coste de las filtraciones de datos es difícil, tanto porque no todas las filtraciones se denuncian como porque calcular el impacto de las filtraciones en términos financieros no es sencillo. Hay múltiples formas de calcular el coste para las empresas, especialmente cuando se trata del tiempo del personal dedicado a lidiar con la filtración. [102] El autor Kevvie Fowler estima que más de la mitad del coste directo en el que incurren las empresas se debe a gastos de litigio y servicios prestados a las personas afectadas, y el coste restante se divide entre la notificación y la detección, incluidas las investigaciones forenses. Sostiene que estos costes se reducen si la organización ha invertido en seguridad antes de la filtración o tiene experiencia previa con filtraciones. Cuantos más registros de datos se vean involucrados, más cara será normalmente una filtración. [103] En 2016, la investigadora Sasha Romanosky estimó que, si bien el coste medio de la filtración para la empresa afectada rondaba los 5 millones de dólares, esta cifra se vio inflada por unas pocas filtraciones muy costosas, y la filtración de datos típica era mucho menos costosa, alrededor de 200.000 dólares. Romanosky estimó que el costo anual total para las corporaciones en los Estados Unidos sería de alrededor de 10 mil millones de dólares. [104]
La legislación sobre violaciones de datos se encuentra a menudo en la legislación para proteger la privacidad de manera más general, y está dominada por disposiciones que obligan a notificar cuando se producen violaciones. [105] Las leyes difieren mucho en cómo se definen las violaciones, [3] qué tipo de información se protege, la fecha límite para la notificación, [6] y quién tiene legitimidad para demandar si se viola la ley. [106] Las leyes de notificación aumentan la transparencia y brindan un incentivo reputacional para que las empresas reduzcan las violaciones. [107] El costo de notificar la violación puede ser alto si muchas personas se vieron afectadas y se incurre independientemente de la responsabilidad de la empresa, por lo que puede funcionar como una multa por responsabilidad estricta . [108]
A partir de 2024 [actualizar], Thomas on Data Breach enumeró 62 estados miembros de las Naciones Unidas que están cubiertos por leyes de notificación de violaciones de datos. Algunos otros países requieren la notificación de violaciones en leyes de protección de datos más generales . [109] Poco después de la primera violación de datos reportada en abril de 2002, California aprobó una ley que requiere notificación cuando se viola la información personal de un individuo. [9] En los Estados Unidos, las leyes de notificación proliferaron después de la violación de datos de ChoicePoint de febrero de 2005, ampliamente publicitada en parte debido a la gran cantidad de personas afectadas (más de 140.000) y también debido a la indignación de que la empresa inicialmente informó solo a las personas afectadas en California. [110] [111] En 2018, entró en vigor el Reglamento General de Protección de Datos (RGPD) de la Unión Europea . El RGPD requiere la notificación dentro de las 72 horas, con multas muy altas posibles para las grandes empresas que no cumplan. Esta regulación también estimuló el endurecimiento de las leyes de privacidad de datos en otros lugares. [112] [113] A partir de 2022 , la única ley federal de los Estados Unidos que exige la notificación de violaciones de datos se limita a los datos médicos regulados por la HIPAA , pero los 50 estados (desde que Alabama aprobó una ley en 2018) tienen sus propias leyes generales de notificación de violaciones de datos. [113][actualizar]
Las medidas para proteger los datos de una violación suelen estar ausentes de la ley o son vagas. [105] Para llenar este vacío se utilizan los estándares requeridos por el seguro cibernético , que es mantenido por la mayoría de las grandes empresas y funciona como una regulación de facto . [114] [115] De las leyes que existen, hay dos enfoques principales: uno que prescribe estándares específicos a seguir, y el enfoque de razonabilidad . [116] El primero rara vez se utiliza debido a la falta de flexibilidad y la renuencia de los legisladores a arbitrar cuestiones técnicas; con el último enfoque, la ley es vaga, pero pueden surgir estándares específicos de la jurisprudencia . [117] Las empresas a menudo prefieren el enfoque de estándares para proporcionar una mayor certeza jurídica , pero podrían marcar todas las casillas sin proporcionar un producto seguro. [118] Una falla adicional es que las leyes se aplican de manera deficiente, con sanciones a menudo mucho menores que el costo de una violación, y muchas empresas no las siguen. [119]
Se han presentado muchas demandas colectivas , demandas derivadas y otros litigios después de violaciones de datos. [120] A menudo se resuelven independientemente de los méritos del caso debido al alto costo del litigio. [121] [122] Incluso si se paga un acuerdo, pocos consumidores afectados reciben dinero, ya que generalmente son solo centavos a unos pocos dólares por víctima. [78] [122] Los académicos legales Daniel J. Solove y Woodrow Hartzog argumentan que "Los litigios han aumentado los costos de las violaciones de datos, pero han logrado poco más". [123] Los demandantes a menudo luchan por demostrar que sufrieron daños por una violación de datos. [123] La contribución de las acciones de una empresa a una violación de datos varía, [119] [124] y, del mismo modo, la responsabilidad por el daño resultante de las violaciones de datos es un asunto controvertido. Se discute qué estándar se debe aplicar, si es responsabilidad estricta, negligencia u otra cosa. [124]
{{cite book}}
: CS1 maint: varios nombres: lista de autores ( enlace )