¿Qué son las infracciones de seguridad?

Actualmente, un gran número de personas realiza sus actividades cotidianas más básicas en línea. Desde las compras, la banca y la planificación de viajes hasta el entretenimiento y las citas, las personas recurren cada vez más al ámbito digital para facilitar su vida pública y privada. Confían en sus herramientas digitales para mantener la seguridad, privacidad y protección de su información y datos personales (incluso puede que algunos de sus secretos).

Sin embargo, las cuentas en línea, las aplicaciones y los sistemas informáticos almacenan cantidades cada vez mayores de información personal y financiera, por tanto son objetivos principales de las infracciones de seguridad en las que los delincuentes buscan comprometer los sistemas para obtener acceso a las cuentas de los clientes y recopilar datos, lo que abre la puerta al fraude y a otros delitos cibernéticos. En el caso de las empresas, las infracciones también pueden provocar multas reglamentarias, responsabilidades legales, daños a la reputación y pérdida de la confianza de los clientes.

Una infracción de seguridad puede ser el resultado de una amplia gama de amenazas y vulnerabilidades cambiantes, como contraseñas débiles, malware, phishing, ransomware e ingeniería social. Establecer medidas de seguridad de datos es imperativo tanto para las personas como para las organizaciones a fin de proteger la privacidad personal y los datos confidenciales, ya que la información confidencial tiene un gran valor para los delincuentes. La web oscura es un mercado donde se pueden comprar y vender nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos financieros para emplearlos en robos de identidad o fraudes.

La amenaza de las infracciones de seguridad es real: según Enterprise Apps Today, cada 39 segundos se produce una infracción en algún lugar del mundo, con unos daños estimados de 6 billones de USD causados por los ciberdelincuentes solo en 2022.

Las infracciones de seguridad se producen cuando se traspasan o se eluden de cualquier otro modo los controles de seguridad. Los ciberdelincuentes atacan frecuentemente a las empresas más grandes y poderosas del mundo. De hecho, las instituciones financieras, las empresas de comercio electrónico y las agencias gubernamentales se encuentran entre los objetivos más habituales debido a la gran cantidad de datos personales y financieros que se mantienen en estos sitios.

Las personas y las organizaciones, tanto grandes como pequeñas, corren el riesgo de sufrir infracciones de seguridad y ciberataques. Los hackers y los ciberdelincuentes, algunos respaldados por poderosos intereses nacionales o corporativos, tienen una inventiva inagotable y encuentran nuevas formas de traspasar las protecciones de seguridad existentes. Esto les da la oportunidad de robar información confidencial o datos personales que pueden vender o manipular para lucrarse, o bien utilizar para cometer fraudes, robar la identidad o difundir información falsa.

Según el sitio de noticias secureworld.io, entre las infracciones de datos más importantes de todos los tiempos se incluyen las siguientes:

• Yahoo (2013-2014): más de tres mil millones de cuentas de usuarios se vieron comprometidas cuando los atacantes utilizaron técnicas de phishing para entrar en la red de Yahoo. Los intrusos obtuvieron acceso a información confidencial, incluidos nombres, direcciones de correo electrónico, fechas de nacimiento, números de teléfono y contraseñas cifradas. Además de las multas de 35 millones de USD de la Comisión de Bolsa y Valores, y de 80 millones en liquidaciones resultantes de una demanda colectiva federal de valores, Yahoo se vio obligado a reducir su precio de compra en 350 millones de USD durante su venta a Verizon en 2016. En marzo de 2017, el FBI imputó a cuatro personas por este ataque, incluidos dos oficiales del Servicio Federal de Seguridad de Rusia (FSB).
• Equifax (2017): los atacantes obtuvieron información personal de 147 millones de consumidores de los Estados Unidos, incluidos nombres, números de la Seguridad Social, fechas de nacimiento, direcciones e incluso algunos números de permisos de conducir. Además de esta información personal, la infracción también expuso los números de tarjetas de crédito de alrededor de 209.000 clientes. Los atacantes obtuvieron acceso a la red de Equifax a través de una vulnerabilidad de la aplicación del sitio web; además, una segmentación inadecuada del sistema facilitó el movimiento lateral de los infiltrados dentro del sistema. La infracción tuvo graves repercusiones, lo que provocó una pérdida de confianza de los consumidores, investigaciones legales, demandas, multas reglamentarias y audiencias del Congreso. Equifax también pagó unos 700 millones de USD para ayudar a las personas afectadas por la infracción de datos. En 2020, el Departamento de Justicia de los Estados Unidos anunció cargos contra cuatro hackers chinos relacionados con el ejército de ese país en relación con el ciberataque de Equifax.
• Marriott International (2014-2018): se vieron comprometidos aproximadamente 500 millones de registros de huéspedes, incluidos nombres, direcciones, números de teléfono, números de pasaporte, direcciones de correo electrónico, información de viajes y, en algunos casos, números de tarjetas de pago. El ataque se inició cuando Marriott adquirió Starwood Hotels and Resorts en 2016 e integró el sistema de reservas de Starwood en el de Marriott. El sistema de Starwood se había visto comprometido al menos desde 2014 (probablemente por credenciales robadas a los empleados de Starwood) y pronto todas las propiedades del grupo Marriott International se infectaron. La Oficina del Comisionado de Información del Reino Unido (ICO) multó a Marriott con 23,8 millones de USD en multas. Funcionarios estadounidenses afirman que el ciberataque fue parte de un intento de recopilación de información por parte de China, ya que Marriott es el principal proveedor de hoteles para el personal gubernamental y militar estadounidense.
• T-Mobile (2022-2023): los atacantes manipularon una API para vulnerar 37 millones de cuentas de usuario a fin de obtener nombres de clientes, direcciones de facturación, direcciones de correo electrónico, números de teléfono, números de cuenta y fechas de nacimiento. El atacante, que tuvo acceso no autorizado a los sistemas de T-Mobile durante más de un mes antes de que se descubriera la infracción, no ha sido identificado.

Existen múltiples tipos de infracciones de seguridad, caracterizados por los métodos que usa el atacante para obtener acceso al sistema.

• Los ataques de malware son una técnica común utilizada por los delincuentes para lanzar infracciones de seguridad. El malware a menudo se propaga a través de archivos adjuntos de correo electrónico maliciosos, como parte de un ataque de phishing que engaña a los destinatarios para que hagan clic en enlaces o descarguen archivos adjuntos que contienen malware o que llevan a páginas de inicio de sesión falsas. También se puede lanzar malware al contactar con sitios web infectados o mediante descargas de software comprometidas. El malware puede diseñarse para realizar varias funciones que conducen a infracciones de datos, incluida la grabación de pulsaciones de teclas, la monitorización de la actividad del usuario o la creación de puntos de acceso de "puerta trasera" que permiten a los atacantes acceder a las redes. Otros tipos de malware pueden recopilar credenciales de inicio de sesión guardadas o robar datos de autenticación confidenciales, que los atacantes pueden usar para obtener acceso no autorizado a cuentas y sistemas. El malware también puede realizar técnicas de exfiltración, con el envío de datos robados a servidores remotos controlados por los atacantes, lo que genera fugas de datos no autorizadas y una posible exposición. Los ataques de ransomware también pueden provocar infracciones de seguridad, ya que el ransomware es un tipo de malware que cifra los datos de la víctima y los hace inaccesibles. Durante el proceso de cifrado, el atacante obtiene acceso a los datos de la víctima y, en muchos casos, amenaza con divulgar públicamente sus datos confidenciales o venderlos en la web oscura si no se paga el rescate. Esto convierte el incidente de ransomware en una infracción de datos, al exponer información comprometida a personas no autorizadas.
• Los ataques de ingeniería social se basan en la manipulación psicológica para engañar a las personas a fin de que revelen información confidencial, realicen acciones o tomen decisiones que comprometan la seguridad. En algunos casos, los atacantes pueden hacerse pasar por personas de confianza (como colegas, supervisores o personal de TI) para convencer a las víctimas de que compartan datos confidenciales o revelen nombres de usuario, contraseñas u otras credenciales de autenticación. Con esta información, los atacantes pueden obtener acceso no autorizado a sistemas, cuentas y datos confidenciales. Es frecuente que los ataques de ingeniería social empleen tácticas de phishing para manipular a las personas a fin de que revelen datos o realicen acciones que normalmente no harían.
• Las infracciones de software aprovechan las vulnerabilidades o debilidades del software, el firmware o las configuraciones del sistema para obtener acceso no autorizado, manipular datos o realizar acciones maliciosas dentro de una red o sistema informático. El software no actualizado o sin parches es un punto de entrada común para las infracciones del sistema, que también pueden estar vinculadas a ataques de escalada de privilegios o infracciones de ejecución remota de código.

Las sanciones por infracción de datos pueden ser graves y de gran alcance e incluyen:

• Pérdidas financieras, debido a gastos relacionados con la respuesta a incidentes, litigios y tasas legales, multas reglamentarias e indemnizaciones a las partes afectadas.
• Daños a la reputación, ya que las infracciones de divulgación pública pueden dar lugar a publicidad negativa y causar daños a largo plazo a una marca.
• Pérdida de confianza, ya que las infracciones pueden socavar la confianza en la capacidad de la empresa para proteger los datos y crear dudas en los clientes (y socios) a la hora de entablar relaciones comerciales, lo que lleva a la pérdida de fidelidad y al abandono de los clientes.
• Implicaciones legales y normativas, ya que las empresas pueden enfrentarse a acciones legales y multas reglamentarias si no cumplen las leyes y normativas de protección de datos, como el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) en los Estados Unidos.

Reconocer los signos de una infracción de seguridad de forma rápida es fundamental para minimizar los posibles daños y responder de manera efectiva. Estas son algunas señales que pueden indicar que se está produciendo una infracción de seguridad:

• Una actividad inusual de la red (como aumentos repentinos en el tráfico de red, transferencias de datos inusuales o picos inesperados en el uso de ancho de banda) puede indicar un acceso no autorizado o la exfiltración de datos.
• Un comportamiento inesperado del sistema (como tiempo de inactividad del sistema sin causa justificada, un rendimiento lento o bloqueos frecuentes) puede indicar la presencia de malware o actividades no autorizadas.
• Las actividades extrañas de las cuentas (como cuentas de usuario desconocidas, tiempos de inicio de sesión inusuales o múltiples inicios de sesión fallidos) pueden ser señales de intentos de vulneración o de acceso no autorizado.
• Las anomalías de los datos y el acceso no autorizado (como datos que faltan o están alterados y registros que muestran un acceso no autorizado a bases de datos críticas o información confidencial) pueden sugerir una infracción de seguridad.

La prevención de infracciones de seguridad requiere un enfoque proactivo e integral de la ciberseguridad que incluye las siguientes prácticas recomendadas.

• Aplique políticas de contraseñas seguras. Restrinja el uso de información fácil de adivinar (como fechas de cumpleaños, nombres o palabras comunes) y aplique contraseñas que combinen cadenas aleatorias de letras mayúsculas y minúsculas, números y símbolos. Considere la posibilidad de recomendar el uso de frases de contraseña, que son más largas y fáciles de recordar, pero más difíciles de descifrar.
• Implemente la autenticación multifactor (MFA). La MFA requiere que el usuario aplique dos o más factores de verificación para obtener acceso a una aplicación, recurso, cuenta en línea u otro servicio. En la práctica común, esto a menudo implica introducir un código de acceso de un solo uso de un correo electrónico o un mensaje de texto en un teléfono inteligente o navegador, o proporcionar datos biométricos como la huella dactilar o el escaneo facial.
• Actualice el software y los sistemas de forma periódica. Mantenga actualizados los sistemas operativos, las aplicaciones de software y los parches de seguridad para afrontar las vulnerabilidades conocidas. Desarrolle un sólido proceso de gestión de parches para aplicar las actualizaciones y correcciones de seguridad con prontitud.
• Implemente segmentación de la red. Dividir una red más grande en segmentos más pequeños y aislados puede ayudar a mejorar la seguridad y reducir el posible impacto de las infracciones de seguridad mediante la creación de zonas o subredes separadas con acceso controlado. Esta práctica ayuda a aislar los recursos críticos, reduce la superficie expuesta a ataques y limita el movimiento lateral dentro de la red para ayudar a contener las infracciones.
• Emplee el cifrado y la protección de datos. Cifre los datos confidenciales tanto en tránsito como en reposo para protegerse frente al acceso no autorizado. Aplicar políticas de protección de datos, como controles de acceso estrictos y principios de privilegios mínimos, reduce el riesgo de acceso no autorizado a los datos.
• API de inventario y scripts de terceros. Realice detecciones dinámicas de los puntos de conexión de las API y las integraciones de terceros para garantizar que estos se recojan en los procesos de gestión de riesgos y que estén protegidos por los controles de seguridad adecuados.

• Reconocer los intentos de phishing. Asegúrese de que los empleados aprendan a reconocer los correos electrónicos de phishing y los enlaces maliciosos, lo que reduce la probabilidad de caer en estafas de phishing que puedan generar infracciones de datos.
• Informar sobre las contraseñas seguras. Enseñe a los empleados la importancia de las contraseñas seguras y de unas prácticas sólidas de mantenimiento de contraseñas.
• Informar sobre actividades sospechosas. Enseñe a los empleados a informar de inmediato sobre actividades sospechosas o posibles incidentes de seguridad, lo que permite una respuesta y mitigación más rápidas. La formación continua mantiene a los empleados al día sobre los riesgos emergentes y cómo reconocerlos.

• Evalúe regularmente la posición de seguridad de su organización. Utilice pruebas de penetración, exploración de vulnerabilidades y auditorías de seguridad para identificar y abordar las debilidades de los sistemas, aplicaciones y redes antes de que los atacantes puedan aprovecharse de ellas. Las evaluaciones de vulnerabilidades también ayudan a identificar configuraciones erróneas que pueden derivar en infracciones de seguridad si no se corrigen.

• Desarrolle un plan de respuesta a incidentes. Este puede desempeñar un papel importante en la mitigación de las infracciones de seguridad al proporcionar un enfoque estructurado y proactivo para identificar posibles incidentes de ciberseguridad y responder ante estos.
• Identifique las partes interesadas y los roles. Asegúrese de identificar las partes interesadas y determinar los roles y responsabilidades, y desarrolle una cadena de comandos clara para informar sobre incidentes y escalarlos. Desarrolle procedimientos detallados paso a paso para contener y mitigar las infracciones, y pruebe el plan con regularidad para identificar posibles debilidades y mejorar las respuestas.
• Desarrolle estrategias de continuidad empresarial y recuperación ante desastres (BCDR). Los planes BCDR ayudan a garantizar la continuación de las operaciones comerciales críticas en caso de interrupciones debidas, por ejemplo, a infracciones de seguridad. Un elemento esencial de los planes BCDR es la realización de copias de seguridad periódicas de los datos para garantizar que estos puedan restaurarse a un estado previo y limpio en caso de infracción o daños de los datos. Todos los planes BCDR deben probarse con regularidad mediante simulacros y ejercicios para confirmar su eficacia y permitir a las empresas identificar las debilidades y perfeccionar las estrategias de respuesta.

La inteligencia artificial ofrece herramientas y capacidades nuevas y potentes que pueden aprovecharse para detectar y prevenir infracciones de seguridad. En concreto, la defensa contra bots con tecnología de IA puede mantener la resiliencia sin importar la forma en que los atacantes intenten sortear las defensas a través de la recopilación de telemetría duradera, el análisis de comportamiento y el cambio de estrategias de mitigación. Los algoritmos de IA detectan anomalías que pueden indicar una actividad de infracción, por ejemplo, que los usuarios accedan a datos confidenciales a horas inusuales o desde ubicaciones desconocidas, así como intentos de falsificar señales y usar datos comprometidos de la web oscura.

Estos sistemas pueden dirigirse para bloquear o marcar automáticamente las actividades sospechosas, y pueden automatizar algunos elementos de los planes de respuesta a incidentes, como el inicio de acciones de respuesta predefinidas o el aislamiento de sistemas comprometidos para ayudar a minimizar la propagación de las infracciones. Dado que los sistemas de seguridad basados en IA aprenden de los nuevos datos y se adaptan a los panoramas de amenazas cambiantes, su precisión para detectar infracciones mejora con el tiempo y evoluciona para seguir siendo pertinentes en entornos de amenazas dinámicas.

Las tecnologías de IA también pueden analizar grandes volúmenes de datos y detectar patrones anómalos en tiempo real, lo que permite que estos sistemas respondan más rápido y con una identificación de las amenazas más precisa que los programas de detección de amenazas manuales o basados en reglas.

Si bien las soluciones de seguridad impulsadas por IA ofrecen beneficios significativos para la detección y prevención de amenazas, estas funcionan mejor en combinación con la experiencia humana para validar alertas e interpretar entradas o datos complicados. Los modelos de seguridad de IA pueden generar falsos positivos y falsos negativos, lo que requiere la supervisión y el criterio de las personas, sobre todo en la respuesta a amenazas complejas y novedosas.

La Comisión Federal de Comercio (FTC) proporciona orientación sobre las medidas de respuesta a incidentes que las organizaciones deben tener en cuenta cuando se enfrentan a una infracción de la seguridad. Estos pasos están diseñados para ayudar a las organizaciones a responder y gestionar de manera eficaz los incidentes de seguridad. En una visión general de la guía de la FTC para abordar una infracción de seguridad se incluyen las siguientes acciones:

• Proteja sus operaciones. Actúe con rapidez para proteger sus sistemas y movilice a su equipo de respuesta ante infracciones de inmediato para evitar pérdidas de datos adicionales. Esto puede implicar aislar los sistemas afectados, deshabilitar las cuentas comprometidas y tomar otras medidas para evitar más accesos no autorizados.
• Corrija las vulnerabilidades. Trabaje con sus expertos forenses para identificar y abordar las vulnerabilidades que han permitido que se produzca la infracción. Aplique parches y actualice el software, los sistemas y las configuraciones para evitar incidentes futuros. Analice quién tiene acceso a la red actualmente (incluidos los proveedores de servicios), determine si ese acceso es necesario y restrínjalo si no lo es.
• Informe a las partes adecuadas. Notifique a las autoridades competentes para informar sobre la situación y el riesgo potencial de robo de identidad. En función de la naturaleza de la infracción, informe a las personas, usuarios o clientes afectados sobre el incidente. Proporcione información clara, precisa y transparente a las personas afectadas sobre lo que ha ocurrido, qué datos se han expuesto y qué medidas deben tomar para protegerse.