¿Qué son las infracciones de seguridad?

Actualmente, un gran número de personas realiza sus actividades cotidianas más básicas en línea. Desde las compras, la banca y la planificación de viajes hasta el entretenimiento y las citas, las personas recurren cada vez más al ámbito digital para facilitar su vida pública y privada. Confían en sus herramientas digitales para mantener la seguridad, privacidad y protección de su información y datos personales (incluso puede que algunos de sus secretos).

Sin embargo, las cuentas en línea, las aplicaciones y los sistemas informáticos almacenan cantidades cada vez mayores de información personal y financiera, por tanto son objetivos principales de las infracciones de seguridad en las que los delincuentes buscan comprometer los sistemas para obtener acceso a las cuentas de los clientes y recopilar datos, lo que abre la puerta al fraude y a otros delitos cibernéticos. En el caso de las empresas, las infracciones también pueden provocar multas reglamentarias, responsabilidades legales, daños a la reputación y pérdida de la confianza de los clientes.

Una violación de seguridad puede ser el resultado de una amplia gama de amenazas y vulnerabilidades en evolución, incluidas contraseñas débiles, malware, phishing, ransomware e ingeniería social. Implementar medidas de seguridad de datos es fundamental tanto para individuos como para organizaciones para proteger la privacidad personal y salvaguardar datos confidenciales, ya que la información confidencial tiene un gran valor para los delincuentes. La red oscura es un mercado donde se pueden comprar y vender nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos financieros, y utilizarlos con fines de robo de identidad o fraude.

La amenaza de violaciones de seguridad es real: Según Enterprise Apps Today , cada 39 segundos se produce una vulneración de seguridad en algún lugar del mundo, y se estima que los daños causados por ciberdelincuentes ascendieron a 6 billones de dólares solo en 2022.

Las infracciones de seguridad se producen cuando se traspasan o se eluden de cualquier otro modo los controles de seguridad. Los ciberdelincuentes atacan frecuentemente a las empresas más grandes y poderosas del mundo. De hecho, las instituciones financieras, las empresas de comercio electrónico y las agencias gubernamentales se encuentran entre los objetivos más habituales debido a la gran cantidad de datos personales y financieros que se mantienen en estos sitios.

Las personas y las organizaciones, tanto grandes como pequeñas, corren el riesgo de sufrir infracciones de seguridad y ciberataques. Los hackers y los ciberdelincuentes, algunos respaldados por poderosos intereses nacionales o corporativos, tienen una inventiva inagotable y encuentran nuevas formas de traspasar las protecciones de seguridad existentes. Esto les da la oportunidad de robar información confidencial o datos personales que pueden vender o manipular para lucrarse, o bien utilizar para cometer fraudes, robar la identidad o difundir información falsa.

Según el sitio de noticias secureworld.io, las violaciones de datos más importantes de todos los tiempos incluyen las siguientes:

• Yahoo (2013-2014), en el que más de 3 mil millones de cuentas de usuarios se vieron comprometidas después de que los atacantes utilizaran técnicas de phishing para entrar en la red de Yahoo. Los intrusos obtuvieron acceso a información confidencial, incluidos nombres, direcciones de correo electrónico, fechas de nacimiento, números de teléfono y contraseñas cifradas. Además de las multas de 35 millones de dólares de la Comisión de Bolsa y Valores y los 80 millones de dólares en acuerdos de una demanda colectiva federal sobre valores, Yahoo se vio obligado a reducir su precio de compra en 350 millones de dólares durante su venta a Verizon en 2016. En marzo de 2017, el FBI acusó a cuatro personas por el ataque , incluidos dos oficiales del Servicio Federal de Seguridad ruso (FSB).
• Equifax (2017), en el que los atacantes obtuvieron la información personal de 147 millones de consumidores en EE. UU., incluidos nombres, números de seguro social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir. Además de esta información personal, la filtración también expuso los números de tarjetas de crédito de alrededor de 209.000 clientes. Los atacantes obtuvieron acceso a la red de Equifax a través de una vulnerabilidad en la aplicação del sitio web, y la segmentación inadecuada del sistema permitió a los infiltrados un fácil movimiento lateral dentro del sistema. La violación tuvo graves repercusiones, provocando una pérdida de confianza de los consumidores, investigaciones legales, demandas, multas regulatorias y audiencias en el Congreso. Equifax también pagó un estimado de 700 millones de dólares para ayudar a las personas afectadas por la violación de datos. En 2020, Estados Unidos El Departamento de Justicia anunció cargos contra cuatro piratas informáticos respaldados por el ejército chino en relación con el ciberataque a Equifax. 
• Marriott International (2014-2018), en el que se vieron comprometidos aproximadamente 500 millones de registros de huéspedes , incluidos nombres, direcciones, números de teléfono, números de pasaporte, direcciones de correo electrónico, información de viaje y, en algunos casos, números de tarjetas de pago. El ataque se inició cuando Marriott adquirió Starwood Hotels and Resorts en 2016 e integró el sistema de reservas de Starwood al de Marriott. El sistema de Starwood había sido comprometido al menos en 2014 (probablemente debido a credenciales robadas a empleados de Starwood) y pronto todas las propiedades del grupo Marriott International fueron infectadas. La Oficina del Comisionado de Información del Reino Unido (ICO) multó a Marriott con 23,8 millones de dólares en multas. Los funcionarios estadounidenses afirman que el ciberataque fue parte de un esfuerzo de recopilación de inteligencia china; Marriott es el principal proveedor de hoteles para el personal militar y del gobierno estadounidense.
• T-Mobile (2022-2023), en el que los atacantes manipularon una API para violar 37 millones de cuentas de usuarios y obtener nombres de clientes, direcciones de facturación, direcciones de correo electrónico, números de teléfono, números de cuenta y fechas de nacimiento. El atacante, que tuvo acceso no autorizado a los sistemas de T-Mobile durante más de un mes antes de que se descubriera la violación, no ha sido identificado. 

Existen múltiples tipos de infracciones de seguridad, caracterizados por los métodos que usa el atacante para obtener acceso al sistema.

• Los ataques de malware son una técnica común utilizada por los delincuentes para lanzar brechas de seguridad. El malware a menudo se propaga a través de archivos adjuntos maliciosos en correos electrónicos, a menudo como parte de un ataque de phishing que engaña a los destinatarios para que hagan clic en enlaces o descarguen archivos adjuntos que contienen malware o conducen a páginas de inicio de sesión falsas. El malware también puede iniciarse a través del contacto con sitios web infectados o descargas de software comprometidos. El malware puede diseñarse para realizar diversas funciones que conducen a violaciones de datos, incluido el registro de pulsaciones de teclas o el monitoreo de la actividad del usuario, o la creación de puntos de acceso de "puerta trasera" que permiten a los atacantes obtener acceso a las redes. Otros tipos de malware pueden recopilar credenciales de inició de sesión guardadas o robar datos de autenticación confidenciales , que los atacantes pueden usar para obtener acceso no autorizado a cuentas y sistemas. El malware también puede realizar exfiltración, enviando datos robados a servidores remotos controlados por atacantes, lo que genera una fuga de datos no autorizada y una posible exposición. Los ataques de ransomware también pueden provocar violaciones de seguridad, ya que el ransomware es un tipo de malware que cifra los datos de la víctima, volviéndolos inaccesibles. Durante el proceso de cifrado, el atacante obtiene acceso a los datos de la víctima y, en muchos casos, amenaza con publicar los datos confidenciales de la víctima o venderlos en la web oscura si no se paga el rescate. Esto convierte el incidente de ransomware en una violación de datos, exponiendo la información comprometida a personas no autorizadas.
• Los ataques de ingeniería social se basan en la manipulación psicológica para engañar a las personas para que revelen información confidencial, realicen acciones o tomen decisiones que comprometan la seguridad. En algunos casos, los atacantes pueden hacerse pasar por personas de confianza , como colegas, supervisores o personal de TI, para convencer a las víctimas de que compartan datos confidenciales o revelen nombres de usuario, contraseñas u otras credenciales de autenticación. Al utilizar esta información, los atacantes pueden obtener acceso no autorizado a sistemas, cuentas y datos confidenciales. Los ataques de ingeniería social a menudo utilizan tácticas de phishing para manipular a las personas para que realicen acciones o revelen datos que normalmente no harían.
• Los exploits de software aprovechan vulnerabilidades o debilidades en el software, firmware o configuraciones del sistema para obtener acceso no autorizado, manipular datos o realizar acciones maliciosas dentro de un sistema informático o red. El software obsoleto o sin parches es un punto de entrada común para ataques de vulnerabilidades del sistema, pero también puede estar vinculado a ataques de escalada de privilegios o a ataques de ejecución remota de código.

Las sanciones por infracción de datos pueden ser graves y de gran alcance e incluyen:

• Pérdidas financieras, debido a gastos relacionados con la respuesta a incidentes, honorarios legales y demandas , multas regulatorias y compensaciones a las partes afectadas.
• Daño a la reputación, ya que las infracciones reveladas públicamente pueden generar publicidad negativa y causar daños a largo plazo a una marca.
• Pérdida de confianza, ya que las infracciones pueden socavar la confianza en la capacidad de la empresa para proteger los datos, lo que hace que los clientes (y socios) duden en entablar relaciones comerciales, lo que genera pérdida de lealtad y pérdida de clientes.
• Implicaciones legales y regulatorias, ya que las empresas pueden enfrentar acciones legales y multas regulatorias debido al incumplimiento de las leyes y regulaciones de protección de datos, como el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en los EE. UU.

Reconocer los signos de una infracción de seguridad de forma rápida es fundamental para minimizar los posibles daños y responder de manera efectiva. Estas son algunas señales que pueden indicar que se está produciendo una infracción de seguridad:

• Una actividad inusual de la red (como aumentos repentinos en el tráfico de red, transferencias de datos inusuales o picos inesperados en el uso de ancho de banda) puede indicar un acceso no autorizado o la exfiltración de datos.
• Un comportamiento inesperado del sistema (como tiempo de inactividad del sistema sin causa justificada, un rendimiento lento o bloqueos frecuentes) puede indicar la presencia de malware o actividades no autorizadas.
• Las actividades extrañas de las cuentas (como cuentas de usuario desconocidas, tiempos de inicio de sesión inusuales o múltiples inicios de sesión fallidos) pueden ser señales de intentos de vulneración o de acceso no autorizado.
• Las anomalías de los datos y el acceso no autorizado (como datos que faltan o están alterados y registros que muestran un acceso no autorizado a bases de datos críticas o información confidencial) pueden sugerir una infracción de seguridad.

La prevención de infracciones de seguridad requiere un enfoque proactivo e integral de la ciberseguridad que incluye las siguientes prácticas recomendadas.

• Aplicar políticas de contraseñas seguras. Restrinja el uso de información fácilmente adivinable, como fechas de nacimiento, nombres o palabras comunes, y aplique el uso de contraseñas que combinen cadenas aleatorias de letras mayúsculas y minúsculas, números y símbolos. Considere promover el uso de frases de contraseña, que son más largas y fáciles de recordar, pero más difíciles de descifrar.  
• Implementar la autenticación multifactor (MFA). MFA requiere que el usuario presente dos o más factores de verificación para obtener acceso a una aplicação, recurso, cuenta en línea u otro servicio. En la práctica común, esto suele implicar ingresar un código de acceso de un solo uso desde un correo electrónico o mensaje de texto a un teléfono inteligente o navegador, o proporcionar datos biométricos como una huella digital o un escaneo facial.
• Actualice periódicamente el software y los sistemas. Mantenga los sistemas operativos, las aplicações de software y los parches de seguridad actualizados para abordar las vulnerabilidades conocidas. Desarrollar un proceso sólido de gestión de parches para aplicar actualizaciones y correcciones de seguridad rápidamente.
• Implementar la segmentación de red. Dividir una red más grande en segmentos más pequeños y aislados puede ayudar a mejorar la seguridad y reducir el impacto potencial de las violaciones de seguridad al crear zonas o subredes separadas con acceso controlado. Esta práctica ayuda a aislar activos críticos, reduce la superficie de ataque y limita el movimiento lateral dentro de la red para ayudar a contener las infracciones.
• Utilice cifrado y protección de datos. Cifre datos confidenciales tanto en tránsito como en reposo para protegerlos contra acceso no autorizado. La aplicación de políticas de protección de datos, como controles de acceso estrictos y principios de mínimo privilegio, reduce el riesgo de acceso no autorizado a los datos.
• API de inventario y scripts de terceros. Descubra dinámicamente puntos finales de API e integraciones de terceros para garantizar que se capturen en procesos de gestión de riesgos y estén protegidos por controles de seguridad adecuados. 

• Reconocer intentos de phishing. Asegúrese de que los empleados aprendan a reconocer correos electrónicos de phishing y enlaces maliciosos, reduciendo la probabilidad de caer en estafas de phishing que pueden conducir a violaciones de datos.
• Educar sobre contraseñas seguras. Enseñe a los empleados la importancia de las contraseñas seguras y las prácticas sólidas de higiene de contraseñas. 
• Reportar actividades sospechosas. Enseñe a los empleados a informar rápidamente sobre actividades sospechosas o posibles incidentes de seguridad, lo que permitirá una respuesta y mitigación más rápidas. La capacitación periódica mantiene a los empleados actualizados sobre los riesgos emergentes y cómo reconocerlos.

• Evalúe periódicamente la postura de seguridad de su organización. Utilice pruebas de penetración, escaneo de vulnerabilidades y auditorías de seguridad para identificar y abordar las debilidades en sus sistemas, aplicações y redes antes de que los atacantes puedan explotarlas. Las evaluaciones de vulnerabilidad también ayudan a identificar configuraciones erróneas que podrían provocar violaciones de seguridad si no se abordan.

• Desarrollar un plan de respuesta a incidentes. Esto puede desempeñar un papel importante en la mitigación de las brechas de seguridad al proporcionar un enfoque estructurado y proactivo para identificar y responder a posibles incidentes de ciberseguridad.
• Identificar las partes interesadas y los roles. Asegúrese de identificar a las partes interesadas y determinar los roles y responsabilidades, y desarrollar una cadena de mando clara para informar y escalar incidentes. Desarrollar procedimientos detallados paso a paso para contener y mitigar las infracciones y probar periódicamente el plan para identificar debilidades y mejorar las respuestas.
• Desarrollar estrategias de continuidad de negocio y recuperación ante desastres (BCDR). Los planes BCDR ayudan a garantizar la continuidad de operaciones comerciales críticas ante interrupciones, como violaciones de seguridad. Un elemento esencial de los planes BCDR son las copias de seguridad periódicas de los datos para garantizar que se puedan restaurar a un estado anterior y limpio en caso de una violación o corrupción de datos. Todos los planes BCDR deben probarse periódicamente mediante simulacros y ejercicios para confirmar su eficacia y permitir a las empresas identificar debilidades y perfeccionar las estrategias de respuesta.

La inteligencia artificial ofrece nuevas y poderosas herramientas y capacidades que pueden aprovecharse para detectar y prevenir brechas de seguridad. En particular, la defensa contra bots impulsada por IA puede mantener la resiliencia sin importar cómo los atacantes intenten eludir las defensas mediante la recopilación de telemetría duradera, el análisis del comportamiento y las estrategias de mitigación cambiantes. Los algoritmos de IA detectan anomalías que pueden indicar actividad de violación, como usuarios que acceden a datos confidenciales en momentos inusuales o desde ubicaciones desconocidas, así como intentos de falsificar señales y utilizar datos comprometidos de la web oscura. 

Estos sistemas pueden dirigirse para bloquear o marcar automáticamente las actividades sospechosas, y pueden automatizar algunos elementos de los planes de respuesta a incidentes, como el inicio de acciones de respuesta predefinidas o el aislamiento de sistemas comprometidos para ayudar a minimizar la propagación de las infracciones. Dado que los sistemas de seguridad basados en IA aprenden de los nuevos datos y se adaptan a los panoramas de amenazas cambiantes, su precisión para detectar infracciones mejora con el tiempo y evoluciona para seguir siendo pertinentes en entornos de amenazas dinámicas.

Las tecnologías de IA también pueden analizar grandes volúmenes de datos y detectar patrones anómalos en tiempo real, lo que permite que estos sistemas respondan más rápido y con una identificación de las amenazas más precisa que los programas de detección de amenazas manuales o basados en reglas.

Si bien las soluciones de seguridad impulsadas por IA ofrecen beneficios significativos para la detección y prevención de amenazas, funcionan mejor junto con la experiencia humana para validar alertas e interpretar datos o entradas complicadas. Los modelos de seguridad de la IA pueden producir falsos positivos y falsos negativos, que requieren la vigilancia del juicio y la supervisión humanos, en particular cuando se responde a amenazas complejas y novedosas. 

La Comisión Federal de Comercio (FTC) proporciona orientación sobre las medidas de respuesta a incidentes que las organizaciones deben considerar cuando se enfrentan a una violación de seguridad. Estos pasos están diseñados para ayudar a las organizaciones a responder y gestionar eficazmente los incidentes de seguridad. Una descripción general de la guía de la FTC para abordar una violación de seguridad incluye las siguientes acciones:

• Asegure sus operaciones. Actúe rápidamente para proteger sus sistemas y movilice a su equipo de respuesta ante violaciones de inmediato para evitar pérdida adicional de datos. Esto podría implicar aislar los sistemas afectados, deshabilitar las cuentas comprometidas y tomar otras medidas para evitar más acceso no autorizado.
• Corregir vulnerabilidades. Trabaje con sus expertos forenses para identificar y abordar las vulnerabilidades que permitieron que ocurriera la violación. Aplicar parches y actualizar software, sistemas y configuraciones para prevenir incidentes futuros. Analice quién tiene actualmente acceso a la red (incluidos los proveedores de servicios), determine si ese acceso es necesario y restrinja el acceso si no lo es.
• Notificar a las partes correspondientes. Notificar a las autoridades para informar la situación y el riesgo potencial de robo de identidad. Dependiendo de la naturaleza de la infracción, informe a las personas, clientes o consumidores afectados sobre el incidente. Proporcionar información clara, precisa y transparente a las personas afectadas sobre lo que sucedió, qué datos estuvieron expuestos y qué medidas deben tomar para protegerse.