¿Qué es una fuga de datos?

Una fuga de datos implica la divulgación de información confidencial. Muchos tipos de ataques en línea tienen como objetivo principal causar una fuga de datos para divulgar información como por ejemplo credenciales de inicio de sesión e información financiera personal.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir una fuga de datos
  • Describir varios ejemplos de fugas de datos
  • Analizar las distintas estrategias de mitigación de fuga de datos

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es una fuga de datos?

Una fuga de datos es la divulgación de información confidencial o privada en un entorno no seguro. Una fuga de datos puede ser resultado de un accidente o de un ataque deliberado.

Millones de personas se ven afectadas todos los años por fugas de datos, y su alcance puede variar de que un médico mire accidentalmente el historial del paciente equivocado, hasta un intento a gran escala de acceder a los ordenadores del gobierno para descubrir información confidencial.

Fuga de datos

Las fugas de datos son una gran preocupación en materia de seguridad, porque los datos confidenciales se transmiten constantemente por Internet. Esta transferencia continua de información hace posible que los atacantes puedan intentar ataques de fugas de datos en casi cualquier persona o empresa que deseen.

Las empresas de todo el mundo también almacenan datos en formato digital. Los servidores que almacenan los datos suelen ser vulnerables a diversas formas de ciberataque.

¿Quién es el objetivo típico de las fugas de datos?

Las grandes empresas son los principales objetivos de los atacas de fugas de datos porque ofrecen una carga útil muy grande. Esta carga útil puede incluir millones de datos personales y financieros de los usuarios, como credenciales de acceso y números de tarjetas de crédito. Todos estos datos pueden revenderse en los mercados clandestinos.

Sin embargo, los atacantes pueden realizar ataques contra cualquiera del que puedan extraer datos. Todos los datos personales o confidenciales son valiosos para los ciberdelincuentes, pues siempre hay alguien que está dispuesto a pagar por ellos.

¿Cuáles son algunas de las principales formas en que puede producirse una fuga de datos?

  • Credenciales perdidas o robadas - La forma más sencilla de ver datos privados en Internet es utilizar las credenciales de acceso de otra persona para iniciar sesión en un servicio. Para ello, los atacantes emplean una serie de estrategias para hacerse con los inicios de sesión y las contraseñas de las personas. Entre estas se incluyen los ataques de fuerza bruta y los ataques en ruta.
  • Equipo perdido o robado - Un ordenador o un teléfono inteligente perdido que contenga información confidencial puede ser muy peligroso si cae en las manos equivocadas.
  • Ataques de ingeniería social - La ingeniería social implica la utilización de la manipulación psicológica para engañar a las personas para que proporcionen información confidencial. Por ejemplo, un atacante puede hacerse pasar por un agente de la Agencia tributaria y llamar por teléfono a las víctimas para intentar convencerlas de que le proporcionen su información de cuenta bancaria.
  • Amenazas internas - Se trata de personas que tienen acceso a información protegida y que publican esos datos deliberadamente, normalmente para obtener un beneficio personal. Entre los ejemplos se incluyen un camarero de un restaurante que copia los números de las tarjetas de crédito de los clientes, así como a empleados gubernamentales de alto nivel que venden secretos a estados extranjeros. (Más información sobre las amenazas internas.)
  • Aprovechar las vulnerabilidades - Casi todas las empresas del mundo utilizan diferentes productos de software. Como el software es tan complejo, suele contener fallos conocidos como "vulnerabilidades." Un atacante puede aprovechar estas vulnerabilidades para obtener un acceso no autorizado, y ver o copiar datos confidenciales.
  • Infecciones de Malware - Muchos programas de software malicioso están diseñados para robar datos o rastrear las actividades del usuario, enviando la información que recopilan a un servidor que controla el atacante.
  • Ataques físicos a los puntos de venta - Estos ataques tienen como objetivo la información de las tarjetas de crédito y débito, y suelen afectar a los dispositivos que escanean y leen estas tarjetas. Por ejemplo, alguien podría montar un cajero automático falso o incluso instalar un escáner en un cajero automático legítimo para recopilar los números de las tarjetas y los números PIN.
  • Relleno de credenciales - Después de que las credenciales de inicio de sesión de alguien queden expuestas en una fuga de datos, un atacante puede intentar reutilizar esas mismas credenciales en muchas otras plataformas. Si ese usuario se conecta con el mismo nombre de usuario y contraseña en varios servicios, el atacante puede obtener acceso al correo electrónico, a las redes sociales y/o a las cuentas bancarias en línea de la víctima.
  • Falta de encriptación - Si un sitio web que recopila datos personales o financieros no utiliza la encriptación SSL/TLS, cualquiera puede controlar las transmisiones entre el usuario y el sitio web, y ver esos datos en texto plano.
  • Aplicación o servidor web que estén mal configurados - Si un sitio web, una aplicación o un servidor web no están configurados correctamente, los datos pueden quedar expuestos y cualquiera con una conexión a Internet puede acceder a los mismos. Los datos confidenciales los puede ver cualquiera que se los encuentre por accidente, o un atacante que los esté buscando a propósito.

¿Cómo es una fuga de datos en el mundo real?

La fuga de datos de Equifax en 2017 es un ejemplo importante de fuga de datos a gran escala. Equifax es una agencia de crédito estadounidense. Entre mayo y junio de 2017, agentes maliciosos accedieron a los registros privados de los servidores de Equifax que contenían datos de casi 150 millones de estadounidenses, 15 millones de ciudadanos británicos y unos 19 000 ciudadanos canadienses. El ataque fue posible porque Equifax no había aplicado un parche a una vulnerabilidad de software en su sistema.

Las fuga de datos a menor escala también pueden tener un efecto importante. En 2020, los atacantes secuestraron las cuentas de Twitter de numerosas personas famosas e influyentes. El ataque fue posible gracias a un ataque inicial de ingeniería social que permitió que los atacantes pudieran acceder a las herramientas administrativas internas de Twitter. A partir de esta brecha inicial, los atacantes pudieron hacerse con las cuentas de varias personas y promover una estafa que recaudó aproximadamente 117 000 $ en Bitcoin.

Una de las fugas de datos más famosas de las últimas décadas fue el ciberataque que se produjo contra el gran comercio minorista Target en 2013. La combinación de estrategias que se usó para este ataque fue bastante sofisticada. El ataque incluyó un ataque de ingeniería social, el secuestro de un proveedor externo y un ataque a gran escala a los dispositivos físicos de los puntos de venta.

El ataque se inició con una estafa de phishing que tuvo como objetivo a los empleados de una empresa de aire acondicionado que suministraba aparatos de aire acondicionado a las tiendas Target. Estos aparatos de aire acondicionado estaban conectados a ordenadores de la red de Target para controlar el uso de la energía, y los atacantes pusieron en riesgo el software de la empresa de aire acondicionado para acceder al sistema de Target. Finalmente, los atacantes pudieron reprogramar los escáneres de las tarjetas de crédito de las tiendas Target para conseguir los datos de las tarjetas de crédito de los clientes. Estos escáneres no estaban conectados a Internet, pero estaban programados para volcar de forma periódica los datos de las tarjetas de crédito en un punto de acceso supervisado por los atacantes. El ataque tuvo éxito y se calcula que 110 millones de clientes de Target vieron comprometidos sus datos.

¿Cómo pueden prevenir las empresas las fugas de datos?

Debido a que las fugas de datos se presentan de muchas formas, no hay una solución única para detenerlas y es necesario un enfoque holístico. Entre las principales medidas que pueden tomar las empresas se incluyen:

Control de acceso: los empleadores pueden ayudar a combatir las fugas de datos si se aseguran de que sus empleados solo cuentan con los accesos y permisos mínimos y necesarios para realizar su trabajo.

Encriptación: las empresas deben encriptar sus sitios web y los datos que reciben mediante la encriptación SSL/TLS. Las empresas también deben encriptar los datos en reposo, cuando se almacenan en sus servidores o en los dispositivos de los empleados.

Soluciones de seguridad web: un firewall de aplicaciones web (WAF) puede proteger a una empresa de varios tipos de ataques a aplicaciones y a vulnerabilidades que tienen como objetivo generar fugas de datos. De hecho, se especula que un WAF correctamente configurado habría evitado el gran ataque de fuga de datos a Equifax en 2017.

Seguridad de la red: además de sus propiedades web, las empresas deben proteger sus redes internas contra riesgos. Las soluciones de seguridad de red como firewalls, protección contra DDoS, puertas de enlace web seguras y prevención de pérdida de datos (DLP) pueden ayudar a mantener la seguridad de las redes.

Mantener software y hardware actualizados: las versiones antiguas de software son peligrosas. El software casi siempre tiene vulnerabilidades que, si se aprovechan adecuadamente, permiten que los atacantes accedan a datos confidenciales. Los proveedores de software publican con regularidad parches de seguridad o versiones completamente nuevas de su software para parchear las vulnerabilidades. Si no se instalan estos parches y actualizaciones, los atacantes podrán poner en riesgo esos sistemas, como ocurrió en el ataque a Equifax. Pasado cierto punto, los proveedores dejarán de dar soporte a un producto de software, lo que deja a ese software completamente expuesto a cualquier nueva vulnerabilidad que se descubra.

Preparación: las empresas deben preparar un plan de respuesta que se ejecute en caso de fuga de datos, con el objetivo de minimizar o contener la fuga de información. Por ejemplo, las empresas deberían guardar copias de seguridad de las bases de datos importantes.

Formación: la ingeniería social es una de las causas más frecuentes de fugas de datos. Es recomendable formar a los empleados para que reconozcan y respondan a los ataques de ingeniería social.

¿Cómo pueden protegerse los usuarios de las fugas de datos?

Aquí tienes algunos consejos para proteger tus datos, aunque estas acciones por sí solas no garantizan la seguridad de los datos:

Usar contraseñas únicas para cada servicio: muchos usuarios reutilizan las contraseñas en varios servicios en línea. El resultado es que cuando uno de estos servicios sufre una fuga de datos, los atacantes pueden utilizar esas credenciales para poner en riesgo también el resto de cuentas de los usuarios.

Usar la autenticación en dos fases: la autenticación en dos fases (2FA) es el uso de más de un método de verificación para confirmar la identidad de un usuario antes de que se le deje iniciar sesión. Una de las formas más comunes de 2FA es cuando un usuario introduce un código único enviado por mensaje de texto a su teléfono, además de su contraseña. Los usuarios que aplican la 2FA son menos vulnerables a las fugas de datos que revelan las credenciales de acceso, porque su contraseña no es suficiente por sí sola para que un atacante pueda robar sus cuentas.

Solo envíar información personal en sitios web HTTPS: un sitio web que no utilice encriptación SSL solo tendrá "http://" en su URL, no "https://". Los sitios web sin encriptación dejan expuestos todos los datos introducidos en ellos, desde los nombres de usuario y las contraseñas hasta las consultas de búsqueda y los números de las tarjetas de crédito.

Mantener software y hardware actualizados: esta sugerencia es aplicable tanto a usuarios como a empresas.

Encriptar los discos duros: si se roba el dispositivo de un usuario, la encriptación impide que el atacante vea los archivos almacenados localmente en ese dispositivo. Sin embargo, esto no detiene a los atacantes que hayan obtenido acceso remoto al dispositivo a través de una infección de malware o algún otro método.

Instalar aplicaciones y abrir archivos de fuentes fiables únicamente: los usuarios descargan e instalan accidentalmente programas maliciosos todos los días. Asegúrate de que cualquier archivo o aplicación que abras, descargues o instales proceda realmente de una fuente legítima. Además, los usuarios deben evitar la apertura de archivos adjuntos de correo electrónico inesperados: los atacantes suelen camuflar el malware en archivos adjuntos a los correos electrónicos que parecen inofensivos.