Una fuga de datos implica la divulgación de información confidencial. Muchos tipos de ataques en línea tienen como objetivo principal causar una fuga de datos para divulgar información como por ejemplo credenciales de inicio de sesión e información financiera personal.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
¿Por qué usar HTTPS?
Ataque por fuerza bruta
¿Qué es el desbordamiento del búfer?
¿Qué es el OWASP Top 10?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Una fuga de datos es la divulgación de información confidencial o privada en un entorno no seguro. Una fuga de datos puede ser resultado de un accidente o de un ataque deliberado.
Millones de personas se ven afectadas todos los años por fugas de datos, y su alcance puede variar de que un médico mire accidentalmente el historial del paciente equivocado, hasta un intento a gran escala de acceder a los ordenadores del gobierno para descubrir información confidencial.
Las fugas de datos son una gran preocupación en materia de seguridad, porque los datos confidenciales se transmiten constantemente por Internet. Esta transferencia continua de información hace posible que los atacantes puedan intentar ataques de fugas de datos en casi cualquier persona o empresa que deseen.
Las empresas de todo el mundo también almacenan datos en formato digital. Los servidores que almacenan los datos suelen ser vulnerables a diversas formas de ciberataque.
Las grandes empresas son los principales objetivos de los atacas de fugas de datos porque ofrecen una carga útil muy grande. Esta carga útil puede incluir millones de datos personales y financieros de los usuarios, como credenciales de acceso y números de tarjetas de crédito. Todos estos datos pueden revenderse en los mercados clandestinos.
Sin embargo, los atacantes pueden realizar ataques contra cualquiera del que puedan extraer datos. Todos los datos personales o confidenciales son valiosos para los ciberdelincuentes, pues siempre hay alguien que está dispuesto a pagar por ellos.
La fuga de datos de Equifax en 2017 es un ejemplo importante de fuga de datos a gran escala. Equifax es una agencia de crédito estadounidense. Entre mayo y junio de 2017, agentes maliciosos accedieron a los registros privados de los servidores de Equifax que contenían datos de casi 150 millones de estadounidenses, 15 millones de ciudadanos británicos y unos 19 000 ciudadanos canadienses. El ataque fue posible porque Equifax no había aplicado un parche a una vulnerabilidad de software en su sistema.
Las fuga de datos a menor escala también pueden tener un efecto importante. En 2020, los atacantes secuestraron las cuentas de Twitter de numerosas personas famosas e influyentes. El ataque fue posible gracias a un ataque inicial de ingeniería social que permitió que los atacantes pudieran acceder a las herramientas administrativas internas de Twitter. A partir de esta brecha inicial, los atacantes pudieron hacerse con las cuentas de varias personas y promover una estafa que recaudó aproximadamente 117 000 $ en Bitcoin.
Una de las fugas de datos más famosas de las últimas décadas fue el ciberataque que se produjo contra el gran comercio minorista Target en 2013. La combinación de estrategias que se usó para este ataque fue bastante sofisticada. El ataque incluyó un ataque de ingeniería social, el secuestro de un proveedor externo y un ataque a gran escala a los dispositivos físicos de los puntos de venta.
El ataque se inició con una estafa de phishing que tuvo como objetivo a los empleados de una empresa de aire acondicionado que suministraba aparatos de aire acondicionado a las tiendas Target. Estos aparatos de aire acondicionado estaban conectados a ordenadores de la red de Target para controlar el uso de la energía, y los atacantes pusieron en riesgo el software de la empresa de aire acondicionado para acceder al sistema de Target. Finalmente, los atacantes pudieron reprogramar los escáneres de las tarjetas de crédito de las tiendas Target para conseguir los datos de las tarjetas de crédito de los clientes. Estos escáneres no estaban conectados a Internet, pero estaban programados para volcar de forma periódica los datos de las tarjetas de crédito en un punto de acceso supervisado por los atacantes. El ataque tuvo éxito y se calcula que 110 millones de clientes de Target vieron comprometidos sus datos.
Debido a que las fugas de datos se presentan de muchas formas, no hay una solución única para detenerlas y es necesario un enfoque holístico. Entre las principales medidas que pueden tomar las empresas se incluyen:
Control de acceso: los empleadores pueden ayudar a combatir las fugas de datos si se aseguran de que sus empleados solo cuentan con los accesos y permisos mínimos y necesarios para realizar su trabajo.
Encriptación: las empresas deben encriptar sus sitios web y los datos que reciben mediante la encriptación SSL/TLS. Las empresas también deben encriptar los datos en reposo, cuando se almacenan en sus servidores o en los dispositivos de los empleados.
Soluciones de seguridad web: un firewall de aplicaciones web (WAF) puede proteger a una empresa de varios tipos de ataques a aplicaciones y a vulnerabilidades que tienen como objetivo generar fugas de datos. De hecho, se especula que un WAF correctamente configurado habría evitado el gran ataque de fuga de datos a Equifax en 2017.
Seguridad de la red: además de sus propiedades web, las empresas deben proteger sus redes internas contra riesgos. Las soluciones de seguridad de red como firewalls, protección contra DDoS, puertas de enlace web seguras y prevención de pérdida de datos (DLP) pueden ayudar a mantener la seguridad de las redes.
Mantener software y hardware actualizados: las versiones antiguas de software son peligrosas. El software casi siempre tiene vulnerabilidades que, si se aprovechan adecuadamente, permiten que los atacantes accedan a datos confidenciales. Los proveedores de software publican con regularidad parches de seguridad o versiones completamente nuevas de su software para parchear las vulnerabilidades. Si no se instalan estos parches y actualizaciones, los atacantes podrán poner en riesgo esos sistemas, como ocurrió en el ataque a Equifax. Pasado cierto punto, los proveedores dejarán de dar soporte a un producto de software, lo que deja a ese software completamente expuesto a cualquier nueva vulnerabilidad que se descubra.
Preparación: las empresas deben preparar un plan de respuesta que se ejecute en caso de fuga de datos, con el objetivo de minimizar o contener la fuga de información. Por ejemplo, las empresas deberían guardar copias de seguridad de las bases de datos importantes.
Formación: la ingeniería social es una de las causas más frecuentes de fugas de datos. Es recomendable formar a los empleados para que reconozcan y respondan a los ataques de ingeniería social.
Aquí tienes algunos consejos para proteger tus datos, aunque estas acciones por sí solas no garantizan la seguridad de los datos:
Usar contraseñas únicas para cada servicio: muchos usuarios reutilizan las contraseñas en varios servicios en línea. El resultado es que cuando uno de estos servicios sufre una fuga de datos, los atacantes pueden utilizar esas credenciales para poner en riesgo también el resto de cuentas de los usuarios.
Usar la autenticación en dos fases: la autenticación en dos fases (2FA) es el uso de más de un método de verificación para confirmar la identidad de un usuario antes de que se le deje iniciar sesión. Una de las formas más comunes de 2FA es cuando un usuario introduce un código único enviado por mensaje de texto a su teléfono, además de su contraseña. Los usuarios que aplican la 2FA son menos vulnerables a las fugas de datos que revelan las credenciales de acceso, porque su contraseña no es suficiente por sí sola para que un atacante pueda robar sus cuentas.
Solo envíar información personal en sitios web HTTPS: un sitio web que no utilice encriptación SSL solo tendrá "http://" en su URL, no "https://". Los sitios web sin encriptación dejan expuestos todos los datos introducidos en ellos, desde los nombres de usuario y las contraseñas hasta las consultas de búsqueda y los números de las tarjetas de crédito.
Mantener software y hardware actualizados: esta sugerencia es aplicable tanto a usuarios como a empresas.
Encriptar los discos duros: si se roba el dispositivo de un usuario, la encriptación impide que el atacante vea los archivos almacenados localmente en ese dispositivo. Sin embargo, esto no detiene a los atacantes que hayan obtenido acceso remoto al dispositivo a través de una infección de malware o algún otro método.
Instalar aplicaciones y abrir archivos de fuentes fiables únicamente: los usuarios descargan e instalan accidentalmente programas maliciosos todos los días. Asegúrate de que cualquier archivo o aplicación que abras, descargues o instales proceda realmente de una fuente legítima. Además, los usuarios deben evitar la apertura de archivos adjuntos de correo electrónico inesperados: los atacantes suelen camuflar el malware en archivos adjuntos a los correos electrónicos que parecen inofensivos.