Sí, la gente sigue perdiendo datos a través de memorias USB en 2022
Si nos remontamos diez años atrás, no había un mes que no se informara de la pérdida o el robo de una memoria USB con información personal de los clientes. Desde entonces, la mejora de la concienciación sobre la seguridad y la tecnología han reducido estos incidentes. Sin embargo, las recientes noticias sobre un contratista japonés que perdió memorias USB con los datos sensibles de casi medio millón de personas son un recordatorio de que los riesgos siguen siendo muy reales y pueden seguir ocurriendo más a menudo de lo que pensamos.
En junio, la ciudad de Amagasaki, en el oeste de Japón, contrató a la empresa BIPROGY para que analizara y supervisara la desgravación fiscal referente al COVID-19 para sus ciudadanos. Tal y como informaron originalmente la NHK y otras fuentes, el 23 de junio, un empleado de esa empresa que trabajaba in situ en las oficinas de la ciudad decidió copiar datos sin permiso y seguir trabajando con ellos en la oficina de la empresa en Osaka. Estos datos incluían información muy sensible: nombres, direcciones, fechas de nacimiento, detalles de los pagos de impuestos de residencia y los números de cuentas bancarias de los beneficiarios de las prestaciones.
El empleado de BIPROGY copió la información personal de 465.177 residentes de Amagasaki en dos memorias USB y se las llevó. Sin embargo, en lugar de ir directamente a Osaka esa misma noche, se dirigió a un bar local de Amagasaki con colegas y…. bueno, el resto es un recuerdo borroso. A la mañana siguiente se despertó sin la bolsa que contenía las dos memorias USB.
El incidente se denunció a la policía de Amagasaki esa misma mañana, y un día después se encontró la bolsa en el exterior de un edificio de apartamentos. Pero no antes de que la oficina municipal se viera inundada por 30.000 llamadas de ciudadanos enfadados.
La policía informó de que no parecía haber ningún delito y que no se había accedido a las dos memorias. Tampoco se informó de ninguna fuga de datos, pero se sigue investigando el incidente a fondo.
El coste de la pérdida de datos por USB
La mala noticia es que el caso de Amagasaki es uno de los muchos incidentes de este tipo. Por ejemplo, en octubre de 2017 se encontró una memoria USB en una calle de Londres que contenía mapas, vídeos y documentos, incluidos los detalles de las medidas utilizadas para proteger a la Reina. La fuente fue rastreada hasta el aeropuerto de Heathrow. Con menos suerte que en el caso de Amagasaki, estos datos quedaron completamente sin cifrar, incluso los documentos declarados confidenciales. La Oficina del Comisionado de Información multó a Heathrow con 147.000 dólares por la infracción.
El Instituto Ponemon realizó hace varios años un estudio especializado sobre el tema de la pérdida de datos a través de unidades USB perdidas o robadas. Este estudio reveló que las empresas pierden una media de 2,5 millones de dólares por la pérdida de dispositivos de memoria. Teniendo en cuenta que esta cifra tiene ya una década, mucho antes de la existencia de las multas reglamentarias (GDPR, CCPA, etc.), podemos extrapolar que las pérdidas por memorias USB y la transferencia no autorizada de datos sensibles a través de otros canales están costando millones a las empresas de todo el mundo en la actualidad. Sobre todo por el hecho de que, según un informe de 2018 de Netwrix, más de la mitad de los accidentes de pérdida de datos no se producen por ataques de hackers de sombrero negro, sino por errores de empleados habituales.
Más que memorias USB, y más que pérdida de datos
El uso de memorias USB desprotegidas no sólo es motivo de pérdida de datos, sino también de importantes ataques de hackers de sombrero negro. Por ejemplo, una de las mayores brechas en la historia militar de Estados Unidos en 2008 se produjo debido a una unidad USB infectada. Una fuerte protección DLP para las unidades USB que impida la transferencia de datos tanto desde el sistema local como hacia el sistema local es aún más importante hoy en día debido a los comunes ataques de caída de USB en los que los ciberdelincuentes envían unidades USB a las empresas, que al conectarse a un sistema desprotegido instalan ransomware.
La importancia de una solución de prevención de pérdida de datos
La buena noticia, en este caso, es que los archivos copiados en las memorias USB estaban encriptados y protegidos con contraseña. Sin embargo, con una solución adecuada de prevención de pérdida de datos, todo el incidente podría haberse evitado.
Imagínese que el empleado estaba tan decidido a copiar datos PII para trabajar en ellos en otro lugar que intentó todas las demás opciones, incluyendo el envío de los datos por correo electrónico o como una carga a una aplicación de almacenamiento en la nube personal.
Endpoint Protector habría sido capaz no sólo de controlar el uso de dispositivos de almacenamiento USB (o al menos imponer el cifrado de cualquier archivo que se almacene en un dispositivo extraíble), sino también de poner las medidas necesarias para restringir cualquier exfiltración de PII, por ejemplo, a través de correo electrónico, recursos compartidos de red o subidas a la nube.
La creciente importancia de los datos y el aumento continuo de los niveles de actividad de los ciberdelincuentes hacen que la DLP y el control de los dispositivos sean una necesidad en el mundo actual, especialmente si se manejan datos PII, PHI o de tarjetas de pago. Puede que su caso de pérdida de datos no tenga gran repercusión en los medios de comunicación, aunque tendrá el potencial de perjudicar seriamente a su empresa, quizá no en la parte económica, pero sí en su reputación.