Cómo evitar las violaciones de datos en 2023
La clave para prevenir las violaciones o fugas de datos en el panorama actual de la ciberseguridad es comprender exactamente cómo se producen y cubrir toda su superficie de ataque. Permítanos guiarle a través de la anatomía de la pérdida de datos y mostrarle los puntos débiles específicos que podrían afectar a la seguridad de sus datos.
Aumentan las cifras de violaciones de datos
Año tras año, las cifras de violaciones de datos no dejan de crecer. Según el Informe anual sobre filtraciones de datos 2021 del Centro de Recursos contra el Robo de Identidad, en 2021 las organizaciones notificaron 1.862 violaciones de datos, frente a las 1.108 de 2020.
Aunque las mayores violaciones de datos, como las de Equifax o Yahoo!, acaparan los titulares, no se trata necesariamente de las cifras. Para las pequeñas empresas, una brecha de seguridad aparentemente menor puede tener graves consecuencias que lleven incluso al cierre. En el caso de industrias volátiles, el tipo de datos sensibles que se pierden, como números de tarjetas de crédito, información financiera o datos médicos, puede acarrear enormes multas, además de tener un gran impacto en los propietarios de este tipo de datos.
El creciente número de violaciones de datos puede atribuirse sobre todo al creciente interés de los delincuentes por los datos. Cuanto más avanzamos hacia una sociedad digital, mayor es el valor de los datos para los delincuentes. Una filtración de información confidencial como los números de la seguridad social junto con otros datos personales y/o IIP puede permitir a los ciberdelincuentes asumir fácilmente identidades en el mundo digital.
La mayoría de las violaciones de datos son, de hecho, resultado de una actividad delictiva. El phishing y el ransomware son citados por el Centro de Recursos contra el Robo de Identidad (ITRC) como las principales amenazas a la seguridad y las causas fundamentales de las violaciones de datos. El ITRC también afirma que en 2021 se produjeron más violaciones de datos relacionadas con ciberataques (1.603) que en 2020 (1.108).
Anatomía de un ciberataque
La falta de comprensión de la ciberseguridad podría ser una de las principales razones por las que no todas las organizaciones cuentan con una prevención suficiente contra la violación de datos. Y esto podría atribuirse en parte a los medios de comunicación, que se centran en términos populares como phishing y ransomware y hacen creer a muchos que si están bien protegidos contra estos dos tipos de ciberataques, pueden estar tranquilos. Por desgracia, eso está muy lejos de la realidad.
Casi todos los ciberataques son una compleja cadena de actividades en las que intervienen no sólo ordenadores, sino, principalmente, seres humanos y sus puntos débiles. Los hackers maliciosos más famosos de la historia, como Kevin Mitnick, no eran sólo maestros de la informática sino, lo que es más importante, maestros de la ingeniería social. Un ciberataque que conduzca a una violación de datos puede llevar mucho tiempo, incluso varios meses, y puede suponer que el atacante establezca retenciones de recursos, realice reconocimientos y utilice muchas técnicas diferentes en el camino.
Por ejemplo, un atacante podría empezar por encontrar una vulnerabilidad web de secuencias de comandos en sitios cruzados (XSS) en uno de los sitios web menores propiedad de la organización, como un sitio web de marketing. Al mismo tiempo, descubrirían la estructura organizativa y seleccionarían a los usuarios clave como objetivos. A continuación, los usuarios seleccionados serían objeto de un ataque de spear phishing que utilizaría el XSS encontrado anteriormente. La falta de prevención de pérdida de datos (DLP) haría posible que el usuario expusiera sus credenciales de inicio de sesión al atacante. A continuación, el atacante comprobaría si las mismas credenciales sirven para diferentes sistemas y podría descubrir que puede obtener acceso a la aplicación web principal de la organización. Este acceso no autorizado podría llevar al atacante a encontrar más riesgos de seguridad, obtener más permisos y, en última instancia, instalar una shell web que le permitiría ejecutar comandos utilizando el sistema operativo del servidor web. Esto, a su vez, permitiría instalar ransomware.
Como se puede ver, el ransomware es sólo un pequeño paso final del ataque y ningún software de protección contra ransomware ayudaría si el atacante pudiera ejecutar los pasos anteriores. Los medios de comunicación, e incluso el ITRC, tratan el ransomware como la causa principal de las violaciones de datos (porque es un término «sexy»), sin centrarse en el hecho de que el ransomware debe primero abrirse camino de alguna manera en los sistemas a través de debilidades en los sistemas informáticos y el comportamiento humano.
Prevención mediante una cobertura completa
Para evitar situaciones como el ejemplo anterior, las organizaciones deben asegurarse de que sus políticas de seguridad se centran en la protección integral, y no están ahí sólo para cumplir los requisitos de conformidad. Por desgracia, muchas organizaciones se limitan a superar auditorías y evaluaciones, lo que hace que gran parte de la superficie de ataque quede cubierta de forma inadecuada.
La ciberseguridad debe tratarse exactamente igual que la seguridad física: no tiene sentido instalar cerraduras adicionales en la puerta si la ventana puede romperse fácilmente. El reto para muchas organizaciones es el hecho de que la ciberseguridad es un tema muy complejo y es difícil encontrar todas esas ventanas y puertas. Y la brecha de talento en ciberseguridad no está ayudando a las organizaciones que luchan por contratar directores de seguridad bien formados y con experiencia.
Éstas son algunas de las áreas que suelen quedar insuficientemente protegidas:
- El factor humano sigue siendo el mayor riesgo para la ciberseguridad. La educación ayuda a reducir los errores humanos, la negligencia, las estafas y el phishing, pero incluso si se forma bien a los empleados, no ayudará a prevenir los actos maliciosos intencionados. El software de protección contra malware no es suficiente para impedir que los humanos causen daños con su comportamiento intencionado y no intencionado. Debe combinarse con otras soluciones, como el software de prevención de pérdida de datos (DLP). El primero impide la instalación de software malicioso en el endpoint, mientras que el segundo evita que se comparta manualmente información confidencial fuera de la empresa, por ejemplo, a través de las redes sociales, así como que se traslade del disco duro del portátil a soportes portátiles sin la suficiente protección de datos (cifrado).
- Las primeras etapas de los ciberataques se centran la mayoría de las veces en el factor humano, pero algunos de ellos empiezan por encontrar puntos débiles en los sistemas informáticos. Mientras que hace apenas unos años se trataba sobre todo de la seguridad de la red y la actualización de sus sistemas tan pronto como los parches de seguridad están disponibles, el paso a la nube y la abundancia de tecnologías web no sólo en aplicaciones, sino también APIs y tecnologías móviles cambiaron el enfoque hacia la seguridad de las aplicaciones web. Muchas organizaciones siguen viviendo en el pasado y se centran en la seguridad de la red, sin tratar las vulnerabilidades y los errores de configuración de la web con la debida diligencia y, en cambio, pensando que una VPN y un cortafuegos de aplicaciones web será suficiente. A las organizaciones también les cuesta entender las complejidades de las infraestructuras en nube y piensan que nombres rimbombantes como CSPM y CWPP protegerán todas las capas, pasando por alto la capa crítica de la aplicación.
Otro problema es que los expertos en ciberseguridad a menudo no comprenden la psicología del usuario. Un claro ejemplo de ello es la frecuencia con la que los equipos de ciberseguridad no entienden el enfoque de los usuarios sobre las contraseñas. Al obligar a los usuarios a crear contraseñas que incluyan mayúsculas, números y caracteres especiales, acaban con la mayoría de la gente usando contraseñas similares a «¡Contraseña1!», que son triviales de descifrar y no son contraseñas fuertes en absoluto. Obligar a los usuarios a cambiar sus contraseñas cada mes, más o menos, también hace que cambien «¡Contraseña1!» por «¡Contraseña2!» y reutilicen sus contraseñas en todos los sistemas. En su lugar, las organizaciones deberían adoptar nuevas tecnologías como la autenticación multifactorial, así como la biometría y las claves de hardware, y promover soluciones como los gestores de contraseñas entre sus usuarios.
¿La receta del éxito?
No existe una receta sencilla para mantener la mejor postura de seguridad posible y evitar las violaciones de datos en 2022. Lo mejor que puede hacer es contratar al personal adecuado, asegurarse de que no vive en el pasado y comprender que, para cubrir todas las bases, necesitará muchas tecnologías, soluciones y medidas de seguridad diferentes, y que no basta con adquirir un paquete caro de un gran proveedor de seguridad que utilice palabras rimbombantes en sus campañas de marketing.
Puede que DLP o DAST no fueran necesarios hace 10 años y pudieras confiar en un software antivirus y un cortafuegos, pero en el mundo de la ciberseguridad la situación cambia muy deprisa y tienes que tener el dedo en el pulso. Si aborda la ciberseguridad con una mentalidad abierta y se asegura de que nunca se convierta en un silo en su organización, tendrá más posibilidades que muchos de evitar una violación de datos.