¿En qué consiste una “brecha de seguridad” en las empresas?

Una ruptura o brecha de seguridad en los sistemas informáticos de una empresas es un incidente a través del cual se permite a un individuo o entidad desconocida el acceso no autorizado a datos informáticos, aplicaciones, redes o dispositivos. Es decir, permite el acceso sin autorización a la información almacenada en los servidores o equipos de la empresa.

Suelen ocurrir cuando un intruso logra sortear, de forma voluntaria o no, los mecanismos y protocolos de seguridad establecidos, cuando existen.

Desde el punto de vista meramente técnico, tenemos que entender la diferencia que existe entre una brecha de seguridad y una filtración de datos.

Una brecha de seguridad necesariamente requiere la existencia de una intromisión, mientras que una brecha o filtración de datos consiste en la sustracción de información por parte de un ciberdelincuente. Pongamos el ejemplo de un ladrón: la brecha de seguridad significaría que pudo entrar en la propiedad a través de una ventana, mientras que la brecha de datos implicaría que tan sólo pudo apropiarse de la agenda personal de alguno de los habitantes de la residencia.

Los datos de carácter confidencial tienen un valor inmenso. Los ciberdelincuentes suelen vender este tipo de información en lo que se ha llamado la Web Oscura (Dark Web); por ejemplo, cualquier puede adquirir nombres y números de tarjeta de crédito y luego utilizarlos para hacer compras fraudulentas o suplantar la identidad de un usuario particular.

Por esta razón, no sorprende a nadie que las brechas de seguridad puedan convertirse para las empresas en inmensas cantidades de dinero. Como promedio, el impacto de una situación de este tipo para las grandes corporaciones puede estar por el orden de los cuatro millones de dólares.

De la misma manera, es importante también distinguir qué representa una brecha de seguridad y cómo se diferencia de un incidente de seguridad. Un incidente puede ser simplemente una infección con malware, un ataque DDOS o, quizás, el hecho de que cualquier empleado de la empresa deje olvidado su portátil en el asiento de un taxi; pero no implica un acceso perpetrado a la red de la empresa ni una pérdida de datos, por lo que no cuenta como una brecha de seguridad.

¿Quieres conocer algunos de los ejemplos de brechas de seguridad más memorables?

Cuando cualquiera de las grandes corporaciones del mundo sufre una brecha de seguridad, la noticia suele llegar a todos los rincones del mundo. Entre los ejemplos de brecha de seguridad más notables, podemos hacer referencia a los siguientes:

Año 2017: Empresa Equifax.

Durante este año una vulnerabilidad de la aplicación del sitio web se convirtió en la pérdida de los datos personales de 145 millones de ciudadanos estadounidenses. Entre los datos comprometidos se encontraban los nombres, números de la Seguridad Social y números de la licencia de conducir. Los ataques fueron perpetraron durante el transcurso de tres meses, de mayo a julio, aún cuando la brecha de seguridad no fue reconocida como tal y anunciada hasta el mes de septiembre.

Año 2013. Empresa Yahoo.

3.000 millones de cuentas quedaron expuestas en el año 2013 después de que un intento de phishing permitiera que los hackers accedieran a la red de la empresa.

Año 2014. Empresa eBay:

Durante este año, Ebay sufrió una importante ruptura en sus plataformas informáticas y, aunque la información de las tarjetas de crédito de los usuarios de PayPal no corrió ningún tipo de riesgos, no ocurrió lo mismo con las contraseñas de los clientes que si quedaron completamente expuestas y vulneradas.

La empresa actuó con muchísima rapidez enviando un correo electrónico a todos sus usuarios notificándoles la incidencia y solicitándoles que cambiaran sus contraseñas para proteger su seguridad.

Año 2015. Ashley Madison.

El famoso sitio web de citas Ashley Madison, que promovía en su publicidad que era un lugar para que los casados tuvieran aventuras extramaritales (imagináos el grado de seguridad que debían garantizarles), fue reventado por los hackers en el año 2015. Los ciberdelincuentes filtraron una enorme cantidad de datos de los clientes y la distribuyeron a través de Internet. Por supuesto que, de inmediato, los extorsionadores comenzaron a chantajear a los clientes cuyos nombres habían quedado expuestos.

Algunos informes no confirmados han vinculado una serie de suicidios con esta brecha de datos.

Año 2018. Empresa Facebook.

Y para que veamos que ninguna empresa está exenta de este tipo de riesgos, en el 2018, la mega-empresa Facebook tuvo que ver cómo se filtraron los datos de contacto personales de 29 millones de usuarios, y no por un ataque externo sino por fallos internos de la propia plataforma.

Esta brecha de seguridad fue particularmente vergonzosa, porque los datos del propio CEO de la empresa, Mark Zuckerberg, quedaron expuestos con el incidente.

Año 2018. Empresa: Marriott Hotels.

Este año también el consorcio hotelero anunciaba una brecha de datos y de seguridad que había afectado los registros de 500 millones de clientes, que se dice fácil.

El sistema de reservas que el consorcio utilizaba había sido hackeado un par de años atrás y, sin embargo, la brecha no había sido descubierta, para que nos muestre un poco lo sensible que puede ser todo este tema y lo invisible que puede resultar incluso para grupos empresariales con potentes músculos financieros y plantillas especializadas.

Año 2019. Empresa Avast.

Con toda seguridad, quizás, el incidente de mayor revuelo e impacto mediático ha sido el de la empresa Avast, que puso en evidencia que incluso una poderosa firma dedicada a la ciberseguridad no es inmune a este tipo de ataques.

La empresa hizo del conocimiento público que un hacker había logrado acceder a las credenciales de la VPN de uno de los cientos de empleados de la firma. Aún cuando dicha brecha no representó ninguna amenaza para los datos de contacto almacenados de los clientes, tenía como objetivo algo mucho más alarmante: introducir malware en los productos desarrollados por Avast.

Hace alrededor de unos diez años, era normal que las empresas intentaran mantener en secreto los ataques que habían recibido y que comprometían la seguridad de la información, un poco para evitar el impacto negativo en la marca y su correspondiente impacto en la confianza del consumidor final. Sin embargo, hoy en día esta actitud es muy poco frecuente.

En la Unión Europea, el Reglamento General de Protección de Datos (mejor conocido como RGPD) obliga a instituciones y empresas a notificar a las autoridades competentes cualquier brecha de seguridad que hayan sufrido, así como identificar apropiadamente a las personas cuyos datos personales hayan podido quedar expuestos como producto del ataque.

Solamente en enero del 2020, ya se habían registrado ante el RGPD más de 160.000 incidencias de seguridad (brechas) diferentes, es decir, más de 250 al día.

¿Cuáles son los distintos tipos de brechas de seguridad conocidas?

Las brechas de seguridad se clasifican de la siguiente manera, según el cómo se haya conseguido el acceso al sistema:

1. Un exploit ataca una vulnerabilidad que detecte dentro del sistema. Este tipo de vulnerabilidades puede ser un sistema operativo obsoleto, por ejemplo. Son especialmente vulnerables a estos ataques las empresas que trabajan con versiones caducas de plataformas o herramientas de software.
2. La vulnerabilidad de las contraseñas de usuarios: Las claves de usuario o contraseñas débiles pueden descifrarse con relativa facilidad, por lo que hay que tomar especial cuidado en generar contraseñas fuertes, que solamente conozca el usuario y su círculo de más confianza, sobre todo cuando la información que se gestiona es delicada.
3. Los ataques a través de correos electrónicos “envenenados” con malware, son usados con frecuencia para intentar penetrar en los sistemas. Basta solamente con que un empleado cualquiera haga clic en el enlace que viene en tales correos electrónicos para que el software malicioso comience a dispersarse por la red.
4. Los sitios web de carácter fraudulento que realizan descargas ocultas de virus o malware que se instala en los ordenadores de los usuarios desprevenidos.
5. Ataques de ingeniería social: Atacantes externos que se identifican como responsables del área de informática de las empresas para comunicarse con sus empleados y pedirles datos de acceso a los sistemas para perpetrar los ataques.

¿Qué pasos debes seguir en el caso de que sufras una brecha de seguridad?

Notifícalo de forma inmediata a todas las partes involucradas. Si el caso es que eres el cliente de una de estas grandes corporaciones, y recibes la notificación de que la empresa ha sufrido un ciberataque o si descubres que te han hackeado tu ordenador personal, lo más importante es actuar a la brevedad posible para limitar los daños que te puedan causar.

Ten en cuenta que una brecha de seguridad puede implicar que otras cuentas también están corriendo riesgo, sobre todo si utilizas la misma contraseña para acceder a ella o si la utilizas para realizar transacciones de forma regular.

Si es tu información financiera la que está corriendo peligro, notifícalo de forma inmediata a todos los bancos y entidades financieras con las que mantengas cuentas abiertas.

Cambia las contraseñas de todas tus cuentas. Si la cuenta la has protegido con preguntas y respuestas de seguridad, o con códigos PIN, modifícalos también. Quizás incluso sea interesante que te plantees suspender tu crédito. De este manera, evitarás que tus datos sean utilizados para actuar en nombre tuyo o para hacer la solicitud de préstamos a tu nombre. Comprueba tu informe crediticio para asegurarte de si alguien está solicitando financiación con tus datos.

Intenta averiguar con la mayor exactitud posible cuáles son los datos de contacto que han sido sustraídos. De esta manera podrás hacerte una idea de la gravedad de la situación. Si te han robado los datos fiscales y los números de identificación fiscal de tu país respectivo, no puedes perder tiempo y debes actuar de inmediato para asegurarte de que no te usurpen la identidad. Esta es una situación mucho más grave que perder solo los datos de una tarjeta de crédito.

Evita responder de forma inmediata a las solicitudes que te hagan para verificar tus datos empresas que hayan sufrido ataques de seguridad recientes: Primero confirma con la propia empresas cuál ha sido el alcance del ataque, verifica qué datos han sido comprometidos y gestiónalo siempre a través de personal que hayas podido verificar como representantes genuinos de la empresa.

Aunque nadie es inmune a un ataque de este tipo, que genera una brecha de datos, siempre es recomendable mantener buenos hábitos de seguridad informática ya que pueden hacerte menos vulnerable a los ataques y, si sufrieras alguno, sobrevivirlo de la mejor manera posible.

Los siguientes consejos te ayudarán a evitar que los ciberdelincuentes se salten la seguridad de tus ordenadores y otros dispositivos.

• Utiliza siempre contraseñas sólidas que combinen cadenas aleatorias de letras mayúsculas y minúsculas, números y símbolos. Son mucho más difíciles de piratear que otras contraseñas más simples.
• No utilices la misma contraseña para varias cuentas. Usa una contraseña distinta para cada una. Si utilizas la misma contraseña y sufres un ataque, los delincuentes podrán entrar a todas las cuentas que tengan los mismos datos de acceso. Si tienes configuradas contraseñas distintas, solo una cuenta estará en riesgo.
• Cierra las cuentas que no utilices, en lugar de dejarlas sin actividad. Así reducirás tu vulnerabilidad a un ciberataque. Las cuentas que no utilizas y que, por lo tanto, revisas nunca o casi nunca, pueden servir de puerta trasera para que los ciberdelincuentes entren en tus sistemas y dispositivos.
• Cambia tus contraseñas cada cierto tiempo. Si te fijas, muchas brechas de seguridad han ocurrido a través de un período largo de tiempo, por lo que cambiar tus datos de acceso de forma periódica minimiza también los riesgos que corres.
• Cuando te deshaces de un ordenador, formatea y borra debidamente el disco duro. No borres solamente los archivos; utiliza un programa de destrucción de datos para borrar por completo la unidad y sobrescribir todos los datos del disco. La opción más recomendada es siempre instalar de nuevo el sistema operativo que borra la unidad por completo.
• Haz copias de seguridad de tus archivos. Algunas brechas de seguridad derivan en el cifrado de archivos y en el posterior chantaje a sus propietarios mediante un ransomware para volverles a proporcionar acceso a dichos datos. Si guardas una copia de seguridad en una unidad extraíble, tus datos estarán seguros en caso de producirse un ataque de este tipo.
• Protege tu teléfono. Utiliza el bloqueo de pantalla y actualiza el software de tu teléfono de manera periódica. Utiliza software antivirus y antimalware.
• No hagas clic en cualquier información que recibas sin antes estar seguro de qué se trata. Si no reconoces la persona o empresa que te envía el correo, o el asunto te parece sospechoso, o no te suena, deséchalo. Pueden ser intentos de phishing. Algunos pueden fingir incluso que proceden de tus contactos. Sé cuidadoso.
• Cuando accedas a tus cuentas, asegúrate de usar el protocolo seguro HTTPS, en lugar del simple HTTP.
• Revisa tus estados de cuenta del banco así como de las tarjetas de crédito para velar por tu seguridad. Es posible que por la Dark Web circulen datos tuyos que han sido robados años después de que se produjera la brecha de datos. Esto podría implicar que se produjera un intento de usurpación de tu identidad cuando ya te has olvidado de aquella brecha de datos que dejó tus datos expuestos.

Sé consciente del valor de tu información personal y no la facilites a menos que sea imprescindible y que conozcas claramente el uso que se hará de ella.

Demasiadas páginas web quieren saber demasiadas cosas sobre ti. ¿Para qué necesita una publicación financiera saber tu fecha exacta de nacimiento, por ejemplo?

¿O un sitio web de subastas el número de tu tarjeta de identidad?

Por supuesto que no se te ocurriría dejar la puerta de tu casa abierta durante todo el día para que pudiera entrar cualquiera.

Pues debes darle a tu ordenador el mismo tratamiento. Mantén el acceso a la red y tus datos personales a buen cuidado y no dejes puertas ni ventanas abiertas para que se cuele cualquier ciberdelincuente.