Article

¿Qué es la filtración de datos?

SecurityZero Trust
Tiempo de lectura: 14 min

Una filtración de datos es un incidente de ciberseguridad que tiene como resultado la exposición, exfiltración o daño de datos protegidos, privados, confidenciales o sensibles a un individuo no autorizado. A menudo, el término "filtración de datos" se utiliza de manera incorrecta como sinónimo de "ciberataque".­­

La diferencia más destacada entre una filtración de datos y un ciberataque es que una filtración de datos se trata de un tipo de incidente de seguridad específico que conlleva la exposición de información confidencial. Es importante destacar que una filtración de datos, generalmente referida a la información digital, abarca datos en soportes físicos, como documentos en papel, memorias USB, computadoras portátiles, dispositivos móviles y discos duros externos. Por su parte, un ciberataque puede dar lugar a una filtración de datos, pero también incluye otras actividades maliciosas, como los ataques de denegación de servicio distribuido (DDoS).

Las organizaciones de todo tipo y tamaño corren el riesgo de sufrir una filtración de datos: de pequeñas empresas a grandes corporaciones, hospitales, escuelas, gobiernos e individuos. Por lo general, la información que es objeto de una filtración de datos incluye:

  1. Información financiera (p. ej., información de cuentas bancarias, números de tarjetas de crédito, etc.)
  2. Información médica personal (PHI) (p., ej., historias clínicas, resultados de análisis de laboratorio, etc.)
  3. Información de identificación personal (PII) (p. ej., números de seguridad social, números de permiso de conducir, etc.)­
  4. Secretos comerciales (p. ej., código fuente, fórmulas, etc.)
  5. Otra información confidencial (p. ej., información de clientes, documentos legales, etc.)

Con una filtración de datos, se puede copiar o transmitir cualquier información sin dañar la fuente y también se puede perder el acceso a los datos debido al robo o al ransomware. En algunos casos, simplemente se destruyen los datos por venganza o en un intento de ocasionar una perturbación catastrófica.

El costo de una filtración de datos

Una filtración de datos puede generar costos blandos y duros. Es decir, una filtración de datos puede tener costos monetarios o más efímeros, como daño a la reputación o pérdida de oportunidades.

En la mayoría de los casos, ocurren ambos tipos de daños. Por ejemplo, los ataques de ransomware, que son filtraciones de datos comunes, pueden provocar que una organización pague rescates costosos para recuperar el acceso a sus datos y pueden afectar la reputación de la marca cuando el público se entera de la filtración de datos.

Existen muchos otros costos relacionados con la filtración de datos, por ejemplo:

  1. Interrupción de las operaciones, lo que tiene un impacto en la producción y en las cadenas de suministro
  2. Identificación, contención, evaluación y solución de la filtración junto con los requisitos de auditoría, notificaciones y modificaciones de los procesos y tecnologías para prevenir incidentes futuros
  3. Pérdida de clientes debido a inquietudes sobre la capacidad de la organización para proteger la información confidencial

Entre los gastos comerciales adicionales de una filtración de datos se pueden encontrar:

  1. Honorarios de abogados
  2. Multas por incumplimiento
  3. Notificaciones a los clientes
  4. Caída del precio de las acciones en el caso de sociedades cotizadas
  5. Aumento de la prima del seguro
  6. Pérdida de propiedad intelectual
  7. Costos de relaciones públicas

En últimas instancias, los costos de una filtración de datos dependen del tamaño y del tipo de organización, así como de la causa de la filtración.

Por qué ocurren las filtraciones de datos

Entre los motivos de las filtración de datos se encuentran:

  1. Financieros: robar dinero o activos valiosos para venderlos
  2. Geopolíticos: perjudicar o perturbar a un político o gobierno en particular
  3. Personales: venganza como respuesta a una acción negativa real o percibida
  4. Renombre: demostrar proezas técnicas (p. ej., piratear un sistema de alto perfil)

En el caso de los cibercriminales, los beneficios financieros son el motivo principal. Por ejemplo, a menudo, venden o intercambian información confidencial, robada con una filtración de datos, en la web oscura. Esta información también se puede utilizar para:

  1. Solicitar beneficios del gobierno
  2. Presentar una declaración de impuestos falsa para obtener reembolsos
  3. Generar documentos falsos (p. ej. permisos de conducir, pasaportes, etc.)
  4. Solicitar y utilizar tarjetas de crédito nuevas
  5. Retirar dinero de cuentas bancarias o cuentas de inversión

Cómo ocurren las filtraciones de datos

Una filtración de datos puede ocurrir de diferentes maneras. A continuación, se describen algunos ejemplos de los vectores que se suelen utilizar.

Los ataques de filtración de datos dirigidos se centran en organizaciones o individuos determinados con el fin de obtener información confidencial. Entre sus tácticas se encuentran:

  1. Fuga o exposición imprevista de datos
  2. Clonación de tarjetas e intrusión de puntos de venta
  3. Ataques de denegación de servicio distribuido (DDoS)
  4. Error humano
  5. Dispositivos robados o perdidos
  6. Personas maliciosas con información privilegiada
  7. Malware
  8. Adivinación de contraseñas
  9. Phishing
  10. Violación de seguridad física
  11. Ransomware
  12. Grabación de pulsación de teclas
  13. Ingeniería social
  14. Spear phishing
  15. Inyección de SQL (lenguaje de consulta estructurada)
  16. Credenciales robadas o comprometidas­
  17. Explotación de vulnerabilidades

Independientemente del vector, los ciberdelincuentes por lo general siguen un patrón de ataque similar para ejecutar una filtración de datos con éxito. Los pasos clave de un plan de filtración de datos abarcan:

  1. Observar objetivos potenciales. Los ciberdelincuentes inician su proceso de ataque buscando objetivos y luego identificando vulnerabilidades técnicas, como sistemas de seguridad débiles, puertos abiertos o protocolos accesibles. En otros casos, planifican campañas de ingeniería social dirigidas a grandes grupos (es decir, phishing) o individuos (es decir, spear phishing) que cuentan con acceso privilegiado a los sistemas.
  2. Ejecutar una violación de seguridad. El atacante finaliza con éxito una violación de seguridad y accede a los sistemas y redes.
  3. Obtener el acceso. Si el sistema atacado no otorga el acceso deseado, los cibercriminales se mueven lateralmente a través de las redes y la escala de privilegios para acceder a, y comprometer, otros sistemas y cuentas de usuario.
  4. Finalizar la filtración de datos. Una vez identificados los datos confidenciales deseados, los atacantes los exfiltran para sus fines nefastos, como venderlos en el mercado negro o en la web oscura, o para pedir un rescate.

Ejemplos de filtraciones de datos

Muchos caminos pueden llevar a la filtración de datos. A continuación, se describen algunos ejemplos de filtraciones de datos exitosas.

En un ataque dirigido a un minorista, los cibercriminales pudieron acceder a datos confidenciales mediante las cajas registradoras. Se utilizó un cifrado débil para proteger la red. Los atacantes pudieron descifrar la red inalámbrica y luego se desplazaron desde las cajas registradoras de la tienda hacia los sistemas de backend. Debido a esta filtración de datos, más de un cuarto de millón de registros de clientes se vieron comprometidos.

En otro incidente, se expusieron los nombres, fechas de nacimiento, direcciones de correo y contraseñas de varios miles de millones de personas. En este caso, los ciberdelincuentes explotaron una vulnerabilidad de un sistema de cookies que utilizaba la organización.

En otro ejemplo, se utilizó el sistema de monitoreo de red de una organización como vector de ataque. Los atacantes pudieron utilizarlo para distribuir malware a sus clientes de manera encubierta, luego se infiltraron en los sistemas de los clientes para poder acceder a información confidencial.

Otra organización se vio comprometida, ya que ciberdelincuentes compraron la contraseña de un empleado en la web oscura. Esta sola contraseña se utilizó para violar la red y lanzar un ataque de ransomware que le costó millones de dólares a la organización.

Un problema con el proceso de hashing que usaba una organización para cifrar las contraseñas de sus usuarios la obligó a realizar un esfuerzo masivo para que cientos de millones de usuarios cambiaran sus contraseñas a fin de remediar la vulnerabilidad.

Una referencia de objeto directo insegura (IDOR) expuso casi mil millones de documentos confidenciales. Este error de diseño del sitio web hizo público un enlace que debía estar solo disponible para una persona concreta, lo que expuso los documentos.

Prevención de filtraciones de datos

Los programas eficaces que previenen las filtraciones de datos se diseñan con una defensa multicapas compuesta por tecnologías y procesos. A continuación, se enumeran algunos de los diversos componentes de una estrategia defensiva de protección de datos contra las filtraciones.

Educación y formación

La causa principal de las filtraciones de datos es un ataque que empieza con un vector humano. Debido a las debilidades inherentes al ser humano, se le considera el eslabón más débil de cualquier estrategia de prevención contra la filtración de datos.

Para luchar contra ello, es fundamental la capacitación. Los empleados necesitan capacitarse para reconocer y evitar ataques (p. ej., phishing), y deben aprender a manejar datos confidenciales para evitar fugas y filtraciones imprevistas de datos.

Detección y respuesta a las amenazas de los endpoints

La detección y respuesta de endpoint (EDR), también conocida como detección y respuesta de amenazas en endpoints (ETDR), proporciona una solución integrada que protege los endpoints. La EDR previene una filtración de datos gracias a que combina la supervisión continua en tiempo real y la recopilación de datos de los endpoints­ con capacidades de análisis y de respuesta automatizados y basados en normas para identificar y neutralizar ciberataques.

Administración de identidades y accesos (IAM)

Las soluciones de administración de identidades y accesos (IAM) proporcionan una defensa sólida contra la filtración de datos. Entre las características de las soluciones de IAM se pueden encontrar las políticas sólidas de contraseñas, los gestores de contraseñas, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), el inicio de sesión único (SSO) y el acceso basado en roles. Estas tecnologías y procesos ayudan a las organizaciones a evitar intentos de filtración de datos que utilicen credenciales robadas o comprometidas.

Planes de respuesta a incidentes

La preparación es una de las mejores defensas contra cualquier filtración de datos. Un plan de respuesta a incidentes suministra instrucciones detalladas para manejar la filtración antes, durante y después de un incidente confirmado o sospechoso.

El plan de respuesta a incidentes incluye una explicación de las funciones y responsabilidades, así como procesos paso a paso para cada fase.

Se ha demostrado que un plan de respuesta a incidentes es una herramienta eficaz para los planes de defensa contra la filtración de datos. Puede agilizar el tiempo de resolución y de recuperación, y disminuir los costos de una filtración de datos.

Autenticación multifactor (MFA)

El uso de la autenticación multifactor (MFA) permite superar la debilidad inherente de los usuarios y contraseñas. Con la MFA, en vez de introducir su nombre de usuario y contraseña, el usuario debe llevar a cabo un proceso de múltiples pasos para iniciar sesión en una cuenta.

La MFA le pide al usuario que realice pasos adicionales para verificar su identidad. Por ejemplo, se le puede solicitar a un usuario que introduzca un código que se envió por correo electrónico o mensaje de texto, que responda una pregunta secreta o que se someta a escaneo biométrico (p. ej., reconocimiento facial, de la retina o de la huella digital).

Prueba de penetración

La prueba de penetración, también conocida como pen test o piratería ética, previene las filtraciones de datos mediante la simulación de ciberataques para probar los sistemas e identificar cualquier vulnerabilidad explotable. Los expertos que realizan la prueba utilizan las mismas herramientas, técnicas y procesos que utilizarían los ciberdelincuentes para simular ataques reales que podrían causar una filtración.

Parches de seguridad y actualizaciones de software

Los parches y las actualizaciones de software y de sistemas operativos siempre se deben instalar ni bien estén disponibles. Con frecuencia, estas actualizaciones incluyen parches que reparan vulnerabilidades que podrían ocasionar una filtración de datos.

Contraseñas fuertes

El uso de contraseñas fuertes elimina un vector común de ciberataque. Los ciberdelincuentes, como saben que las personas suelen utilizar contraseñas débiles, lanzan con frecuencia ataques (p. ej., password spraying) para explotar dicha debilidad. Las contraseñas fuertes, junto con políticas que exijan a los usuarios cambiar frecuentemente sus contraseñas y utilizar diferentes contraseñas para servicios y aplicaciones, representan una defensa eficaz contra cualquier intento de filtración de datos.

Enfoque de seguridad de confianza cero

El enfoque de seguridad de confianza cero asume que no se debe confiar en ningún usuario o sistema, incluso si se encuentran dentro de una red. Entre los componentes del enfoque de la seguridad de confianza cero se encuentran:

  1. Autenticación, autorización y validación continuas de cualquier usuario o sistema que intente acceder a una red o a algún recurso de la red
  2. Acceso con privilegios mínimos, que solo permite el acceso mínimo necesario para llevar a cabo una tarea o función
  3. Supervisión integral de todas las actividades en la red

Mitigación de las filtraciones de datos

Una respuesta rápida e integral es crucial cuando se identifica una filtración de datos. A continuación, se describen algunos pasos que se deben seguir:

  1. Reducir el impacto de la filtración. Detenga la propagación aislando los sistemas o redes afectados y bloqueando cualquier cuenta comprometida, incluidas las que se utilizaron para acceder a los datos. Esto impedirá que se exponga cualquier información adicional y dificultará el desplazamiento lateral entre las redes.
  2. Realizar una evaluación. Identifique la causa del ataque para determinar si existen riesgos adicionales relacionados con la intrusión inicial, como cuentas de sistema o de usuario comprometidas malware o inactivo al acecho.
  3. Restablecer los sistemas y parchear las vulnerabilidades. Utilice copias de seguridad limpias y, en algunos casos, nuevos sistemas para reconstruir y restablecer los sistemas afectados. En este punto, se debe realizar cualquier actualización de seguridad disponible para reparar la vulnerabilidad que dio lugar a la filtración de datos.
  4. Notificar a las partes afectadas. Una vez que se determinan la magnitud y el alcance de la filtración, se debe notificar a las partes afectadas. En función del tipo de organización y de la información comprometida, esto puede ir desde la notificación a ejecutivos y empleados hasta la notificación a todos los clientes y la emisión de una declaración pública.
  5. Documentar las lecciones aprendidas. Para prevenir futuras filtraciones de datos, es importante documentar la información y el conocimiento adquirido de la filtración. Esta información se debe utilizar para actualizar sistemas y prácticas existentes, y debe guardarse para futuras referencias.

La preparación limita los riesgos de las filtraciones de datos

Muchos consideran que las filtraciones de datos son uno de los tipos de incidentes de ciberseguridad más comunes y costosos. Las filtraciones de datos, que afectan a organizaciones de todos los tamaños y de cualquier lugar, pueden causar daños generalizados que se traducen en perjuicios económicos y físicos.

La mejor defensa contra la filtración de datos es la preparación, que incluye la implementación de defensas técnicas y procesos que garanticen una detección y respuesta tempranas.

Hemos podido observar que las organizaciones que cuentan con sistemas de defensa contra la filtración de datos y planes de respuesta sólidos se recuperan con mayor rapidez y sufren menos daños.

Además de implementar las herramientas y procedimientos adecuados, es importante probar todos los sistemas. Este enfoque proactivo identifica las vulnerabilidades antes de que ocurra cualquier filtración de datos. La adopción de medidas para identificar y corregir las vulnerabilidades, junto con la elaboración y puesta en práctica de planes de respuesta, protege la información confidencial en gran medida contra una filtración de datos.

Asuma el control de su plataforma en la nube.

Obtener más información sobre Identity Security de SailPoint.