Una brecha de seguridad es un evento que permite el acceso no autorizado a datos, aplicaciones, redes o dispositivos informáticos. Es decir, permite el acceso no autorizado a la información. Por lo general, esto sucede cuando un intruso logra eludir los mecanismos de seguridad. Y estas pueden originar costes de hasta 4 millones de euros anuales.
Técnicamente, existe una diferencia entre una violación de seguridad y una violación o fuga de datos. Las infracciones de seguridad implican intrusiones, mientras que las infracciones de datos involucran a ciberdelincuentes que roban información. Imagina un ladrón: se produce una brecha de seguridad cuando logra colarse por una ventana, una brecha de datos se produce cuando roba la agenda o la computadora portátil de una víctima.
Es importante distinguir entre lo que representa una brecha de seguridad y lo que representa un incidente de seguridad. Un incidente puede ser una infección de malware, un ataque DDOS o un empleado que deja una computadora portátil en un taxi, pero no da como resultado el acceso a la red o la pérdida de datos, y no cuenta como una violación de datos.
La información confidencial tiene un alto valor. Suele venderse en la Dark Web; por ejemplo, es posible adquirir números de tarjeta de crédito y nombres y luego utilizarlos para perpetrar un fraude o una suplantación de identidad. Por esta razón, no sorprende que las brechas de seguridad puedan costarles a las organizaciones públicas o privadas inmensas sumas de dinero. De media, el coste para una gran corporación ronda los 4 millones de euros.
Tipos de brechas de seguridad
Existen distintos tipos de brechas de seguridad, en función del acceso al sistema:
- Descargas ocultas utilizan virus o malware instalado a través de un sitio web fraudulento o infectado.
- Exploit ataca una vulnerabilidad del sistema, como un sistema operativo obsoleto. Los sistemas no actualizados, por ejemplo, las empresas en las que se utilizan versiones de Microsoft Windows antiguas o que han dejado de actualizarse, son especialmente vulnerables a este tipo de ataques. Windows 98, 2000, Vista,…etc.
- Contraseñas débiles pueden descifrarse o piratearse. Incluso en la actualidad hay quien utiliza como contraseña la palabra «contraseña», y conviene saber que utilizar «contra$eña» no es mucho más seguro.
- Ataques con malware, como los correos electrónicos de phishing, pueden emplearse para penetrar en sistemas. Basta con que un empleado haga clic en un enlace de un mensaje de phishing para que el software malicioso empiece a propagarse por la red.
- Ingeniería social también puede utilizarse para penetrar en sistemas. Por ejemplo, un intruso puede telefonear a un empleado haciéndose pasar por un compañero del departamento de informática y solicitarle su contraseña para «arreglarle» el ordenador. O bien, puede dejar accesible un pendrive infectado, para su uso y propagación de malware. También puede hacerse pasar por otra persona por Whatsapp o Email.
Qué hacer si sufres una brecha de seguridad
Como cliente de una organización, si tienes noticia de que ha sufrido una brecha de seguridad o si descubres que te han hackeado el ordenador personal, conviene que actúes con celeridad por tu propia seguridad. Recuerda que una brecha de seguridad en una cuenta puede comportar poner en riesgo otras cuentas, sobre todo si utilizas la misma contraseña de acceso o si efectúas habitualmente transacciones entre ellas.
- Comprueba tu informe crediticio para asegurar si alguien está solicitando financiación con tus datos.
- Cambia las contraseñas de todas tus cuentas. Si la cuenta está protegida mediante preguntas y respuestas de seguridad o códigos PIN, cámbialos también.
- Si una brecha podría poner en riesgo tu información financiera, notifícaselo a todos los bancos y entidades financieras en los que tengas cuentas.
- Y tal vez te convenga solicitar una congelación del crédito. De este modo, evitarás que se utilicen tus datos para usurparte la identidad o para pedir préstamos a tu nombre.
- No respondas directamente a las solicitudes de empresas que te insten a facilitar tus datos personales tras una brecha de datos: podría tratarse de un ataque de ingeniería social. Dedica un rato a leer las noticias, comprueba el sitio web de la empresa o incluso llama a la línea de atención al cliente para comprobar si la solicitud es legítima.
- Intenta averiguar exactamente qué datos te han robado. Esto te permitirá hacerte una idea de la gravedad de la situación. Por ejemplo, si te han robado los datos fiscales y los números de la Seguridad Social, tienes que actuar enseguida para asegurarte de que no te usurpen la identidad. Es más grave que perder solo los datos de la tarjeta de crédito.
- Estar atento a otros tipos de ataques de ingeniería social. Por ejemplo, un delincuente que haya accedido a cuentas de un hotel, incluso aunque no contengan datos financieros, podría telefonear a los clientes para solicitarles su opinión sobre una estancia reciente. Al final de la llamada, tras establecer una relación de confianza, podría ofrecerle al cliente el reembolso de los tiques del aparcamiento y solicitarle el número de tarjeta para efectuar la devolución del dinero. Es probable que la mayoría de los clientes no se lo pensarían dos veces antes de facilitar tales datos si la llamada suena convincente.
- Supervisa tus cuentas en busca de indicios de nueva actividad. Si ves transacciones que no reconoces, no lo dejes y denuncia.
Adaptación LOPD, RGPD y LOPDGDD rápida, eficaz y sin complicaciones, entre 1 y 3 días. Sin burocracia, sin gastos ocultos, 20 años de experiencia.
Más información en: https://consultoresiso.es/proteccion-de-datos-lopd-lssice
Cómo protegerte de las brechas de seguridad
Aunque nadie es inmune a una brecha de seguridad, unos buenos hábitos de seguridad pueden hacerte menos vulnerable y ayudarte a sobrevivir a una brecha con menos quebraderos de cabeza. Estos consejos te ayudarán a evitar que los hackers salten la seguridad personal en tus ordenadores y otros dispositivos.
- Cierra las cuentas que no utilices, en lugar de dejarlas inactivas. De este modo, reducirás tu vulnerabilidad a sufrir una brecha de seguridad. Si no utilizas una cuenta, es posible que ni siquiera te des cuenta de que la han pirateado, y podría servir como puerta trasera para acceder a tus otras cuentas.
- Si te deshaces de un ordenador, borra debidamente el disco duro. No borres solo los archivos; utiliza un programa de destrucción de datos para borrar por completo la unidad y sobrescribir todos los datos del disco. Instalar de nuevo el sistema operativo también borra la unidad por completo.
- Usa una contraseña distinta para cada cuenta. Si utilizas la misma contraseña y un hacker logra acceder a una de tus cuentas, podrá infiltrarse en las demás. Si tienes configuradas contraseñas distintas, solo una cuenta estará en riesgo. También puedes recurrir al cuaderno o administrador de claves. Pero ¡ojo!, este debe estar a buen recaudo.
- Utiliza contraseñas robustas que combinen cadenas aleatorias de letras mayúsculas y minúsculas, números y símbolos. Son mucho más difíciles de piratear que otras contraseñas más simples. No utilices contraseñas fáciles de adivinar, como nombres de familiares o fechas de cumpleaños.
- Modifica tus contraseñas de manera periódica. Uno de los rasgos de muchas brechas de seguridad que se han hecho públicas es que se han producido a lo largo de un período dilatado; de hecho, de algunas de ellas no se informó hasta transcurridos varios años. Cambiar las contraseñas de manera periódica reduce el riesgo que corres si se producen brechas de datos que no se hacen públicas.
- No hagas clic a la ligera. Los correos no deseados que incluyen enlaces a sitios web pueden ser intentos de phishing. Algunos pueden fingir que proceden de tus contactos. Si incluyen archivos adjuntos o enlaces, asegúrate de que son auténticos antes de abrirlos y utiliza un programa antivirus para revisar los archivos adjuntos.
- Protege tu teléfono. Utiliza el bloqueo de pantalla y actualiza el software de tu teléfono de manera periódica. No liberes tu teléfono mediante la opción de root/jailbreak. Liberar un dispositivo brinda a los hackers la oportunidad de instalar su propio software y modificar los ajustes de tu teléfono.
- Cuando accedas a tus cuentas, asegúrate de usar el protocolo seguro HTTPS, en lugar del simple HTTP.
- Protege tu teléfono y otros dispositivos con software antivirus y antimalware.
- Guarda copias de seguridad de tus archivos. Algunas brechas de datos derivan en el cifrado de archivos y en el chantaje a los usuarios mediante un ransomware para volverles a proporcionar acceso a sus datos. Si guardas una copia de seguridad en una unidad extraíble, tus datos estarán seguros en caso de producirse una brecha.
- Sé consciente del valor de tu información personal y no la facilites a menos que sea imprescindible. Demasiadas web quieren saber demasiadas cosas sobre ti. ¿Para qué necesita una publicación financiera saber tu fecha exacta de nacimiento, por ejemplo? ¿O un sitio web de subastas tu número de la Seguridad Social?. Minimiza la información que cedes a terceros. Las organizaciones deben solicitar solo y exclusivamente la información estrictamente necesaria, bajo sanción de la Agencia Española.
- Revisa tus extractos de cuentas bancarias y tarjetas de crédito para velar por tu seguridad. Es posible que por la Dark Web circulen datos robados años después de que se produjera la brecha de datos. Esto podría comportar que se produzca un intento de usurpación de la identidad cuando ya te has olvidado de aquella brecha de datos que vulneró tu cuenta.
Nunca se te ocurriría dejar la puerta de tu casa abierta durante todo el día para que pudiera entrar cualquier persona. Piensa en tu ordenador del mismo modo. Mantén el acceso a la red y tus datos personales a buen recaudo y no dejes puertas ni ventanas abiertas para que entre por ellas algún hacker.
Puede contactar con nuestros técnicos, si desea más información, de cómo detectar las brechas de seguridad y cómo informar a la autoridad competente.
Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://consultoresiso.es/proteccion-de-datos-lopd-lssice