Los piratas informáticos causan la mayoría de las filtraciones de datos, pero los accidentes por personas normales no se quedan atrás

Por David Ormeño @Arcanus_tco

por Nicholas Patterson

¿Ha tenido alguna vez su información personal filtrada en Internet? Tal vez fue algo que usted compró en línea de un sitio web, sólo para descubrir que la empresa fue pirateada meses después? Si la respuesta es "sí", probablemente querrá saber si la infracción fue denunciada y resuelta.

Organizaciones australianas reportaron 242 brechas de datos entre el 1 de abril y el 30 de junio de 2018. Se produjo un aumento espectacular de las notificaciones desde febrero de 2018, cuando se efectuaron ocho, hasta junio de 2018, cuando se efectuaron 90 notificaciones.

Hay razones obvias para este aumento. Desde que el 22 de febrero se introdujo el esquema de Brechas de Datos Notificables ( BDN) del gobierno (australiano), las organizaciones están cada vez más conscientes de la seguridad cibernética y de las normas y reglamentos sobre el manejo de datos.

¿Cómo es una violación de datos?

Para ponerles un ejemplo de una violación de datos, podemos remontarnos al año 2017, cuando casi 50.000 australianos vieron filtrada en línea su información confidencial.

En este caso, un contratista privado configuró incorrectamente un servicio de almacenamiento en nube de Amazon, causando inadvertidamente que los datos fueran accesibles al público. Un investigador de seguridad polaco descubrió los datos, que incluían nombres, contraseñas, detalles de identificación, números de teléfono y números de tarjetas de crédito.

El régimen del BND tiene por objeto evitar que las infracciones de este tipo se mantengan en secreto y permitir que todas las partes afectadas conozcan el alcance de los daños.

¿Cuántas personas se vieron afectadas?

El reciente informe trimestral del BND sugiere que la mayoría de las notificaciones de violación de datos proceden de organizaciones pequeñas o medianas, con relativamente pocos clientes afectados. Hubo 55 notificaciones (23%) de infracciones en las que se vieron afectadas entre 11 y 100 personas. En 52 casos (21%), entre 101 y 1.000 personas se vieron afectadas. Y sólo hubo una notificación que afectó a más de un millón de personas.

Esto sugiere que las organizaciones más grandes son generalmente más hábiles para prevenir las brechas de datos.

¿Qué tipo de datos fueron violados?

Los tipos de información que se filtra se desglosan en número de expediente fiscal, información de salud, información de identidad, detalles financieros e información de contacto.

Los resultados muestran que la información de contacto fue el tipo más común de datos filtrados, con 216 notificaciones reportadas (89%). Le siguieron la información financiera, con 102 notificaciones (42%); la información de identidad (94 notificaciones, 39%); y los NIF (47 notificaciones, 19%).

Es preocupante que se haya filtrado información financiera en el 42 % de los casos. Cualquier violación de datos es problemática, pero la filtración de datos financieros puede tener un impacto dramático en la vida de una víctima si resulta en compras fraudulentas.

¿Qué está causando estas filtraciones de datos?

Tres razones principales fueron citadas para las brechas de datos en el último trimestre: ataques maliciosos o criminales (59%), error humano (36%), y falla del sistema (5%).

La mayoría de las notificaciones fueron el resultado directo de incidentes cibernéticos, incluyendo phishing, malware, ransomware, ataques de fuerza bruta, credenciales comprometidas o robadas y piratería informática. Esto fue seguido por el robo de papeleo o dispositivos de almacenamiento de datos, e infracciones causadas por empleados deshonestos y amenazas internas.

A menudo se considera que los errores humanos son la causa principal de los incidentes de ciberseguridad. Pero fue sólo la segunda causa más común de filtración de datos durante el último trimestre.

En 22 casos, los datos se enviaron al destinatario equivocado. Cuando las organizaciones divulgaron o publicaron información de forma no intencionada, se produjeron 12 notificaciones. El informe incluye hacer clic en un correo electrónico de phishing como un error humano, aunque esta acción debería clasificarse realmente como resultado de un ataque malicioso.

¿Qué industrias se vieron más afectadas?

El informe enumera cinco sectores industriales: proveedores de servicios de salud; servicios financieros y jurídicos; servicios de contabilidad y gestión; educación y servicios empresariales; y servicios profesionales.

El sector sanitario fue el más afectado, con 49 notificaciones (20%), seguido de cerca por el sector financiero, con 36 notificaciones (15%).

¿Por qué estos sectores? La información financiera, como las tarjetas de crédito o los datos bancarios, es un objetivo clave para los hackers porque puede traducirse rápidamente en dinero real.

La industria de los servicios de salud también es un objetivo lucrativo para los hackers que en el pasado han pedido rescate por los datos confidenciales de los pacientes. Por ejemplo, en 2016 el Hollywood Presbyterian Medical Center pagó un rescate de US$17.000 en bitcoin a hackers que habían tomado el control de su sistema informático.

El sector de la educación comunicó 19 notificaciones (8%). Es probable que este número aumente a medida que los hackers tomen conciencia del valor de la investigación inédita y de la propiedad intelectual.

Un ejemplo reciente de esto fueron los intentos de piratería de la Universidad Nacional Australiana, donde se informó que ANU pasó muchos meses evitando los ataques a sus sistemas que se remontaban a China.

Lucha contra la violación de datos

El esquema y los informes del BND son una forma importante de arrojar luz sobre los problemas de seguridad cibernética a los que se enfrenta Australia, ahora y en el futuro. Saber cómo se producen las infracciones, con qué frecuencia y en qué sectores permitirá a los profesionales e investigadores de la seguridad cibernética abordar estos problemas de frente.

Algunas brechas pueden ser defendidas usando tecnología, como las herramientas de prevención de ransomware. Pero las violaciones que resultan del error humano son más difíciles. La educación y la capacitación de los empleados pueden ayudarlos a evitar que ocurran incidentes sencillos.

La reducción de estas cifras requerirá una combinación de soluciones tecnológicas y educación. Hasta que hagamos esto bien, es probable que veamos más infracciones en un futuro cercano, en lugar de menos.