Filtraciones de datos: ¿Qué podemos aprender de ellas?

Brid-Aine Parnell

03/08/2015

Varias grandes corporaciones han sido víctimas de filtraciones de datos colosales. Las empresas pueden anticiparse a los ciberataques mediante formación continua y medidas de seguridad actualizadas.

Sony, Adobe, eBay, Target, JP Morgan Chase… ¿qué tienen en común estos conocidos nombres? Todos ellos han sido la fuente de algunas de las mayores filtraciones de datos que se han producido a nivel mundial, lo cual ha provocado el robo de millones de nombres, direcciones, números de teléfono, direcciones de correo electrónico, fechas de nacimiento e incluso información financiera de los usuarios.

Tanto si la filtración se debe a la ingeniería social como si tiene su origen en una formación deficiente del personal o ataques informáticos sofisticados, el público empieza a acostumbrarse a que las grandes empresas pierdan sus datos. A menudo solo se trata de direcciones de correo electrónico y contraseñas. Pero incluso esta información tan escasa puede ser suficiente para que un hacker avispado consiga acceder a otras cuentas si el usuario reutiliza sus contraseñas, y es el punto de partida para hacerse con información financiera o suplantar una identidad.

La batalla contra los ciberataques es una guerra de desgaste. A medida que los métodos de ciberseguridad se sofistican cada vez más, también lo hacen el software malicioso y la ingeniería social de los hackers. Ir un paso por delante no es tarea fácil, pero existe un factor sobre el que las compañías pueden influir: el comportamiento de sus empleados. Los ciberataques ocurren con demasiada frecuencia como resultado de un error humano, que puede consistir en perder una tableta que contenga información de inicio de sesión o ser engañado por alguna trampa de ingeniería social o una página de inicio de sesión falsa. Cuando los hackers se hacen con las credenciales de un trabajador les resulta muy fácil llegar a robar grandes cantidades de datos.

“Incluso en el caso de los ataques dirigidos sofisticados, las llamadas amenazas persistentes avanzadas o APT por sus siglas en inglés, el punto de partida puede ser la ingeniería social, que se emplea para engañar al personal para que ejecute código que permita a los atacantes acceder a la organización”, afirma David Emm, investigador de seguridad jefe en Kaspersky Lab.

Mitigar los errores humanos no resulta sencillo, pero las empresas deberían invertir en formación continua del personal para asegurarse de que su conocimiento sobre ciberseguridad esté al día.

Otro problema es que las empresas no suelen informar de las filtraciones de datos a los usuarios. eBay, el centro de comercio online, recibió duras críticas durante el año pasado por su lentitud a la hora de reaccionar ante el robo de datos personales de hasta 145 millones de sus clientes. Aunque el ataque, facilitado por las credenciales de inicio de sesión del personal, ocurrió entre finales de febrero y principios de marzo, eBay no informó sobre el incidente hasta finales de mayo. Muchos clientes no se enteraron de la filtración a través de un correo enviado por esta empresa, sino mediante información publicada en los medios de comunicación.

“Tradicionalmente, las empresas se han resistido a admitir públicamente las filtraciones por temor a dañar su reputación. Sin embargo, es muy importante que lo hagan”, añade Emm.

“En primer lugar, es importante que las empresas adviertan a sus clientes de los peligros y riesgos relativos a cualquier dato personal que se haya visto afectado. En segundo lugar, esta franqueza permite hablar sobre los puntos débiles que los cibercriminales podrían explotar y ayuda a destacar las medidas de seguridad que se podrían emplear para combatir con éxito los ataques.

“En tercer lugar, puesto que es probable que la información acabe filtrándose y sea de dominio público, tiene más sentido que las empresas lo comuniquen”, prosigue.

Pero en algunas ocasiones, la filtración procede de un ataque sofisticado como el sufrido por JP Morgan Chase. Los ciberatacantes obtuvieron una lista de las aplicaciones y programas que se empleaban en los ordenadores del banco, que cotejaron con las vulnerabilidades conocidas de dicho software para encontrar una puerta trasera por la que acceder al sistema. Esto permitió a los hackers acceder a información personal de millones de clientes, aunque el banco declaró que no había pruebas de que se hubiesen robado datos de cuentas financieras.

Es difícil saber lo que han hecho las empresas que han sido víctimas de las mayores filtraciones de datos para mejorar sus sistemas de seguridad, dado que no están dispuestas a hablar sobre las medidas concretas que han llevado a cabo para no dar pistas a los ciberdelincuentes. Pero es importante que, sean cuales sean esas medidas, se actualicen constantemente.

“No hay duda de que los atacantes seguirán buscando formas de quebrantar la seguridad de las empresas y poner en peligro los datos que poseen. Esos datos son la savia de las empresas y organizaciones y resultan muy valiosos para los ciberdelincuentes”, concluye Emm.

“Además, dado que la tecnología y la forma en la que la usamos cambian con el tiempo, también cambiará la naturaleza de los ataques. Por eso es importante concebir la seguridad como un proceso en lugar de una tarea que se realiza una vez nada más. Las empresas deben estar siempre alerta y revisar continuamente sus medidas de seguridad”.

Vuelva a la página temática sobre centros de datos para aprender más sobre cómo gestionar sus datos de manera segura y cómo construir una infraestructura de servidores completa.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.