Qué es una «fuga de datos» y cómo prevenir esta amenaza

Qué es una «fuga de datos» y cómo prevenir esta amenaza

No es muy frecuente que la frase "fuga de datos" cause pensamientos alarmantes en un ejecutivo de alto nivel.

image

Autor: Nathan Sorrentino

¿Cuándo ocurrió la fuga?

¿Qué datos se filtraron?

¿Qué hacer?

¿Quién es el culpable?

Existen muchas maneras de prevenir amenazas de este tipo, pero comencemos desde el principio. En este artículo, abordaremos los conceptos básicos de la fuga de datos (qué es, las causas, etc.) y veremos algunos pasos básicos que una organización puede tomar para reducir el riesgo de aparecer en los titulares de los medios de mañana.

Qué es una «fuga de datos»

Una fuga de datos ocurre cuando alguien obtiene acceso no autorizado a la información.

Quién es el culpable de una fuga de datos

Generalmente, hay tres categorías de personas que pueden ser responsables de una fuga de datos dentro de una organización.

Insider accidental

A veces, una fuga de datos puede ser accidental. Por ejemplo, alguien trabajaba en la organización y tenía demasiados privilegios. En este caso, una carpeta o archivo puede estar a la vista por accidente o por curiosidad malsana. La persona no tenía intención de causar daño, simplemente estuvo en el lugar y momento equivocados. En el caso de insiders accidentales, la información divulgada no representa una gran amenaza, pero, aun así, deben tomarse medidas para resolver el problema.

Insider malintencionado

La situación es similar a la anterior, con la diferencia de que este tipo de insiders tiene intenciones maliciosas. Otra posibilidad es que un empleado con el nivel adecuado de autorización quiera vengarse de su empleador actual o anterior. El insider malintencionado es el escenario más desagradable discutido en este artículo, ya que alguien en quien se confiaba es el causante de la fuga intencional. Un ejemplo clásico es Edward Snowden. Trabajando en la NSA como contratista, Snowden tenía el nivel de acceso correspondiente, lo que ocasionó la filtración de información extremadamente confidencial sobre programas gubernamentales controvertidos.

Agente externo malintencionado

Un agente externo malintencionado es cualquier atacante que obtiene acceso no autorizado a la información. Esta categoría incluye a una amplia gama de personas con diferentes motivaciones, desde un adolescente aburrido hasta un grupo de hackers patrocinados por el gobierno. Las consecuencias de las fugas relacionadas con agentes externos pueden ser muy graves. Ejemplos recientes en esta categoría son los ataques a las empresas Target y Sony.

Causas de la fuga de datos

Con respecto a la fuga de datos, varios factores pueden jugar un papel crucial. Algunas de las causas más comunes se enumeran a continuación:

  • Vulnerabilidades del sistema.
  • Contraseñas débiles o reutilizadas.
  • Ataques dirigidos.
  • Exceso de privilegios de acceso.
  • Programas maliciosos.
  • Phishing o spoofing.
  • Cuentas robadas.

Vulnerabilidades del sistema

A menudo, por accidente, una computadora o sistema se vuelve vulnerable a varios tipos de ataques debido a una vulnerabilidad en el código. Es un fenómeno bastante frecuente. Aunque muchas organizaciones instalan actualizaciones, a menudo los administradores de sistemas no pueden aplicar el parche inmediatamente por diversas razones o simplemente no saben que ha surgido una nueva vulnerabilidad explotada. En muchos casos, los atacantes utilizan intencionadamente exploits conocidos donde las actualizaciones correspondientes aún no se han instalado, lo que lleva a un hackeo y fuga de datos.

Contraseñas débiles o reutilizadas

Las contraseñas débiles y reutilizadas son vulnerables a ataques como el «credential stuffing». Las organizaciones deben implementar políticas para hacer que las contraseñas sean más resistentes a ataques, como exigir el uso de diferentes tipos de caracteres y una longitud mínima.

Los empleados a menudo usan el correo electrónico corporativo para registrarse en servicios en línea necesarios para el trabajo. Si uno de estos servicios es comprometido, un atacante puede usar el correo electrónico y la contraseña para acceder a recursos corporativos u otros recursos en línea. Si el atacante solo tiene acceso al correo electrónico, puede restablecer la contraseña en otro sistema. Este esquema funcionará incluso si la contraseña es diferente, ya que la mayoría de los sistemas envían un enlace para restablecer la contraseña al correo electrónico.

El Instituto Nacional de Estándares y Tecnología (documento 800-63b) y Microsoft han desarrollado recomendaciones consideradas por muchos como un enfoque radical hacia las políticas de contraseñas. La lógica que reemplaza la vieja tendencia que existió durante tres décadas es que las políticas obsoletas eran ineficaces y obligaban a los usuarios a crear y reutilizar contraseñas inseguras. La situación está cambiando gradualmente.

Ataques dirigidos

Un ataque dirigido está dirigido a una organización específica y puede incluir varios vectores mencionados en esta lista. Los ataques dirigidos generalmente están cuidadosamente planificados, se basan en escenarios no convencionales y pueden incluir técnicas que van desde hacerse pasar por un colega o un gerente superior para obtener información valiosa hasta enviar correos electrónicos falsos dirigidos a un empleado específico.

Exceso de privilegios de acceso

Como se mencionó anteriormente, este tipo de fugas a menudo están relacionadas con insiders. Si los empleados tienen acceso a recursos que no necesitan para su trabajo, se crean oportunidades para fugas de datos, intencionales o accidentales. A primera vista, parece que el problema es fácil de resolver, pero situaciones similares surgen una y otra vez cuando el rol de un empleado cambia o los derechos del nuevo empleado se heredan de alguien más.

Programas maliciosos

Es probable que la mayoría de las personas que leen este artículo se hayan encontrado con programas maliciosos al menos una vez en la vida. Este tipo de aplicaciones están diseñadas con el único propósito de dañar su sistema. La infección puede ocurrir de varias maneras, pero generalmente a través de archivos adjuntos en correos electrónicos o enlaces maliciosos. Una vez infectado, el atacante generalmente tiene acceso ilimitado al sistema, que se utiliza como punto de partida para moverse dentro de la red (lateral o verticalmente) con el fin de obtener información valiosa.

Phishing o spoofing

El phishing, a veces asociado con la propagación de malware, implica enviar correos electrónicos en nombre de una fuente confiable. El objetivo es provocar que la víctima haga clic en un enlace malicioso, descargue un archivo con malware o se involucre en esquemas relacionados con el envío de dinero o la obtención de información confidencial.

Cuentas robadas

Las cuentas robadas generalmente se obtienen a través de ataques de phishing. Se envía al usuario un correo electrónico falso que parece legítimo, y después de hacer clic en el enlace, aparece una página de inicio de sesión que imita completamente la página original del sitio. Después de "iniciar sesión" en la página falsa, el atacante obtiene la información de la cuenta. Dado que la mayoría de las personas reutilizan contraseñas, una cuenta robada potencialmente puede ser utilizada para acceder a varios servicios o para obtener información valiosa (especialmente en combinación con el exceso de privilegios de acceso).

Qué hacer en caso de una fuga de datos

Aunque una fuga de datos es un fenómeno desagradable (algunos incluso dirían inevitable), una organización puede tomar algunos pasos para minimizar el daño a los datos y sistemas, así como para mantener la reputación de la marca y la confianza de los clientes. El paso más importante es la preparación.

¿Tiene usted recursos internos para responder a incidentes y un plan desarrollado? Si no, considere la posibilidad de contratar a una empresa que ofrezca servicios de este tipo. ¿Qué hay del aspecto legal? ¿Sus abogados tienen suficiente competencia para guiarle a través del proceso de notificación y obligaciones de respuesta? ¿Cuándo fue la última vez que su equipo realizó una prueba del plan preparado durante un simulacro de fuga de datos? ¿Están claramente definidas los roles y responsabilidades para actuar de manera unificada?

Cuando ocurra una verdadera fuga de información, no tendrá tiempo para buscar respuestas a estas preguntas. Una respuesta efectiva y oportuna requiere una preparación meticulosa. Aunque es imposible cubrir todos los aspectos, lo principal es que su equipo de respuesta debe trabajar en conjunto con los abogados.

Además, existen tres tipos principales de medidas que puede tomar durante una fuga de datos.

Notificar a las víctimas

Este paso puede parecer obvio, pero en la realidad, muchos lo pasan por alto. La confianza es extremadamente importante en los negocios. A primera vista, puede parecer mejor no revelar información sobre el incidente, pero a largo plazo, la honestidad prevalece. Además, ocultar información sobre la fuga del público y del gobierno puede ocasionar multas elevadas.

Actualizar las contraseñas de todas las cuentas

Ya sean empleados o usuarios que pagan por sus servicios, un paso importante es restablecer las contraseñas de todas las cuentas. Esta medida tiene un doble propósito: bloquear las cuentas robadas por el atacante y obligar a los usuarios a cambiar las contraseñas que pueden estar comprometidas.

Cómo prevenir una fuga de datos

Aunque hay muchas medidas que una organización puede tomar para reducir el riesgo de fuga de datos, hay algunos pasos sencillos para aumentar el nivel de seguridad:

  • Implementar una política de seguridad.
  • Adherirse al principio de los menores privilegios.
  • Implementar una política de contraseñas corporativas.
  • Capacitar a los empleados.

Implementación de una política de seguridad

La implementación de una política o programa de seguridad enfocado no solo en proteger la información confidencial, sino también las cuentas que brindan acceso a esta información es crucial para reducir riesgos. ¿Por qué? Porque las cuentas y los datos son dos denominadores comunes en cada incidente relacionado con la fuga.

Principio de los menores privilegios

Uno de los principios más importantes a seguir es el principio de los menores privilegios. Es decir, cuando todos los empleados y cuentas (especialmente los usuarios privilegiados) tienen un nivel de acceso estrictamente acorde con sus funciones. Reiteramos, especialmente en el caso de los usuarios privilegiados, se debe adherir al enfoque de gestión de acceso privilegiado (PAM), donde, en ausencia de necesidad, el uso de tales cuentas está completamente excluido. Cuando todos los usuarios tienen acceso solo a los recursos necesarios, el riesgo de comprometer una cuenta individual se reduce exponencialmente.

Política de contraseñas corporativas

Al implementar una política de contraseñas corporativas, su organización estará protegida de muchos ataques a los mecanismos de autenticación. Dicha política prevé la desactivación de contraseñas débiles o ya comprometidas, independientemente de si estas contraseñas cumplen con los requisitos de complejidad. A largo plazo, la higiene forzada respecto a las contraseñas reduce las oportunidades de los atacantes durante el hackeo o la adivinación de contraseñas mediante métodos automáticos y manuales.

Si no desea utilizar reglas sobre el cambio periódico y la complejidad de la contraseña, las recomendaciones son las siguientes: autenticación de dos factores, longitud de la contraseña de al menos 14 caracteres y ausencia en la base de datos de fugas. Si la contraseña se encuentra en dicha base, se requiere un reemplazo. De lo contrario, la contraseña puede permanecer para siempre.

Capacitación de empleados

Posiblemente, la medida más importante en esta lista. Las organizaciones deben invertir tiempo y otros recursos en capacitar a los empleados. Por ejemplo, cómo reconocer un ataque de phishing a tiempo. La participación en estos eventos debe ser obligatoria. Una pequeña inversión ahora puede generar grandes beneficios a largo plazo. Incluso si la capacitación ayuda a evitar al menos una fuga, la inversión de recursos ya será rentable.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!