¿Qué se puede aprender de las brechas de seguridad de datos de la década de 2010?

16/02/2020

Roberto Llop, de CyberArk. Se perdieron casi 4.000 millones de registros por ciberataques.  

Durante la última década tuvieron lugar diez de las 15 mayores brechas de datos de la historia, según Business Insider. Estos ciberataques han supuesto la pérdida de casi 4.000 millones de registros.

Ahora que hemos comenzado una nueva década es importante revisar algunas de las brechas de datos ocurridas desde 2010 y aprender de los errores del pasado.

2016: Uber
Aunque no se dio a conocer hasta 2017, Uber sufrió en 2016 un robo de datos que reveló información personal de 57 millones de conductores y clientes. Los atacantes robaron nombres, direcciones de correo electrónico y números de teléfono, y exigieron un rescate de 100.000 dólares. Para mayor escarnio, la compañía fue multada con cerca de 150 millones de dólares por no revelar la violación.

  • ¿Cuál es la lección? Nunca debemos guardar el código en una base de datos de acceso público. Los datos de Uber se expusieron porque las claves de acceso de Amazon Web Services (AWS) estaban embebidas en el código que un profesional externo almacenaba en un repositorio de código empresarial.

2017: Equifax
La conjunción de varios fallos tecnológicos, incluido un dispositivo mal configurado que escaneaba el tráfico cifrado y un escaneo automático que no pudo identificar una versión vulnerable de Apache Struts, condujo a una violación de datos que afectó a 145 millones de clientes en EEUU ya diez millones de ciudadanos del Reino Unido.

  • Cuál es la lección? A pesar de que los ataques cibernéticos se vuelven más selectivos y dañinos, con frecuencia las organizaciones siguen ignorando los conceptos básicos de seguridad. Los parches se deben aplicar rápidamente y los certificados de seguridad se deben mantener. Esta brecha también motivó solicitar una legislación que ajustara las regulaciones sobre qué protecciones se necesitan para los datos del consumidor e influyó en un aumento de la responsabilidad de los equipos de dirección.

2018: Facebook
Cambridge Analytica, una firma de consultoría política británica, almacenó los datos personales de los perfiles de Facebook de millones de personas sin su consentimiento y los utilizó con fines políticos. El escándalo finalmente estalló en marzo de 2018, cuando un denunciante lo reveló y Facebook recibió una multa de 500.000 libras, la máxima permitida en el momento de la sustracción.

  •  ¿Cuál es la lección? Proteja los datos del usuario (o pague por ello). Los legisladores afirman que Facebook «infringió la ley al no proteger la información de las personas» y sufrió las consecuencias. Ahora el Congreso de EEUU está presionando a Facebook para detener la propagación de noticias falsas, la interferencia extranjera en las elecciones y el discurso de odio, o se arriesgan a multas adicionales mucho mayores.

2019: Ecuador
Los datos de, aproximadamente, 17 millones de ciudadanos ecuatorianos se vieron expuestos. Fue debido a una vulnerabilidad en un servidor AWS Elasticsearch no seguro en el que Ecuador almacenaba algunos de sus datos. Los archivos expuestos incluían números de identificación oficial del gobierno, números de teléfono, registros familiares, fechas de bodas, historiales educativos y registros de trabajo. Además, un servidor similar de Elasticsearch expuso los registros de unos 14,3 millones de votantes en Chile, lo que supone cerca del 80% de su población.

  • ¿Cuál es la lección? Es necesario adherirse al modelo de responsabilidad compartida. La mayoría de los proveedores de la nube operan bajo un modelo de responsabilidad compartida, donde el proveedor maneja la seguridad hasta cierto punto y, más allá, se convierte en responsabilidad del cliente. A medida que un mayor número de agencias gubernamentales migran a la nube para conseguir ser más ágiles y servir mejor a sus ciudadanos, es vital que sus estrategias de seguridad en la nube continúen evolucionando, tanto para protegerse proactivamente frente a las amenazas emergentes como para reforzar la confianza de los ciudadanos que confían en sus servicios.

2019: Desjardins
La violación de datos que filtró información sobre 2,9 millones de miembros de la cooperativa de crédito Desjardins Canadá no fue el resultado de un atacante cibernético externo, sino de un intruso malicioso: alguien dentro de su departamento de TI decidió robar información personal protegida.

  •  ¿Cuál es la lección? Debemos ser proactivos en la identificación de comportamientos inusuales o no autorizados. Aunque las amenazas internas pueden ser más difíciles de identificar, especialmente en los casos en los que el usuario tiene permiso de acceso privilegiado, es importante poder monitorizar de manera constante las actividades inusuales y no autorizadas. Aún más importante es la capacidad de frenar, automáticamente, el comportamiento potencialmente peligroso (por ejemplo, suspender temporalmente los permisos) para ayudar a reducir la cantidad de tiempo que lleva detener un ataque y minimizar la exposición de los datos. Esta brecha mostró que una estrategia de seguridad de defensa en profundidad, incluida la gestión de acceso privilegiado, la autenticación de múltiples factores y la supervisión de la actividad de la base de datos, nunca ha sido tan crucial.

Imagen: Luther Bottrill (obtenida en unsplash.com y modificada).

Priorizar la protección de datos
Estos incidentes son solo una pequeña muestra de las numerosas brechas de seguridad de datos que han tenido lugar durante la década de 2010. Cualquier organización que recopile o almacene información del cliente puede aprender de estos incidentes y de muchos similares. No priorizar la protección de datos o, simplemente, hacer lo mínimo, puede conducir a multas por incumplimiento normativo, o peor aún, la destrucción de la confianza del cliente y el daño a la marca. Aprender de las lecciones del pasado puede ayudarnos a prepararnos para un futuro más seguro.

 

Roberto Llop, director regional para el Suroeste de Europa de CyberArk.

Roberto Llop es director regional para el Suroeste de Europa de CyberArk (en Twitter, @CyberArk), única empresa que cotiza en Bolsa 100% centrada en la seguridad de acceso privilegiado.

 

¿Te ha parecido interesante?

(+1 puntos, 1 votos)

Cargando…