Los datos, el botín más codiciado. Protegerlos ya no es una opción

Violazione dati
En 2021 se produjeron 22 000 millones de violaciones de este tipo

Hoy en día, uno de los productos de intercambio más valiosos en el mercado global son los datos: información sensible, empresarial y personal, tendencias, gustos, opiniones e información financiera.

Como la Comisión Europea ha señalado en repetidas ocasiones, los datos son la materia prima del mercado único digital.
Según exponen Fabio Pompeio y Alessandro Alongi en el libro «Diritto della privacy e protezione dei dati personali. Il GDPR alla prova della Data driven economy» (Derecho de privacidad y protección de datos personales. El RGPD ante la prueba de la economía basada en datos), «ocurren más cosas en línea en un minuto que en un día completo en la vida real: millones de correos electrónicos que viajan de un lado al otro del planeta, otras tantas fotos, vídeos y comentarios se publican en las redes sociales, los motores de búsqueda indexan información, cientos de miles de usuarios descargan contenidos, documentos e información de la web y, según los datos de los últimos años, se gastan 751 000 dólares en línea».

Al final de un día promedio, los dos autores señalan que «se contabilizan 42 000 millones de mensajes en WhatsApp, 150 000 millones de correos electrónicos y 66 000 millones de fotos en Instagram. Cifras récord, impensables hasta hace unos años, y hoy solo posibles gracias a la red, la web y la enorme capacidad que las máquinas modernas tienen para procesar datos e información. Mientras tanto, Facebook define quiénes somos, Amazon lo que queremos y Google lo que pensamos. Los gigantes de la web definen principalmente nuestra reputación, teniendo en cuenta que esta se reconstruye en gran medida sobre la interpretación de las huellas que dejamos en nuestras interacciones en la red, así como sobre la base de los datos disponibles sobre nosotros».

Se trata de información que luego se utiliza en su totalidad con fines comerciales, para enviarnos publicidad personalizada, pero también para delinear perfiles a los que recurrirán compañías de seguros o posibles empleadores o cualquier persona que pueda estar interesada en tener información sobre nosotros. Información que, por tanto, tiene un gran valor económico.
Sin embargo, se trata de un nivel del que ahora todos somos más o menos conscientes y, por tanto, en la medida de lo posible podemos lograr gestionarlo si decidimos hacerlo. En resumen, ser invisible hoy en día es muy difícil, pero aún se puede lograr.

Violación y robo de datos

Sin embargo, hay un nivel mucho más insidioso y es el de la verdadera violación y robo de datos.
En 2021, según el informe de la compañía estadounidense Risk Based Security, fueron se filtraron 22 000 millones de datos,que probablemente acabaron en el mercado de la dark web (internet profunda) para su venta a la comunidad de ciberdelincuentes que, a su vez, los utilizan para desarrollar ciberataques, como el robo de identidad, el secuestro de cuentas empresariales (business e-mail compromise o BEC, por sus siglas en inglés), y la infección con ransomware. En pocas palabras, los datos son los pilares de los delitos perpetrados en la red, hasta el punto de que, según los expertos, sin ellos, los piratas informáticos no habrían podido hacerse con los 1,5 billones de dólares en ingresos obtenidos en 2019.

Según el Data Breach Investigations Report (DBIR 2022), los cuatro métodos principales que utilizan los piratas informáticos para este propósito son: el robo de credenciales, el phishing, la explotación de vulnerabilidades y las botnets (redes de robots).

El robo de credenciales

Según el DBIR 2022, desde 2017 se ha registrado un aumento del 30 % en las credenciales robadas. Dejarse robar las credenciales de acceso, como el nombre de usuario y la contraseña, significa abrir de par en par las puertas a los delincuentes y entregarles datos empresariales, personales y bancarios.
Esto también es válido para los empleados que tienen roles que no son de responsabilidad, sino más bien «laterales». Para el hacker, el objetivo es entrar en la red corporativa, sin importar desde dónde.

Un error muy habitual pero que puede tener consecuencias peligrosas es, por ejemplo, compartir la contraseña o utilizar la misma en varias cuentas. Un error muy habitual, como muestra la encuesta de Google, según la cual el 52 % de las personas utilizan la misma contraseña para varias cuentas.

El phishing

El phishing encabeza todas las clasificaciones de robo de datos personales. Es el sistema más utilizado por los ciberdelincuentes, expertos en ingeniería social y, al mismo tiempo, el que registra más víctimas. Esto se debe a que el phishing, en todas sus formas y modalidades (phishing, spray-phishing, spear-phishing, smishing y vishing), representa la vía directa para entrar en una organización. El ransomware, que antes se refería exclusivamente a la extorsión financiera, ahora también se utiliza para robar datos.
Y el desafío es cada vez más difícil, ya que ni siquiera la autenticación de dos factores nos garantiza que podamos dormir bien. Y es que los hackers son cada vez más creativos y están encontrando nuevas formas de evitar este tipo de protección.

Explotar las vulnerabilidades

El phishing y el robo de credenciales suelen explotar vulnerabilidades que siempre conducen al codiciado botín habitual: el robo de datos. Las vulnerabilidades del software son habituales. CVE Details, que mantiene una base de datos de ellas, registró más de 20 000 vulnerabilidades en 2021, cada una de las cuales tiene el potencial para permitir que un hacker explote la brecha y tome el control de una aplicación para robar datos o instalar programas maliciosos (malware). En resumen, también en este punto queda mucho por hacer.

Botnet

El término «botnet», una palabra formada por los términos «robot» y «network», hace referencia a una red de ordenadores controlada por un botmaster y compuesta por dispositivos infectados con malware, llamados, precisamente, bots o zombis. Los ciberdelincuentes que la controlan la gestionan de forma remota para llevar a cabo ataques cibernéticos con varios objetivos: el envío de correos electrónicos de phishing, malware o la ejecución de un ataque de denegación de servicio (denial-of-service). Todo esto puede formar parte de un objetivo más amplio de robo de datos.
Según SpamHaus, en el cuarto trimestre de 2021 se registró un aumento del 23 % en la actividad de las botnets.

El factor humano

Diferentes tipos de violación pero que tienen la misma brecha en el origen: el factor humano, el verdadero eslabón débil de la cadena. De acuerdo con los hallazgos del DBIR 2022, el 82 % de las filtraciones se deben a un error humano. Son precisamente «las personas quienes siguen desempeñando un papel muy importante tanto en los accidentes como en las violaciones», explica.

Por tanto, hay que intervenir en el elemento humano, a través de la concienciación, la instrucción y la formación y haciendo que sea capaz de responder rápidamente a las amenazas que llegan y que llegarán, puesto que cada vez son más numerosas y agresivas, desde la web. Así que la solución tiene un solo nombre y apellido: formación eficaz y de calidad.

Las empresas, para prevenir los daños cibernéticos, que pueden tener consecuencias muy graves, deben elegir plataformas educativas que estén a la altura del desafío actual: conseguir que sus organizaciones sean inmunes a los ataques y siempre estén listas para defenderse adecuadamente. Para lograr este objetivo, cada empleado debe dominar una postura digital correcta y estar preparado para reconocer y manejar cualquier tipo de ataque.

Solo esto es un verdadero obstáculo para los hackers y puede garantizar una protección efectiva y duradera para toda la empresa.

Más información sobre los itinerarios formativos de Cyber Guru