Ir al contenido principal

Qué tienen en común muchas de las recientes violaciones de datos

  |  W. Perry Wortman

Si un gramo de prevención vale más que un kilo de medicinas, la mejor forma de evitar las violaciones de datos es comprender y evitar las debilidades que los piratas informáticos atacan. Así pues, ¿cuáles son las causas habituales de las violaciones de datos?

¿Cómo de habituales son las violaciones de datos y por qué son un problema?

No importa cómo se miren, las estadísticas de las violaciones de datos son asombrosas. Más de 41 millones de cuentas se filtraron en todo el mundo solo durante el primer trimestre de 2023, con el coste medio de una violación de datos acercándose a los 4 millones de dólares. Con pequeñas empresas como objetivo el 43 % de las veces, nadie es inmune.

Han surgido algunos patrones: ahora sabemos que en al menos un 50 % de las violaciones de datos confirmadas se han visto implicadas credenciales de usuario. Los ciberdelincuentes aprovechan las vulnerabilidades causadas por las credenciales débiles y reutilizadas con tácticas como:  

  • Ataques de fuerza bruta. Esta táctica utiliza software para adivinar credenciales usando miles de iteraciones hasta que se accede a una cuenta. El impacto de un ataque de fuerza bruta se ve también aumentado con las contraseñas reutilizadas, ya que un solo éxito podría desbloquear muchas cuentas. Las contraseñas fuertes y complejas reducen el impacto de esta táctica, ya que son más difíciles de adivinar por parte de los piratas informáticos (o sus algoritmos).
  • Relleno de credenciales. Si alguna vez ha olvidado su contraseña y luego ha intentado conectarse con otras credenciales con la esperanza de adivinar correctamente su inicio de sesión, ya comprende los principios básicos del relleno de credenciales. Como subconjunto de los ataques de fuerza bruta, los piratas informáticos mejoran sus probabilidades comprando ingresos robados e introduciéndolos en varios sitios web. Las contraseñas reutilizadas multiplican el impacto de estas tácticas al exponer varias cuentas cuando se obtiene una coincidencia.
Gráfico que compara un pirateo con una violación de datos. Un pirateo es un acto intencionado para obtener acceso no autorizado a un sistema protegido. Una violación de datos es cualquier pérdida o robo de información confidencial.

¿Desea obtener más información sobre el uso del administrador de contraseñas de Dashlane en casa o en el trabajo?

Consulte nuestros planes de administrador de contraseñas personales o comience con una prueba gratis de business.

Ejemplos recientes de ataques de violación de datos

Constantemente aparecen noticias sobre violaciones de datos, entre ellas algunas que implican a empresas famosas que sufren enormes pérdidas, tanto de datos como de dinero. Algunas de las violaciones de datos más notables en las noticias recientes son:      

  1. T-Mobile: en abril de 2023, T-Mobile anunció su segunda violación de datos del año. Aunque la violación de datos más reciente se resolvió con relativa rapidez, el incidente de enero expuso información personal de 37 millones de clientes de T-Mobile.
  2. Cámara de Representantes de los Estados Unidos: como prueba de que nadie es inmune a las violaciones de datos, el gobierno de los Estados Unidos informó de un incidente de pirateo en marzo de 2023 que implicaba la información personal de 17 miembros, actuales y anteriores, del Congreso. A pesar de las investigaciones en curso del FBI y la Policía del Capitolio, los culpables y sus métodos aún no han sido identificados.
  3. Pizza Hut: en enero de 2023, Yum Brands, la empresa matriz de Pizza Hut, KFC y Taco Bell, sufrió una violación de datos que llevó al cierre temporal de 300 restaurantes. Se informó de un ataque de ransomware que expuso información de clientes, incluidos nombres y números de licencia de conducir.
  4. MailChimp: en enero de 2023, el gigante del marketing por correo electrónico MailChimp informó de su segunda violación de datos en un período de seis meses. Los intrusos usaron tácticas de ingeniería social para convencer a los empleados de que compartieran sus credenciales y finalmente obtuvieron acceso a 133 cuentas de clientes de MailChimp en el proceso.
  5. Norton LifeLock: más de seis mil clientes de ciberseguridad de LifeLock vieron sus cuentas comprometidas en las primeras semanas de 2023. Se cree que este acceso no autorizado es el resultado de tácticas de relleno de credenciales. Tras infiltrarse en las cuentas de LifeLock usando credenciales robadas, los ciberdelincuentes pudieron ver nombres, números de teléfono y direcciones postales de clientes de la empresa.
  6. LastPass: en diciembre de 2022, el administrador de contraseñas LastPass anunció una violación de datos que expuso las direcciones de correo electrónico, números de teléfono, direcciones IP, información de facturación y contraseñas maestras del administrador de contraseñas de aproximadamente el 3 % de sus clientes empresariales. Los ciberdelincuentes lograron robar datos cifrados de clientes junto con claves de encriptación del proveedor de almacenamiento en la nube de la empresa. Si se ha visto afectado por la violación de Lastpass, esta es la forma más fácil de cambiar a un administrador de contraseñas más seguro
  7. Uber: en septiembre de 2022, un pirata informático de 18 años obtuvo acceso completo a los sistemas internos y al canal de comunicación de Slack del gigante de los viajes compartidos Uber. Parece ser que el pirata informático usó tácticas de ingeniería social, una de las causas más habituales de las violaciones de datos, para engañar a un empleado de TI de Uber para que compartiera sus credenciales.
  8. Twitter: en junio de 2021, una actualización del código de Twitter hizo posible la obtención del nombre de usuario de usuarios de Twitter simplemente dando el número de teléfono o la dirección de correo electrónico. Aunque este error se corrigió seis meses después, se descubrió que más de 200 millones de nombres de usuario y correos electrónicos de Twitter estaban a la venta en el mercado negro en enero de 2023.

Siete causas habituales de las violaciones de datos

El estudio de los incidentes recientes arroja luz sobre las causas habituales de las violaciones de datos, aunque diagnosticar sus orígenes suele ser un reto. Muchas violaciones de datos son el resultado de una combinación de dos o más tácticas de pirateo, mientras que la causa raíz de otras sigue siendo un misterio. Las siguientes son las causas más ampliamente documentadas de las recientes violaciones de datos:  

  1. Contraseñas reutilizadas: repetir credenciales antiguas es habitual porque todos queremos que nuestras contraseñas sean más fáciles de recordar. Por desgracia, la reutilización de contraseñas también disminuye la seguridad de las mismas, ya que si una contraseña reutilizada se ve comprometida se pueden violar varias cuentas, lo que la convierte en una de las principales causas de las violaciones de datos. La reutilización de contraseñas hace bajar la puntuación de nuestro análisis de contraseñas y nos hace mucho más vulnerables a ataques de fuerza bruta y relleno de credenciales, ya que el impacto de una coincidencia con éxito se multiplica.
  2. Contraseñas débiles: las contraseñas demasiado cortas, sin complejidad o demasiado predecibles son también una de las causas más habituales de las violaciones de datos, ya que los piratas informáticos pueden adivinarlas fácilmente usando software automatizado que les ayuda en sus ataques. El aumento del número de caracteres de la contraseña de 8 a 12 hace crecer el número de posibles combinaciones desde los 200 mil millones hasta los 95 trillones, lo que dificulta mucho más el descifrado por parte de los piratas informáticos. Una contraseña segura debe también omitir frases como los nombres de familia o las direcciones asociadas con su identidad.  
    La mejor forma de crear contraseñas seguras e impredecibles de forma consistente es usar la función del generador de contraseñas de un administrador de contraseñas.
  3. Aplicaciones sin parches: las actualizaciones de las aplicaciones y los sistemas operativos también incluyen parches para corregir problemas de seguridad conocidos. Los piratas informáticos aprovechan el software sin parches y los sistemas operativos desactualizados para obtener acceso no autorizado. Incluso pueden buscar en Internet sistemas sin parches como objetivo. La aplicación de los parches recomendados y el mantenimiento oportuno del sistema ayudan a fortalecer la postura general de seguridad y evitar las violaciones de datos.
  4. Malware: término que designa el software malicioso, el malware incluye muchos tipos de software que pueden interferir con el funcionamiento de un ordenador. Variantes de malware son el adware, los gusanos y los virus. Un ataque de malware se vuelve más peligroso cuando el pirata informático intenta robar datos o hacer que un dispositivo quede inutilizable hasta que se pague un rescate.
    Spyware: la forma de malware comúnmente conocida como spyware se instala a sí mismo en un dispositivo y recoge información como números de tarjeta de crédito y contraseñas mientras la envía al pirata informático. Como el dispositivo parece funcionar normalmente, los ataques de spyware pueden ser difíciles de detectar.
    Ransomware: la variante de malware conocida como ransomware se usa para negar a un individuo o empresa el acceso a sus propios archivos hasta que se pague un rescate, generalmente usando criptomonedas porque son anónimas, rápidas y en ocasiones difíciles de rastrear. Hacer copias de seguridad y encriptar archivos importantes con regularidad son acciones que reducen el impacto de los ataques de ransomware.
Gráfico que demuestra cómo funciona el «ransomware». En primer lugar, el ransomware se instala mediante phishing por correo electrónico. A continuación, el «ransomware» cifra los archivos del ordenador. Entonces, se exige un rescate.
  1. Ingeniería social. Las recientes violaciones de datos, como las de Uber y MailChimp, utilizaron tácticas de ingeniería social que combinan psicología básica e información personal y de empresas fácilmente disponible. Los objetivos son engañados para que divulguen información confidencial tal como nombres de usuario, contraseñas y números de cuenta. Los correos electrónicos de phishing, disfrazados de mensajes procedentes de fuentes fiables, son un ejemplo a señalar, pero los métodos de ingeniería social también incluyen llamadas telefónicas, mensajes de texto e incluso contacto personal.  
  2. Amenazas internas: estas amenazas se originan en el lugar de trabajo, entre ellas:
    Error humano que se produce cuando los empleados pierden o guardan mal archivos, datos y dispositivos de la empresa, o caen en ataques de phishing maliciosos originados fuera de la empresa.
    Exempleados que conservan sus credenciales y las usan para infligir daños a los activos de la empresa. Compartir contraseñas en el lugar de trabajo de forma no segura puede dar lugar a una visibilidad inadecuada de las mismas cuando los empleados abandonan la organización.
    Empleados descontentos que manipulan, destruyen o roban datos de la empresa.
    Programas de traer el dispositivo propio (BYOD) que permiten a los empleados transferir malware y otras amenazas de ciberseguridad a la red de la empresa desde sus dispositivos personales.
  3. Ataques físicos: como su nombre indica, las violaciones físicas de la seguridad implican contacto directo y no autorizado con servidores, dispositivos y con otras personas. Para proteger los centros de datos de los ataques físicos se usan sistemas de seguridad de varias capas, como vallas, cámaras de seguridad e insignias. Los ataques de ingeniería social y físicos convergen cuando los ciberdelincuentes usan métodos como el «tailgating» (seguir a un empleado autorizado a una zona restringida) para entrar sin ser detectados, y el «shoulder surfing» o navegación por encima del hombro para robar información de sus víctimas.

¿Cómo puedo proteger mi empresa?

Revisar y responder a las causas habituales de las violaciones de datos puede ayudar a mantener su empresa segura. Aunque las medidas de seguridad preventivas como el software antivirus, los cortafuegos y los sistemas de detección de intrusiones son valiosas, los acontecimientos recientes señalan que el elemento humano es la causa principal de las violaciones de datos. Su plan de ciberseguridad debe centrarse en eliminar malos hábitos como la reutilización de contraseñas además de educar a los empleados, sus familiares y amigos en tácticas de ingeniería social basadas en nuestra tendencia a confiar en los demás cuando parecen fiables.

Cómo Dashlane lo protege de las violaciones de datos

Dashlane es un administrador de contraseñas que ayuda a proteger las mismas y otra información personal ante las violaciones de datos. Las funciones estándar incluyen la autenticación de dos factores (2FA), una puntuación del análisis de contraseñas, encriptación AES de 256 bits y monitoreo de la Dark Web para escanear continuamente los rincones oscuros de Internet y asegurarse de que sus credenciales no se hayan visto comprometidas. Nuestra arquitectura de conocimiento cero patentada garantiza que nadie, incluido Dashlane, pueda acceder a su información privada. Si Dashlane sufriera una violación, los ciberdelincuentes no verían sus datos no encriptados.

Unos hábitos de contraseña y de ciberseguridad sólidos y adecuados le ayudarán a evitar una violación de datos. Para averiguar cómo se agrupan los usuarios informáticos en diferentes regiones en lo que se refiere a contraseñas comprometidas, débiles y reutilizadas, eche un vistazo a los resultados del análisis de contraseñas de todo el mundo.


Referencias

  1. DataProt, «Data Breach Statistics That Will Make You Think Twice Before Filling Out an Online Form» (Estadísticas de violaciones de datos que le harán pensárselo dos veces antes de rellenar un formulario en línea), marzo de 2023.
  2. Surfshark, «Data breach statistics 2023’Q1 vs. 2022’Q4» (Estadísticas de violaciones de datos del 1.ᵉʳ trimestre de 2023 frente al 4.º trimestre de 2022), mayo de 2023.
  3. Dashlane, «One of the Most Common Data Breaches Your Organization Can Prevent with One Step» (Una de las violaciones de datos más comunes que su organización puede evitar con un solo paso), noviembre de 2021.
  4. Dashlane, «¿Qué es el relleno de credenciales?» septiembre de 2020.
  5. Dashlane, “¿Qué es un ataque de fuerza bruta?” Febrero de 2020.
  6. Security, «T-Mobile confirms second data breach in 2023» (T-Mobile confirma una segunda violación de datos en 2023), septiembre de 2022.
  7. CBS News, «At least 17 members of Congress had sensitive information exposed in data breach» (Al menos 17 miembros del Congreso han visto expuesta información confidencial en una violación de datos), marzo de 2023.
  8. TechCrunch, «Norton LifeLock says thousands of customer accounts breached» (Norton LifeLock admite la violación de miles de cuentas de clientes), enero de 2023.
  9. Security Week, «Yum Brands Discloses Data Breach Following Ransomware Attack» (Yum Brands revela violación de datos tras ataque de ransomware), abril de 2023.
  10.  TechCrunch, «Mailchimp says it was hacked — again» (Mailchimp dice haber sido pirateado de nuevo), enero de 2023.
  11. Dashlane, «Las brechas más notables al inicio de 2023», febrero de 2023.
  12. Dashlane, «Todo lo que debería saber sobre el ataque de ingeniería social en Uber», septiembre de 2022.
  13. Dashlane, «Filtración del correo electrónico de 200 millones de usuarios de Twitter: qué saber y cómo proteger la información», enero de 2023.
  14. Dashlane, «Cómo la reutilización de contraseñas conduce a vulnerabilidades de ciberseguridad», mayo de 2023.
  15. Dashlane, «Seis consejos para crear contraseñas fuertes y seguras en un mundo digital», marzo de 2023.
  16. Dashlane, «Resista los pirateos usando la herramienta del generador de contraseñas de Dashlane», 2023.
  17. Dashlane, «Por qué debería mantener sus aplicaciones actualizadas», marzo de 2022.
  18. Dashlane, «¿Qué es el software malicioso?» Febrero de 2020.
  19. Dashlane, «Cómo evitar los ataques de “ransomware” en sus dispositivos», marzo de 2023.
  20. Dashlane, «5 razones por las que debe crear una copia de respaldo de su computadora a menudo», mayo de 2023.
  21. Dashlane, «Entrevista con un pirata informático: Rachel Tobac le dice cómo defenderse de… ¡Bueno, de ella!» marzo de 2021.
  22. Semana de la información: «El 75% de los ciberataques internos son el trabajo de exempleados descontentos: un informe», julio de 2022.
  23. Dashlane, «No muerda el anzuelo: los administradores de contraseñas pueden ayudarlo a protegerse contra los ataques de “phishing”», noviembre de 2020.
  24. Dashlane, «9 BYOD Security Best Practices for Small and Medium-sized Businesses» (Nueve prácticas recomendadas de seguridad de BYOD para pequeñas y medianas empresas), mayo de 2023.
  25. Maryville University, «Types of Security Breaches: Physical and Digital» (Tipos de violaciones de seguridad: físicas y digitales), 2023.
  26. Dashlane, «Cómo crear un plan de ciberseguridad para la pequeña empresa que funcione», febrero de 2023
  27. Dashlane, «Administrador de contraseñas personales de confianza», 2023.
  28. Dashlane, «Hacer de la seguridad una prioridad: cómo Dashlane protege sus datos», enero de 2023.
  29. Dashlane, «La autenticación de dos factores (2FA) en Dashlane», 2023.
  30. Simplilearn, «What Is AES Encryption and How Does It Work?» (¿Qué es el cifrado AES y cómo funciona?) febrero de 2023.
  31. Dashlane, «Profundización en la seguridad de conocimiento cero de Dashlane», 2023.
  32. Dashlane, «A look at Password Health Scores around the world in 2022», (Un vistazo a las puntuaciones del análisis de contraseñas en todo el mundo en 2022), 2022.

Regístrese para recibir noticias y actualizaciones acerca de Dashlane