Una vulneración de seguridad es cualquier incidente que de lugar al acceso no autorizado a datos, aplicaciones, redes o dispositivos informáticos. Esto da lugar al acceso no autorizado a la información. Por lo general, ocurre cuando un intruso logra burlar los mecanismos de seguridad.
Desde el punto de vista técnico, hay una diferencia entre una vulneración de seguridad y una vulneración de datos. Una vulneración de seguridad es en efecto una intrusión, mientras que una vulneración de datos implica que el cibercriminal se escapa con la información. Imagina a un ladrón; la vulneración de seguridad es cuando entra por la ventana y la vulneración de datos es cuando agarra tu cartera o tu portátil y se las lleva.
La información confidencial tiene un valor inmenso. Con frecuencia, se vende en la web oculta; por ejemplo, se pueden comprar nombres y números de tarjetas de crédito, y luego utilizarlos con fines de robo de identidad o fraude. No es sorprendente que las vulneraciones de seguridad puedan costarles a las compañías mucho dinero. En promedio, tienen un costo de casi 4 millones de dólares para las grandes empresas.
También es importante distinguir entre la definición de vulneración de seguridad y la definición de incidente de seguridad. Un incidente podría implicar una infección de malware, un ataque DDOS o que un empleado deje una computadora portátil en un taxi, pero si no dieran lugar al acceso a la red o a la pérdida de datos, no se considerarían una vulneración de seguridad.
Ejemplos de una vulneración de seguridad
Cuando una organización importante sufre una vulneración de seguridad, siempre sale en los titulares. Entre los ejemplos de vulneraciones de seguridad se incluyen los siguientes:
- Equifax: en 2017, una vulnerabilidad de la aplicación del sitio web provocó que la compañía perdiera los datos personales de 145 millones de estadounidenses. Estos datos incluían sus nombres, números del seguro social (Social Security Number, SSN) y números de licencia de conducir. Los ataques se realizaron durante tres meses, de mayo a julio, pero la vulneración de seguridad recién se dio a conocer en septiembre.
- Yahoo: 3000 millones de cuentas de usuario se vieron comprometidas en 2013 cuando un intento de phishing permitió a los hackers irrumpir en la red.
- eBay sufrió una vulneración significativa en 2014. Aunque la información de las tarjetas de crédito de los usuarios de PayPal no estuvo en riesgo, las contraseñas de muchos clientes se vieron comprometidas. La compañía actuó rápidamente y envió un correo electrónico a sus usuarios para solicitarles que cambiaran sus contraseñas para permanecer seguros.
- El sitio de citas Ashley Madison, que se promocionaba para personas casadas que desearan tener aventuras, fue hackeado en 2015. Los hackers llegaron a filtrar una gran cantidad de datos de los clientes a través de Internet. Los extorsionistas apuntaron a los clientes cuyos nombres se filtraron; informes no confirmados han vinculado varios suicidios a la exposición sufrida a partir de la vulneración de datos.
- Facebook sufrió fallas internas de software que generaron la pérdida de datos personales de 29 millones de usuarios en 2018. Esta fue una vulneración de seguridad particularmente vergonzosa, ya que las cuentas comprometidas incluían la del director general de la compañía, Mark Zuckerberg.
- La cadena hotelera Marriott anunció una vulneración de seguridad y de datos que afectó los registros de hasta 500 millones de clientes en 2018. Sin embargo, su sistema de reservas de huéspedes había sido hackeado en 2016 y la vulneración fue descubierta recién dos años más tarde.
- Tal vez el caso más bochornoso de todos fue el de la empresa checa Avast —ser una empresa de ciberseguridad no te hace inmune—, que reveló una vulneración de seguridad en 2019 cuando un hacker logró poner en peligro las credenciales VPN de un empleado. Esta vulneración no amenazaba los datos de los clientes, sino que tenía como objetivo insertar malware en los productos de Avast.
Hace más o menos diez años, muchas empresas trataban de mantener en secreto las noticias sobre vulneraciones de seguridad para no perder la confianza de los consumidores. Sin embargo, ahora es cada vez más improbable que se actúe de esta forma. En la UE, el Reglamento General de Protección de Datos (General Data Protection Regulations, GDPR) exige a las empresas que, en caso de una vulneración, notifiquen a las autoridades competentes, así como a las personas cuyos datos personales puedan estar en peligro. Para enero de 2020, el GDPR había estado vigente durante apenas 18 meses, y ya se habían efectuado más de 160 000 de notificaciones distintas de vulneración de datos, más de 250 al día.
Tipos de vulneraciones de seguridad
Hay varios tipos de vulneraciones de seguridad según la forma en que se haya accedido al sistema:
- Un exploit ataca una vulnerabilidad del sistema, como un sistema operativo desactualizado. Por ejemplo, los sistemas heredados que no se han actualizado en empresas donde se utilizan versiones desactualizadas y versiones de Microsoft Windows que ya no cuentan con soporte son sumamente vulnerables a los exploits.
- Las contraseñas débiles pueden descifrarse o adivinarse. Incluso en la actualidad, algunas personas siguen usando la contraseña “password”, y “pa$$word” no es mucho más segura.
- Los ataques de malware, como los correos electrónicos de phishing, pueden utilizarse para ingresar. Basta con que un empleado haga clic en un vínculo de un correo electrónico de phishing para que el software malicioso empiece a propagarse por la red.
- Las descargas ocultas utilizan virus o malware enviados a través de un sitio web afectado o falsificado.
- La ingeniería social también puede utilizarse para obtener acceso. Por ejemplo, un intruso llama por teléfono a un empleado, le dice que es del servicio de asistencia informática de la empresa y le pide la contraseña para “reparar” la computadora.
En los ejemplos de vulneraciones de seguridad que mencionamos anteriormente, se utilizaron diferentes técnicas para obtener acceso a las redes: Yahoo sufrió un ataque de phishing, mientras que Facebook fue hackeado por un exploit.
Aunque hemos estado hablando de las vulneraciones de seguridad que afectan a las grandes organizaciones, esas mismas vulneraciones de seguridad afectan a las computadoras y otros dispositivos de los individuos. Probablemente el riesgo de ser hackeado con un exploit sea menor, pero muchos usuarios de computadoras han sufrido ataques de malware, ya sea descargado como parte de un paquete de software o introducido en la computadora a través de un ataque de phishing. Las contraseñas débiles y el uso de redes públicas de Wi-Fi pueden poner en peligro las comunicaciones de Internet.
Qué hacer si sufres una vulneración de seguridad
Como cliente de una gran empresa, si te enteras de que ha sufrido una vulneración de seguridad o descubres que tu computadora se ha visto afectada, tienes que actuar rápidamente para garantizar tu seguridad. Recuerda que una vulneración en la seguridad de una cuenta podría implicar que otras cuentas también estén en peligro, especialmente si comparten contraseñas o si realizas transacciones entre ellas con regularidad.
- Si una vulneración pudiera afectar tu información financiera, notifica a los bancos e instituciones financieras donde tengas cuentas.
- Cambia las contraseñas de todas tus cuentas. Si hay preguntas y respuestas de seguridad o códigos PIN vinculados a la cuenta, también debes cambiarlos.
- Podrías pensar en la posibilidad de congelar créditos. Esto evita que alguien use tus datos para robar tu identidad y pedir prestado a tu nombre.
- Revisa tu informe de crédito para comprobar si alguien está solicitando una deuda con tus datos.
- Intenta averiguar exactamente qué datos podrían haber robado. Esto te dará una idea de la gravedad de la situación. Por ejemplo, si han sustraído datos fiscales y el SSN, tendrás que actuar rápido para impedir que te roben la identidad. Esto es más serio que perder los datos de tu tarjeta de crédito.
- Norespondas directamente a las solicitudes de una empresa de datos personales después de una vulneración de datos; podría ser un ataque de ingeniería social. Tómate un tiempo para leer las noticias, revisar el sitio web de la compañía o incluso llamar a su línea de atención al cliente para comprobar si las solicitudes son legítimas.
- Mantente atento a otros tipos de ataques de ingeniería social. Por ejemplo, un criminal que haya accedido a las cuentas de un hotel, incluso sin datos financieros, podría llamar a los clientes para pedirles su opinión sobre su reciente estadía. Al final de la llamada, tras haber establecido una relación de confianza, el criminal podría ofrecer un reembolso por los gastos de aparcamiento y solicitar el número de tarjeta del cliente para realizar el pago. La mayoría de los clientes no dudaría en proporcionar esos datos si la llamada es convincente.
- Monitorea tus cuentas para detectar indicios de actividad nueva. Si ves transacciones que no reconoces, encárgate de ellas inmediatamente.
Cómo protegerse frente a una vulneración de seguridad
Aunque nadie es inmune a una vulneración de datos, los buenos hábitos de seguridad informática pueden hacer que seas menos vulnerable y ayudarte a sobrevivir a una vulneración con menos interrupciones. Estos consejos te ayudarán a evitar que los hackers violen tu seguridad personal en tus computadoras y otros dispositivos.
- Usa contraseñas seguras, que combinen secuencias aleatorias de letras mayúsculas y minúsculas, números y símbolos. Son mucho más difíciles de descifrar que las contraseñas más simples. No uses contraseñas fáciles de adivinar, como nombres de familiares o cumpleaños. Utiliza un administrador de contraseñas para mantener tus contraseñas seguras.
- Utiliza una contraseña para cada cuenta. Si utilizas la misma contraseña, un hacker que logre acceder a una cuenta podrá entrar a todas las demás. Si tienen distintas contraseñas, solo esa cuenta estará en riesgo.
- Cierra las cuentas que no estás usando en lugar de dejarlas inactivas. Eso reduce tu riesgo de sufrir una vulneración de seguridad. Si no usas una cuenta, es posible que nunca te des cuenta de que está en riesgo y podría funcionar como una puerta trasera para las demás cuentas.
- Cambia tus contraseñas periódicamente. Una característica de muchas de las vulneraciones de seguridad que se han denunciado públicamente es que se produjeron durante un período prolongado y algunas se denunciaron recién años después. Cambiar la contraseña periódicamente reduce el riesgo de que se produzcan vulneraciones en los datos sin previo aviso.
- Si desechas una computadora, limpia el disco duro viejo como corresponde. No te limites a borrar los archivos; usa un programa de destrucción de datos para limpiar la unidad completamente y sobrescribir todos los datos del disco. Volver a instalar el sistema operativo también borra correctamente la unidad.
- Crea una copia de seguridad de tus archivos. Algunas vulneraciones de datos provocan el cifrado de los archivos y exigen un ransomware para volver a ponerlos a disposición del usuario. Si tienes una copia de seguridad en un disco extraíble, tus datos están seguros en caso de una vulneración.
- Protege tu teléfono. Utiliza un bloqueo de pantalla y actualiza el software del teléfono periódicamente. No realices rooting ni jailbreak de tu teléfono. El rooting de un dispositivo permite a los hackers instalar su propio software y cambiar la configuración de tu teléfono.
- Protege tu computadora y otros dispositivos con software antivirus y antimalware.Kaspersky Anti-Virus es una buena opción para mantener tu computadora libre de infecciones y garantizar que los hackers no puedan entrar a tu sistema.
- Ten cuidado donde haces clic. Los correos electrónicos no solicitados que contienen vínculos a sitios web podrían ser intentos de phishing. Algunos podrían pretender ser de tus contactos. Si contienen archivos adjuntos o vínculos, asegúrate de que sean auténticos antes de abrirlos y analiza los archivos adjuntos con un programa antivirus.
- Cuando accedas a tus cuentas, procura usar el protocolo seguro HTTPS, en vez de HTTP.
- Monitorear tus estados de cuenta bancarios e informes de crédito contribuye a que te mantengas a salvo. Los datos robados pueden aparecer en la web oculta años después de la vulneración de datos inicial. Esto podría implicar que se produzca un intento de robo de identidad mucho después de que hayas olvidado la vulneración de datos que comprometió esa cuenta.
- Conoce el valor de tu información personal y no la reveles a menos que sea necesario. Hay demasiados sitios web que quieren saber demasiado sobre ti; por ejemplo, ¿por qué una revista empresarial necesita tu fecha exacta de nacimiento? ¿O un sitio de subastas tu SSN?
No dejarías la puerta de tu casa abierta todo el día para que alguien entre. Lo mismo debería suceder con tu computadora. Mantén tu acceso a la red y tus datos personales bien protegidos, y no dejes ninguna ventana o puerta abiertas para que entre un hacker.
Vínculos relacionados
Cómo proteger tu información de banca en línea frente al robo