Data Breach: cuando los datos personales de millones de personas se exponen al público. Aquí te explicamos qué son, cómo ocurren y qué hacer cuando se violan las informaciones privadas de nuestros usuarios.

Cuando utilizamos Facebook u otras redes sociales, a menudo autorizamos a otras aplicaciones a acceder a nuestra información personal, que hemos compartido en la red social. No siempre estas aplicaciones (identificadas con el término de aplicaciones de terceros) respetan parámetros estrictos sobre nuestra privacidad.

Aquí en abril de este año, dos servicios de terceros – Cultura Colectiva y At The Pool – han llevado a la exposición pública de 540 millones de cadenas de información personal de usuarios de Facebook, a través de los servidores de Amazon.

Esto es lo que en jerga técnica se define como un violación de datos, una violación de datos. Se trata de un problema ya global, que también afecta a empresas más pequeñas en comparación con los gigantes de Facebook. Porque ahora todos utilizamos Internet para cualquier actividad, incluso empresarial (pensemos en la computación en la nube). Y aunque esto nos ofrece muchas ventajas, si no tenemos cuidado también estamos expuestos a numerosos riesgos.

Descubramos juntos más sobre el tema.

Qué se entiende por data breach

Veamos en primer lugar una descripción más precisa de violación de datos. 

Según Norton, se trata de “un incidente de seguridad durante el cual se produce el acceso a información sin autorización”. Como en el caso de Facebook, por lo tanto, la información de personas, empresas u otras organizaciones se hace pública sin el consentimiento de los mismos usuarios. 

Como se observa en la definición, no es necesario que la violación ocurra debido a un ciberataque. En el ejemplo ilustrado al inicio del artículo, el violación de datos se habría producido por el uso imprudente de los datos por parte de aplicaciones de terceros y no tanto por la intención maliciosa de algunos criminales de la web.

Dicho esto, según IBM detrás de los violación de datos a menudo hay la mano de hackers interesados en la información confidencial. El 51 por ciento de las violaciones de datos ocurridas hasta ahora en 2019, según la empresa, proviene precisamente de ciberataques. En 2014 el porcentaje se detenía en el 21 por ciento. La parte restante es causada en cambio por errores humanos y por errores (fallo técnico) de los sistemas.

Cuando se produce un violación de datos, se ven afectados principalmente los usuarios, cuya información a veces sensible, termina en el espacio público, a disposición de cualquiera que quiera hacer uso de ella (incluso criminal). Se luego también golpearon duramente a las empresas, en primer lugar desde el punto de vista de la reputación. Pero también hay costos importantes para recuperar la información, como veremos.

La violación de datos se vuelve cada vez más común. Siempre IBM ha calculado que en 2019 las empresas tienen un 29,6 por ciento de probabilidad de sufrir un violación de datos en el transcurso de dos años. En 2014, la cifra se detenía en el 22.6 por ciento.

Causas y efectos

Ya hemos mencionado las principales causas de los violación de datos, pero profundicemos en el tema, enumerando las seis principales fuentes de violaciones de datos, según el informe de VerizonInforme de Investigaciones de Violaciones de Datos 2018”.

1. Piratería informática. La causa principal se debe a la acción de una mano criminal. Los hackers, según Verizon, a menudo intentan robar las credenciales de acceso a los sistemas de las empresas privadas, con diferentes estratagemas: las encuentran en el web oscuro, las encuentran escritas en las oficinas (cuidado con las fotografías que publicamos en las redes sociales desde la oficina) o utilizan software para la generación automática de contraseñas. Una vez obtenido el acceso, los hackers pueden recopilar toda la información que deseen y lanzar otros ataques a los sistemas empresariales.
2. Malware. Estrechamente relacionados con las actividades de los ciberdelincuentes, los malware pueden ser utilizados para numerosas actividades ilícitas. Un ejemplo de malware es el llamado RAM Scraper, que escanea la memoria de los dispositivos digitales para recopilar información sensible. Son sistemas utilizados, por ejemplo, para escanear los POS. Otra forma de software malicioso son los llamados ransomware, que bloquean los dispositivos electrónicos: los hackers los desbloquearán solo tras el pago de un rescate (del inglés rescate).
3. Error humano. Como se mencionó, no es necesario que haya una mano criminal detrás de un violación de datos. Incluso el error de un empleado puede llevar a una violación de la información. Simplemente, enviar el correo a la persona equivocada, con los datos sensibles de otra. Para Verizon, el error humano es la tercera causa de violación de datos. 
4. Ingeniería social. Volvamos a las actividades ilícitas. El phishing es el envío de correos electrónicos que parecen a simple vista idénticos a los de empresas importantes (pensemos en las Poste), que a menudo solicitan a los usuarios restablecer los datos de su cuenta. En realidad, los destinatarios acceden a portales falsos, enviando involuntariamente su información. Ataques muy peligrosos, sobre todo porque a menudo apuntan a acceder a cuentas corrientes y tarjetas prepago. El pretexting es una actividad similar, pero realizada por teléfono.
5. Acceso ilícito por parte de los empleados. En las empresas, a menudo algunos usuarios tienen la posibilidad de acceder a los datos de sus colegas y subordinados, porque tal vez tienen una cuenta con acceso privilegiado o superior. Esto puede resolverse en un violación de datos, en muchos casos accidental. 
6. Acciones físicas. Pues sí, la violación de datos puede ocurrir incluso offline. Según Verizon, el 10 por ciento de los violación de datos ocurre fuera de la Red. Un ejemplo es la clonación de la tarjeta de crédito que puede ocurrir en un cajero automático.

Hasta aquí las causas. ¿Cuáles pueden ser las consecuencias de una violación de datos?

Para los particulares, las consecuencias pueden ser tanto financieras como personales. Como hemos visto, muchos hackers intentan acceder de todas las formas posibles a las cuentas corrientes y a las tarjetas de crédito de las personas, utilizando diversos medios. Desde el punto de vista personal, existe el riesgo de permitir que desconocidos violen nuestra intimidad. En nuestros smartphones tenemos de todo: desde fotos con nuestras familias, correo personal, hasta mensajes privados. No debe ser agradable saber que alguien ha tenido acceso a toda esta información sin nuestro consentimiento.

Para las empresas, según IBM, las consecuencias de los violación de datos son al menos de dos tipos. En primer lugar, financieras. 

En 2019, el costo medio para una organización afectada por una violación de datos fue de 3.92 millones de dólares. La cifra es enorme porque obviamente los cibercriminales apuntan principalmente a las grandes empresas. Sin embargo, no faltan las consecuencias para las empresas más pequeñas. IBM explica que el costo medio de una violación es de 204 dólares por empleado, para empresas con al menos 25 mil empleados. Para empresas entre 500 y mil empleados, dicho costo asciende hasta 3.533 dólares.

Luego está el costo reputacional de un violación de datos. ¿Cuánto confiarían en una empresa que permite la violación de su información personal? Según IBM, las empresas afectadas pueden perder en promedio 1.42 millones de dólares por cada ataque. El estudio también destacó una pérdida anómala de consumidores del 3,9 por ciento tras las violaciones de privacidad. 

Finalmente, es necesario considerar los tiempos de recuperación para los datos que pueden haberse perdido o dañado tras un ataque. IBM estima que las consecuencias perjudiciales de las brechas de datos pueden manifestarse incluso después de más de dos años desde la violación. 

La violación de datos en el GDPR

Hemos hablado en muchas ocasiones del GDPR (por ejemplo aquí) el nuevo Reglamento general sobre la protección de datos de la Unión Europea, entró en vigor el año pasado. La norma prevé indicaciones específicas para las violaciones de datos, en particular sobre el comportamiento que deben adoptar las empresas afectadas.

En concreto, el reglamento habla de violación de datos en caso de destrucción, pérdida, modificación, divulgación no autorizada o acceso a los datos personales transmitidos, almacenados o de cualquier otra forma tratados. Por lo tanto, la definición es en este caso más amplia.

¿Qué deben hacer las empresas "afectadas" por la violación o que, de todos modos, la han provocado accidentalmente?

En primer lugar deben enviar una notificación al Garante de la Privacidad, dentro de las 72 horas desde el descubrimiento del violación. Cuando la violación implica un alto riesgo para los derechos de las personas, entonces la obligación de comunicación se extiende a todos los interesados.

Con carácter preventivo, el Responsable del tratamiento – la empresa o profesional que por cualquier motivo recoge datos con el consentimiento de los interesados – debe luego adoptar un preciso “Protocolo de respuesta”. Se trata de un procedimiento exacto a implementar en caso de que se produzcan episodios de destrucción o pérdida de datos, reuniendo el trabajo de los departamentos empresariales involucrados en el problema, así como las estructuras públicas competentes, como los ministerios, las empresas sanitarias, el Garante de la Privacidad, etc.

Para más información sobre la ciberseguridad, lee también: Seguridad en línea: 10 consejos para protegerse de hackers y "robos"