La creciente amenaza de las brechas de datos

Los ciberdelincuentes están apuntando a fuentes de datos más diversas, para venderlas y utilizarlas para extorsión. El primer artículo de nuestra nueva serie de ciberseguridad, “Secuestro de datos, ataques y más: La evolución de las ciberamenazas en pandemia”, analiza cómo la crisis sanitaria ha acelerado tanto la evolución de los ataques como los sistemas de protección dentro de las organizaciones.

A diferencia del impacto que ha tenido la pandemia del COVID-19 en los hábitos y rutinas de la mayoría de la sociedad, los ciberdelincuentes no han sufrido mayores cambios en sus actividades. En 2020, la firma de seguridad Risk Based Security (RBS) descubrió que, si bien las vulnerabilidades de datos divulgadas públicamente disminuyeron en un 48%, el volumen de registros que se vieron comprometidos aumentó en un 141%. Esto representó un total de 37 mil millones de registros robados, en comparación con los 15 mil millones en 2019, un gran incremento que se debe al mayor alcance de datos que los criminales modernos están apuntando. Las medidas establecidas para contener la pandemia han facilitado que los atacantes roben nuestra información. Un aspecto crítico ha sido la modalidad del teletrabajo, que ha generado oportunidades para los ciberdelincuentes más experimentados: los empleados están usando sus computadoras personales, conectados a redes domésticas con poca seguridad y usando más Internet, lo que aumenta la exposición a información laboral.

Según RBS la cantidad de registros robados incrementó en un 4,379% entre 2015 y 2020, siendo muy probable que esta cifra aumente de manera significativa, debido a que muchas empresas adoptaron el teletrabajo como una opción para sus colaboradores después de la pandemia. Desafortunadamente, los sistemas descentralizados dificultan que las organizaciones respondan de manera rápida a las filtraciones de datos.

La posibilidad de una filtración o brecha de datos es una de las tres amenazas emergentes que las empresas deben considerar cuidadosamente al planificar su entorno operativo después de una pandemia. Los otros dos, que se explican en el resto de la serie, analizan cómo los ciberdelincuentes están robando los datos físicos de las personas y la constante evolución de las amenazas. Los ciberdelincuentes cada día son más sofisticados para robar información y no existe una forma efectiva para que la mayoría de las empresas se protejan al momento de enfrentarse a un ataque.

Más dispositivos, más vulnerabilidades

Antiguamente, los atacantes se focalizaban en los números de tarjetas de crédito y seguros sociales, presionando a las empresas a desarrollar estrategias eficaces para proteger este tipo de información. Hoy en día los ciberdelincuentes se están volviendo más creativos a medida que se crean más dispositivos para operar a través de Internet.

Por ejemplo, los termostatos de la casa: los datos almacenados en termostatos "inteligentes" pueden ayudar a los delincuentes a identificar los horarios de comportamiento, identificando cuándo los usuarios pueden estar en casa o no, según el ajuste de temperatura ambiente. De esta forma, los atacantes pueden utilizar esta información para planificar otro tipo de actividades.

Además, la investigación ha demostrado que algunos termostatos inteligentes tienen vulnerabilidades que, al momento de verse comprometidas, permiten a los ciberdelincuentes monitorear la actividad en la red en la que el termostato está encendido, facilitando el acceso de la información. Con toda la variedad de dispositivos de Internet de las cosas (IoT) que están instalados dentro de los hogares y empresas, la variedad de datos a los que puede acceder se ha convertido en un actor de amenazas que ha crecido exponencialmente.

Esta gran cantidad de dispositivos y aplicaciones conectados a Internet ha demostrado que proteger un único punto de entrada no es suficiente para estar seguro. Los atacantes se han vuelto más expertos en juntar trozos de información para formar una visión más completa de la vida de una persona. Es posible que tengan información del GPS de un teléfono celular, fotos que tomaron de las redes sociales e información de compra de una tarjeta de crédito. Al tener toda esta información, los atacantes pueden aprender mucho sobre la personalidad de su objetivo, su familia y cómo pasan sus días, y luego usarlo para explotar las debilidades de su víctima.

Teniendo a las personas como rehenes

Los actores de amenazas usan toda la información obtenida para crear estafas más personalizadas. Por ejemplo, un registro médico que está lleno de información sensible y específica sobre un individuo, ahora es mucho más valioso para los atacantes que un número de tarjeta de crédito. Según un proveedor de ciberseguridad especializado en detección y respuesta de amenazas, un registro de datos de atención médica podría generar hasta 250 dólares en el mercado negro, mientras que un número de tarjeta de crédito puede costar solo 5,40 dólares. Si un ciberdelincuente sabe que una persona tiene una determinada enfermedad, puede crear un correo electrónico, que parezca que el remitente sea el médico de la persona. Es mucho más probable que la víctima abra un correo que parezca provenir de una fuente confiable a un correo electrónico común de phishing.

Hoy en día los actores de amenazas apuntan tanto a las personas como a las empresas. Muchos están utilizando sofisticadas campañas para engañar a las personas para que instalen malwares en su red, que luego se utilizan para apagar sus sistemas/redes – que luego los atacantes prometerán volver a iniciar a cambio de un rescate. En 2020, Deloitte observó un fuerte aumento de estos ataques de ransomware en todas las industrias. El monto de las demandas en rescates también aumento, incluyendo algunas por varios millones de dólares.

Estos ataques pueden ser devastadores, ya que básicamente retienen a una persona o empresa como rehén hasta que se paga un rescate. Si una empresa no paga dentro de cierto período de tiempo, los atacantes podrían comenzar a divulgar información confidencial o informar a sus clientes, proveedores y/u otras personas que la organización se ha visto comprometida.

¿Más protección en un futuro?

En los últimos años, han entrado en vigor nuevas leyes y reglamentos sobre cómo las empresas deben proteger la información que tienen a cargo. Estas incluyen leyes y requerimientos de privacidad, que se relacionan con la forma en que las organizaciones deben proteger la información personal -como es el Reglamento general de protección de datos (GDPR) de la Unión Europea- y regulaciones o normativas específicas de ciberseguridad y continuidad para las empresas en distintas industrias como son como las establecidas por la comisión del mercado financiero (CMF) para la industria financiera, las del Coordinador Eléctrico Nacional para los regulados en la industria eléctrica (basado enNERC), o incluso la Norma de Carácter General 278 de la Superintendencia de Pensiones. Las leyes de privacidad y ciberseguridad se están actualizando a nivel mundial y local para aumentar las obligaciones y multas para las organizaciones que no cumplen.

Los ciberataques también pueden tener un impacto legal significativo dentro de una organización. En muchos casos, las víctimas de una filtración de datos suelen iniciar una demanda colectiva, acusando a la empresa de no hacer todo lo posible para proteger su información y de no responder de manera adecuada al incidente. En Canadá se están introduciendo multas para las empresas que no respetan la privacidad y las obligaciones de notificación de incumplimiento, mientas en Chile se encuentra con poco movimiento el Proyecto de Datos Personales en el Congreso, otros actores como el Ministerio de Economía a través del Sernac, está promoviendo incluir la protección de datos personales de los consumidores en una reforma pro consumidor (Boletín 12.409), que ya se encuentra ad-portad de ser aprobada (Tercer Trámite Constitucional). Para mitigar su riesgo cibernético, es importante que las empresas sigan no solo sus obligaciones legales, sino también las prácticas líderes de su industria.

El objetivo de las regulaciones futuras será dar más control a los individuos sobre su información personal y proveer a las Organizaciones más claridad acerca de sus obligaciones para proteger su información.

Revisar las prácticas de protección de datos

Hay varias acciones que los líderes empresariales pueden hacer para proteger su empresa, colaboradores y clientes. La primera es averiguar qué tipo de información atraería a los actores de amenazas y qué datos confidenciales, de ser robados, podrían ocasionar daño a la reputación, estado financiero u operación de la Compañía. El siguiente paso es determinar qué tipo de leyes o requisitos regulatorios, legislativos o comerciales se deben seguir para proteger esa información. Luego, aplicar las buenas prácticas de la industria para cubrir cualquier brecha que no se refleje en las regulaciones generales.

A continuación, los líderes deben observar lo que su organización está haciendo actualmente y cómo esto se compara con los requerimientos que deben acatar. La mayoría descubrirá una brecha que deberán cerrar, lo que pueden hacer desarrollando una hoja de ruta de varios años con hitos, para asegurar su avance, e ir incorporando cualquier requisito nuevo que pueda surgir con el tiempo.

También es importante educar a los colaboradores sobre la importancia de la ciberseguridad, especialmente ahora que muchos pueden estar trabajando desde casa, y asegurarse de que tengan las herramientas adecuadas para hacer su trabajo de manera segura, de modo que no estén usando tecnología personal, que puede que no tenga las protecciones adecuadas.

Trabajar con una organización especialista que pueda ayudar a desarrollar un plan de ciberseguridad sólido y a responder a los ataques es fundamental, especialmente cuando los ciberdelincuentes se vuelven más sofisticados con el paso del tiempo. Si bien la protección mejora constantemente, la amenaza de un ataque nunca desaparecerá.

En el próximo artículo “Robo de datos físicos en un mundo digital”, exploraremos cómo el trabajo desde casa aumenta el riesgo de un incidente de ciberseguridad.

Contactos

Nicolás Corrado
Partner Leader, Cyber and Strategic Risk

Carolina Pizarro
Director, Cyber Risk

Juan Pablo Gonzalez
Senior Manager, Risk Advisory

Agradecimientos

Adrian Cheek
Manager, Threat Intelligence & Threat Hunting, Deloitte Cyber Intelligence Centre

Hélène Deschamps Marquis
Partner and National Leader, Data Privacy and Cyber Security Law Practice

Beth Dewitt
Partner and National Leader, Data Protection and Privacy and Board Director