En un mundo digital en constante evolución, manejar las brechas y filtraciones de información de forma efectiva es clave para preservar la privacidad, mantener la integridad de los datos y garantizar la operatividad de empresas y gobiernos.
Por ejemplo, el gobierno de México ha sufrido varias brechas de información en los últimos años, exponiendo datos sensibles y afectando instituciones clave.
Destacan el ciberataque a la Consejería Jurídica en 2024, el Guacamaya Leaks en 2022, la filtración de datos de la Secretaría de la Función Pública en 2020, la exposición de información de periodistas en 2024 y la vulneración del padrón electoral en 2016.
Estas brechas han puesto de manifiesto las carencias en ciberseguridad dentro del gobierno mexicano. La insuficiente inversión en tecnología adecuada y la falta de protocolos efectivos para gestionar incidentes han dejado a las instituciones expuestas a ataques cibernéticos.
En 2024, el costo promedio por filtración alcanzó los 92 millones de pesos, lo que representa un incremento del 20.5% en comparación con el año anterior.
¿Pero qué constituye una brecha de información y por qué es importante para cualquier organización? Una brecha de información es un incidente en el que se accede a datos sensibles y confidenciales, exponiéndolos a un entorno no autorizado y no confiable.
Esta brecha puede ser intencional o accidental y, desde el punto de vista técnico, constituye una violación de los protocolos de seguridad de una organización o individuo.
En este tipo de incidente, una persona no autorizada puede copiar, transmitir, visualizar o robar información confidencial.
¿En este sentido, se está preguntando cómo defenderse de la creciente amenaza de ciberataques? Un paso clave para proteger los datos confidenciales de su organización es entender las causas principales de las brechas de información, algunas de las cuales se describen a continuación:
-Credenciales débiles y robadas: Aunque los ciberataques son comúnmente señalados como la principal causa de las brechas de información, los atacantes oportunistas a menudo explotan la vulnerabilidad de contraseñas débiles o datos personales comprometidos. Las estadísticas indican que el 80% de las violaciones de datos se deben en parte al uso de contraseñas débiles o robadas.
-Vulnerabilidades de puertas traseras y aplicaciones: La táctica más común entre los cibercriminales es aprovechar las vulnerabilidades en aplicaciones y puertas traseras. Cuando las aplicaciones de software son deficientemente desarrolladas o los sistemas de red están mal configurados, los atacantes pueden identificar brechas que les permiten acceder directamente a datos valiosos e información confidencial.
-Software malicioso: El uso de malware, tanto directo como indirecto, está en aumento. Los usuarios, a menudo sin intención, instalan software malicioso en sus sistemas, lo que otorga a los ciberdelincuentes acceso no solo para explotar el sistema afectado, sino también a los sistemas conectados. Este tipo de malware representa una amenaza significativa para la seguridad, ya que permite a los atacantes acceder a información confidencial y robar datos con fines económicos.
-Ingeniería social: Los ciberdelincuentes pueden eludir la creación de sus propios puntos de acceso al manipular a personas con acceso legítimo a la información, persuadiéndolas para que lo proporcionen. Las llamadas telefónicas, estafas de phishing, enlaces maliciosos (frecuentemente enviados por correo electrónico, mensajes de texto o redes sociales) y otras tácticas de ingeniería social se emplean para engañar a las personas y hacer que, sin saberlo, otorguen acceso o revelen información confidencial, como credenciales de inicio de sesión, a los atacantes.
Esta información puede resultar en filtraciones de datos, en las que los ciberdelincuentes reutilizan e intercambian detalles sensibles, como números de seguridad social o datos personales, para robar identidades y realizar actividades ilícitas.
-Permisos excesivos: Los permisos de acceso demasiado amplios y complejos ofrecen una oportunidad atractiva para los ciberdelincuentes. Las organizaciones que no gestionan de manera estricta los accesos internos pueden haber concedido permisos inapropiados a personas o dejado permisos obsoletos accesibles, lo que facilita su explotación por actores malintencionados. Esto aumenta el riesgo de amenazas internas y debilita las medidas de seguridad.
-Ransomware: El ransomware es un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático o a sus archivos hasta que se pague un rescate. Generalmente, cifra los archivos de la víctima o bloquea su sistema, dejándolo inoperable, y luego exige un pago (frecuentemente en criptomonedas) para restaurar el acceso.
-Configuración incorrecta y exposición a través de API: Una configuración inadecuada puede incluir problemas como contraseñas predeterminadas, puertos abiertos o cifrado débil. Estas debilidades crean vulnerabilidades que los ciberdelincuentes pueden explotar para acceder sin autorización a sistemas o datos, lo que puede derivar en brechas de seguridad y otras actividades maliciosas. Las configuraciones deficientes y las vulnerabilidades en la exposición de API representan riesgos significativos para la seguridad.
-Ataques DNS: Los ataques al sistema de nombres de dominio (DNS) son acciones maliciosas que buscan comprometer la infraestructura del DNS para modificar o manipular la resolución de nombres de dominio a direcciones IP.
Estos ataques pueden tener diversos objetivos, como interrumpir el servicio a través de ataques de denegación de servicio distribuido (DDoS), redirigir a los usuarios a sitios web fraudulentos o acceder de forma no autorizada a información confidencial.
La prevención de brechas de información requiere que las organizaciones y usuarios implementen medidas integrales para abordar todas las vulnerabilidades, desde los sistemas informáticos hasta el comportamiento de los usuarios.
Las prácticas clave incluyen la actualización y parcheo regular de software, pruebas periódicas de vulnerabilidad y penetración, y el cifrado de datos confidenciales tanto en redes locales como en servicios en la nube.
Además, es esencial usar protección antivirus actualizada, aplicar credenciales robustas y autenticación multifactor, y asegurar que todos los dispositivos cuenten con VPN de nivel empresarial.
También se deben establecer políticas claras de seguridad de datos, educar continuamente al personal sobre ciberseguridad, aplicar el principio de mínimo privilegio y tener un plan de respuesta a incidentes bien definido para actuar rápidamente en caso de una brecha.
----
Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.
