Te explicamos todo lo que necesitas saber sobre las brechas de datos

Últimamente hemos hablado bastante sobre las brechas de datos; esta década se ha caracterizado por el filtro/robo de información privada a empresas e instituciones. Casos como el de Yahoo en 2013 (el data breach más grande de la historia hasta el momento), o el de la cadena de Hoteles Marriott confirmado hace un poco más de una semana, nos obligan a responder preguntas como ¿Qué son las brechas de datos? ¿Cómo ocurren? o ¿Cuánto valen mis datos?. Las respuestas a continuación. 

¿Qué son?

En Nivel4 definimos los Data Breaches como la ruptura, accidental o intencional en la cadena de seguridad de una institución, que resulta en la destrucción, pérdida, alteración, divulgación o acceso no autorizado a la información transmitida, almacenada o procesada.

Muchas veces, el que una institución sufra un data breach deja a los datos que esta trabaja, datos personales, y muchas veces, sensibles, expuestos a cibercriminales, y muchas veces estos datos corresponden a información respecto de sus clientes, lo que los expone a riesgos de robo de identidad, de cuentas, de dinero, de fraudes o incluso de ataques físicos.

Los data breaches dañan enormemente la reputación de las instituciones que los sufren, pues hacen que sus clientes actuales y potenciales pierdan la confianza en ella.

¿Cómo ocurren?

Lo cierto es que las formas que pueden dar paso a un data breach pueden ser bastante diversas. Dentro de los principales riesgos para las compañías, están los ataques mediante Ingeniería Social, los hackeos que pueden realizar cibercriminales a las infraestructuras de resguardo de las organizaciones, los ataques de actores maliciosos internos en las mismas instituciones, el malware que puede robar datos, los ataques físicos, e incluso los data breaches pueden deberse a errores humanos, como configuraciones deficientes, pérdida de equipos, etc.

Todo lo anterior desemboca en que los criminales puedan robar credenciales de acceso, desencriptar contraseñas débiles, hallar y aprovechar vulnerabilidades en las redes o equipos, instalar malware en algún dispositivo que integre la cadena de custodia de los datos, e infectar las redes, todo en búsqueda del nuevo oro: la información.

En una operación de robo de datos, los criminales siguen, típicamente, los siguientes pasos:

  • Investigación y recopilación de información, donde el criminal busca debilidades en la cadena de seguridad de la institución
  • Ataque, que se realiza iniciando el contacto a través de medios técnicos, dirigiéndose a la infraestructura, los sistemas, aplicaciones o redes de la institución, o a través de Ingeniería Social, convenciendo mediante manipulación, engaño e influencia a empleados y miembros de la institución a revelar información o efectuar acciones que permitan al criminal obtener acceso a los datos.
  • Exfitración de los datos: Una vez que los criminales obtienen acceso a los datos, se encarga de descargarlos.

Muchas veces, sin embargo, las mismas instituciones son las que, debido a configuraciones deficientes dejan los datos a la disponibilidad de los criminales, y éstos no tienen que molestarse “trabajando” para obtenerlos. Muchas veces los datos quedan “llegar y llevar”, expuestos en la internet.

¿Quién los provoca?

Es importante hacer distinciones. Quienes roban los datos son criminales, que los buscan para venderlos, o espías de naciones-estado, que los buscan para realizar operaciones de inteligencia y guerra cibernética. Pero quienes son responsables de custodiar los datos que les entregamos son las instituciones que los reciben. Su negligencia permite que los criminales se hagan de ellos. En este caso es más patente que nunca el viejo dicho “la ocasión hace al ladrón”.

¿Quién los financia?

Aunque no lo crean, existe un gran mercado para la información personal y los datos. Éstos se transan en mercados negros de la darknet y otros. Entonces muchos criminales provocan los data breaches para adquirir datos que luego ponen disponibles a la venta en estos mercados. Los compran otros cibercriminales que con ellos pueden robar identidades, dinero, efectuar compras fraudulentas, etc.

Hay tres formas principales de comprar y vender información personal en la web oscura:

– Compra de los datos de una sola vez, como un número de Seguro Social

– Compra de datos por montones, lotes de los mismos tipos de información pero de diferentes personas

– Comprade datos agrupados. Éste es el paquete «premium» para ladrones de identidad, ya que incluye varios tipos de información que se agrupan y se pueden cruzar

Hay cuatro factores principales que determinan el costo de la información que se compra y se vende en la darkweb:

Tipo de datos y la demanda de dichos datos: como se mencionó anteriormente, diferentes tipos de información pueden aportar diferentes valores monetarios.

Suministro de datos: el principio económico de oferta y demanda se aplica a los delincuentes que compran y venden información robada. Si hay un suministro más bajo de información particular disponible para la compra, entonces esa información es más valiosa para los ladrones.

El saldo de las cuentas: ya sea en dólares o en puntos de una cuenta, cuanto mayor sea el monto que se puede tomar, mayor será el costo de la información robada.

Límites o la capacidad de reutilización: si algo tiene un límite más alto o se puede reutilizar varias veces, es más valioso para los estafadores. Alternativamente, la información que tiene límites bajos para usar o robar y que solo se puede aprovechar una vez es menos valiosa.

¿Cuánto valen mis datos?

Hemos hablado de que existe todo un mercado para los datos, con oferentes y demandantes que acuerdan en valores para los datos que transan ilegalmente. Si ni te imaginas cuál es el valor de tus datos, comienza a replanteártelo. Aquí están los precios:

Número de Seguro Social: $1

Tarjeta de crédito o débito (las tarjetas de crédito son más populares): $5- $110

Con número de CVV: $5

Con información bancaria: $15

Información de Fullz: $30

*Nota: Fullz info es un paquete de información que incluye un paquete «completo» para los estafadores: nombre, SSN, fecha de nacimiento, números de cuenta y otros datos que los hacen deseables, ya que a menudo pueden causar muchos daños inmediatos.

Información de inicio de sesión de servicios de pago en línea (por ejemplo, Paypal): $20 – $200

Cuentas de membresías: $20

Servicios de suscripción: $1 – $10

Diplomas: $100- $400

Licencia de conducir: $20

Pasaportes (US): $1000 – $2000

Registros médicos: $1 – $1000 *

* Dependiendo de qué tan completos estén, así como si es un registro único o una base de datos completa

Ésos son valores de mercados negros, pero hoy en día los datos no sólo se transan de forma ilegal. Las mismas compañías que almacenan y procesan nuestros datos, lucran con ellos. El ejemplo más evidente es el caso de Facebook, quien los utiliza para vender publicidad altamente dirigida, y para otras prácticas incluso más oscuras… Lo último que supimos de Facebook es nefasto.

¿Qué industrias están más expuestas?

El escenario es cada vez más peligroso para los datos, pues éstos aumentan su valor a medida que pasa el tiempo. Por un lado, son cada vez más demandados por industrias para hacer análisis de datos y así determinar el curso de los mercados. Por el otro, son cada vez mejor utilizados por criminales, pues a medida que pasa el tiempo, más se puede hacer con ellos. Cada vez existen más servicios que funcionan en línea, y por ende, más fácil es crear falsas cuentas en servicios de internet y obtener diversos tipos de beneficios, más fácil es robar identidades, y más fácil se hace obtener dinero a partir de esta información.

Es por esto que, mientras más datos transen, almacenen o procesen las industrias, más expuestas están a sufrir data breaches. En particular, la banca, el retail, la salud, previsión social, el sector público y entidades educativas, por nombrar algunas, son entidades que suelen ser los blancos predilectos de cibercriminales.

¿Cómo nos pueden afectar?

Los data breaches causan un enorme daño reputacional y financiero a las instituciones que son víctimas de ellos. Muchas veces las empresas que los han sufrido ven una caída estrepitosa en los precios de sus acciones, que es un reflejo de la tremenda pérdida de confianza de parte de clientes, inversionistas, y el público, que experimentan.

Pero a niveles humanos, los data breaches pueden afectar profundamente a las personas, quienes pueden ser víctimas de robos minúsculos, casi imperceptibles, o pueden ver caer sus enteras identidades ante la mano de criminales inescrupulosos. Pueden causarnos pérdidas financieras enormes, interrumpiendo el curso de nuestras vidas.

¿Medidas para prevenirlos?

Desde el punto de vista de las instituciones que almacenan, procesan y transmiten los datos, se deben tomar medidas de seguridad que guardan estrecha relación con las normas básicas de higiene de ciberseguridad, desarrollo seguro y aseguramiento de los datos y éstas son su responsabilidad. Dado que así es, se han elaborado diferentes normas que regulan el tratamiento de los datos, y de a poco se irá volviendo mandatorio que empresas e instituciones se adscriban a ellas.

Desde el punto de vista personal, también hay normas de higiene en ciberseguridad, como no reutilizar contraseñas, por ejemplo, no otorgar tus datos a menos que sea realmente necesario, etc. Sin embargo, y nuevamente, quienes almacenan, procesan y transmiten estos datos son los encargados y responsables de su custodia.