Como generar confianza en un mundo desconfiado (Artículo Extendido)

Los términos “Data Leak” y “Data Breach” (fuga de datos y filtrado de datos, respectivamente) han llegado para quedarse, formando parte de ese extraño grupo de anglicismos que parecen destinados a sumarse al acervo lingüístico de nuestra sociedad.

La fuga de datos es un claro indicador de compromiso sobre la exposición pública, sea como usuarios particulares, como marca, o unidad organizativa. Solo basta con una brecha de seguridad en nuestros frontales web, o un documento que ha sido filtrado desde dentro de la organización, para que los datos privados y/o de uso restringido, pasen a integrar otro origen de fuentes abiertas susceptible de ser explotada.

La criticidad de esta tipología de incidentes de seguridad acarrea un gran impacto económico, sumado a los costes asociados al proceso de mitigación. Para hacernos una idea más aproximada, IBM cifra las pérdidas en aproximadamente 150 dólares por dato filtrado, cuantificando un total de 3.9 millones de dólares en todos los casos analizados a lo largo del año 2019.

La fuga de información es un enemigo silencioso pero constante, y su frecuencia en los medios de difusión está experimentando una tendencia en alza. Realizando una sencilla búsqueda con la herramienta Google Trends, observamos que el volumen de noticias en España relacionadas con Data Breach ha alcanzado su máxima a finales del año 2019, cuando antes del año 2017 apenas se hablaba de ello.

En cuanto a la distribución geográfica de las búsquedas, se ha registrado un mayor grado de interés en la región de Cataluña, seguido de Madrid.

El último ejemplo reseñable de filtración masiva con gran impacto mediático, recayó sobre una cadena de establecimientos dedicada a la venta y distribución de material deportivo; la marca en cuestión sufrió una exposición de millones de datos internos, superando los 9 GB de información filtrada; entre los datos comprometidos se encontraban nombres de usuarios de empleados, contraseñas sin cifrar, números de seguridad social, nacionalidad, dirección, fecha de nacimiento, teléfonos y otros detalles personales.

Con independencia a la pérdida de control sobre los datos ¿Cómo puede afectarme la fuga de información?

Son muchas las acciones que puede emprender un atacante haciendo uso de fuentes públicas con datos privados.

Cuando se trata de información de usuario, un ejemplo recurrente es utilizar el método de sextorsión, que se traduce en la explotación sexual valiéndose de chantajes mediante correos electrónicos; para este método, el atacante utiliza los mails publicados y sus respectivas contraseñas para reforzar el timo, buscando que la víctima dude sobre la veracidad de la amenaza. Las finalidades de esta técnica pueden ser diversas:

  • Usurpar información comprometida,
  • Adquirir dinero a cambio de no difundir el contenido del mensaje,
  • Redirigirnos a un repositorio que aloje malware y por tanto vulnerar el equipo de la víctima para ganar persistencia.

Otro escenario distinto es cuando nos encontramos con datos bancarios filtrados, que generalmente acaban siendo duplicados y vendidos en canales de reventa por lotes, o la explotación indebida de la marca comercial que tengan un gran impacto sobre la propia imagen de la empresa.

¿Cómo podemos prevenirnos?

En materia de fuga de información, la experiencia nos dicta que el principal desencadenante sigue siendo el ser humano, tanto si hablamos de errores de codificación, del mal uso de herramientas de File Sharing (Wetransfer, Dropbox, Drive…), de deficiencias en los controles de acceso de usuarios externos, etc. Partiendo de esta premisa, consideramos como asignatura obligatoria la concienciación o, dicho de otra manera, que los usuarios de nuevas tecnologías no solo sean capaces de aplicar el sentido común, sino conocimientos actualizados sobre las amenazas más usuales, entre los cuales citamos:

  • Ser conscientes de los diferentes tipos de datos que podemos manejar como usuarios particulares o pertenecientes a una organización, para proteger debidamente aquellos que nos resulten críticos para el desarrollo de nuestras funciones.
  • Compartir información de uso restringido, personal y privado, mediante herramientas corporativas que sean seguras y autorizadas.
  • Hacer uso de diferentes credenciales para cada entorno que utilizamos, aplicando reglas de robustez para evitar trabajar con contraseñas débiles.
  • Cifrar el contenido de los dispositivos móviles (teléfonos y portátiles), evitando la captura de la información en caso de pérdida.
  • Suprimir por defecto todo correo que provenga de un servidor fuera de nuestro dominio, y que esté siendo utilizado para ejecutar suplantaciones de identidades.

Todas y cada una de las anteriores medidas conforman ejemplos prácticos de lecciones y buenas prácticas en el uso responsable de las TIC; pero no hemos de dejar que el peso recaiga únicamente en la formación continua, pues el éxito depende en gran medida de aplicar los mecanismos necesarios y adecuados a cada entidad. Una pieza importante en el engranaje preventivo la encontramos en el ámbito legal, desde el cual se han de proteger todas las acciones de los usuarios internos y proveedores externos mediante acuerdos de confidencialidad, incluyendo las respectivas sanciones en caso de incumplimiento contractual. Por último, necesitamos traducir el marco normativo al despliegue tecnológico, para ello es importante que la interrelación entre el departamento de ingeniería y el legal sea dinámica, actuando como una sola célula de conocimiento donde cada perfil profesional aporte su expertise para nutrir al conjunto del equipo. Un conjunto de herramientas a aplicar son las denominadas Data LossPrevention, y la buena noticia es que muchos Firewalls de última generación nos ofrecen estas aplicaciones de manera modular, un buen ejemplo de ello lo encontramos en productos Fortinet, que cuentan con protecciones denominadas Data Leak Prevention, tanto en productos desarrollados para proteger el entorno de mensajería (Fortimail) como para la línea de Firewalls (Fortigate).

Trabajar con la última tecnología del mercado, ser ágiles en la adaptación ante los cambios venideros, y sobre todo generar un frente común de defensa, son las claves del éxito en la batalla que se está librando en el ciberespacio; porque todos tenemos derecho a sentirnos protegidos, incluso en un mundo desconfiado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Follow by Email
LinkedIn