Una fuga de datos podría arruinar su marca y sus ingresos. Echemos un vistazo a los tipos más comunes de fugas de datos y cómo afectan a las empresas.
En los últimos años, hemos visto cientos de ataques que han vulnerado la privacidad de millones de usuarios. Desde hacks que han afectado a universidades y sus estudiantes, hasta fugas que han comprometido la información en hospitales, la lista realmente es ilimitada.
Tipos de fugas de datos
Información robada
Ransomware
Adivinación de contraseñas
Grabación de pulsaciones de teclas
Phishing
Software malicioso o virus
Denegación de servicio distribuida (DDoS)
La mayoría de las empresas no son inmunes a las fugas de datos, incluso si su software es tan sólido como Fort Knox. Las empresas e instituciones más importantes, desde Verizon hasta el NHS (el Servicio Nacional de Salud Británico) y Yahoo han enfrentado la exposición de los datos de los usuarios. El cumplimiento normativo intenta proteger la privacidad y los datos de los usuarios, pero los gobiernos pueden tener problemas para seguir el ritmo de los rápidos cambios en la tecnología y los delitos cibernéticos.
Entonces, ¿cuáles son los tipos de fugas de datos a las que debe prestar especial atención? Siga leyendo y comentaremos los siete tipos más comunes y cómo pueden afectar a su empresa.
Si bien puede pensar que esto suena ridículo, los humanos somos muy capaces de cometer errores y a menudo lo hacemos. Errores que pueden costarle a su empresa cientos de miles, si no millones, de dólares.
Incluso Apple ha sido víctima de fugas de datos cuando un empleado descuidó un prototipo de uno de sus nuevos iPhones. En tan solo unas horas, las especificaciones y el hardware del teléfono que todavía no se había lanzado estaban por todo Internet.
Que un empleado deje un equipo, teléfono o archivo en algún lugar equivocado y que lo roben es increíblemente común. Y podría comprometer no solo los nuevos prototipos que intenta ocultar sino también la información del cliente o paciente.
El ransomware es técnicamente un subtipo de software malicioso, pero vale la pena tratarlo por separado.
En un ataque de ransomware, de repente recibe un mensaje que indica que todos los datos de su teléfono o equipo ahora están cifrados, negándole el acceso a sus propios datos. Con el ransomware, el delincuente le dirá que le devolverán los datos y no los divulgarán al público si paga una cuota. Esto puede ir desde valores bajos hasta cientos de miles de dólares. El problema aquí es que está tratando con un delincuente admitido y pagar el rescate no garantiza que realmente recuperará sus datos o que no los darán a conocer más tarde.
Muchas empresas contratan soluciones de administración de riesgos para evitar la liberación o eliminación de materiales importantes o comprometedores.
Otro problema realmente simple, pero increíblemente dañino es cuando se roban las contraseñas. Esto sucede con más frecuencia de lo que se podría pensar. Algunas empresas dejan contraseñas de equipos anotadas en papelitos, permitiendo que cualquiera pueda acceder a ellas, por lo que algún empleado algo entrometido podría acceder a los archivos en otro lugar.
Muchas personas son hackeadas simplemente porque su contraseña era demasiado fácil o adivinable. Este tipo de fuga se llama ataque de fuerza bruta y es un método muy común entre los hackers. La gente suele usar contraseñas como el nombre de su calle, el nombre de su mascota o su cumpleaños, lo que puede facilitar el hackeo de sus cuentas.
De más está decir que, si alguien tiene su contraseña, puede entrar en sus archivos y encontrar cualquier tipo de información confidencial de su empresa.
Los ciberdelincuentes pueden insertar o enviarle por correo electrónico un malware llamado keylogger, que puede grabar lo que está escribiendo en su equipo. Los datos se devuelven a los hackers y se utilizan para acceder a datos confidenciales. Esto puede suceder en su lugar de empleo o en su equipo personal.
Cuando esto sucede, graban todo lo que está escribiendo, independientemente de que los caracteres aparezcan o no en la pantalla. Esto facilita que el perpetrador recoja contraseñas, números de tarjetas de crédito e información confidencial que pueda ingresar en una base de datos como nombres, datos de salud o casi cualquier otra cosa.
Esto se puede usar contra su empresa fácilmente, ya que inmediatamente tendrán sus contraseñas así como la información de la tarjeta de crédito de la compañía. Luego las usarán para encontrar y posiblemente dar a conocer información confidencial de la compañía.
Los ataques de phishing provienen de hackers externos que crean sitios que se ven increíblemente genuinos. Por ejemplo, pueden hacer un sitio que se parece a PayPal, y pedirle que inicie sesión en el sitio para un cambio necesario. Si inicia sesión sin darse cuenta de que no está simplemente iniciando sesión en su cuenta, puede terminar dándole su contraseña al hacker.
Este esquema es común en las universidades. Los estudiantes suelen recibir correos electrónicos de un tercero haciéndose pasar por la facultad pidiéndoles que confirmen sus datos de inicio de sesión. Una vez que lo hacen, el hacker tiene sus datos de inicio de sesión para hacer lo que le plazca con ellos. También hemos visto ataques de phishing dirigidos a aplicaciones Microsoft 365, sobre todo Exchange Online.
Una vez más, un esquema de phishing puede comprometer la seguridad de cualquier información confidencial que usted o su empresa posean.
Se envía software malicioso o virus a las personas con el objetivo de borrar todos los datos de su equipo. Esto puede ser perjudicial para cualquier empresa, especialmente para las que dependen de sus datos. Por ejemplo, si se enviase software malicioso a un hospital, podrían borrarse los datos de miles de pacientes. Esto podría derivar en una situación muy grave, retrasar el tratamiento o incluso significar la muerte de algunos pacientes.
Para prevenir este tipo de virus, no haga clic en nada cuya procedencia desconozca. Algunas empresas que requieren que los clientes actuales o potenciales les envíen información por correo electrónico les pedirán que no adjunten nada, sino que coloquen todo en el cuerpo del correo electrónico. Esto los protege de hacer clic por accidente en cualquier cosa que potencialmente pudiera borrar un servidor.
Este ataque suele estar destinado solo a empresas más grandes y suele ser una forma de protesta. Por ejemplo, si trolls justicieros como Anonymous deciden que no les gusta la forma en que está funcionando una compañía farmacéutica y sienten que se está aprovechando de los pacientes, pueden lanzar un ataque de denegación de servicio
Un ataque distribuido de denegación de servicio es cuando el ataque se lanza desde múltiples fuentes simultáneamente. Con este tipo de ataques, harán imposible que quienes trabajan inicien sesión en el sistema. Si los sitios son inaccesibles debido a todo el tráfico del ataque, los clientes no pueden acceder a los servicios de la compañía. Si bien los datos no necesariamente se pierden, obligan a la compañía a cerrar mientras se ocupan de la brecha de seguridad, potencialmente perdiendo negocios.
Este tipo de ataques no suele suceder a los individuos, ya que requiere una gran cantidad de recursos y un ataque muy coordinado.
No existe un método infalible para proteger a su empresa de ninguno de los tipos de fugas de datos mencionados anteriormente. Puedes capacitarse y capacitar a sus empleados sobre las consecuencias de las fugas de datos y la probabilidad de que alguien hackee el sistema.
También puede asegurarse de que sus empleados cambien sus contraseñas regularmente estableciendo interrupciones y temporizadores en las contraseñas. También puede recordar a sus empleados que mantengan la información confidencial que puedan llevar consigo fuera del trabajo lo más segura posible.
Para obtener más información sobre cómo proteger los datos de las aplicaciones SaaS y cómo Veritas puede ayudarlo a estar protegido contra los daños de este tipo de ataques, eche un vistazo a nuestras soluciones de protección de datos.
Póngase en contacto con nosotros si desea obtener más información sobre nuestras soluciones contra ransomware y cómo podemos proteger su negocio ante dichos ataques.