Como responsable del tratamiento de datos personales, tu empresa está en el deber de aplicar medidas técnicas y organizativas para garantizar la seguridad de los mismos. Según el artículo 32 del Reglamento General de Protección de Datos (RGPD), el nivel de seguridad debe equipararse a los riesgos del tratamiento. Entre ellos, la comunicación o acceso no autorizados a los datos. Es decir, a la fuga de datos.
El conocimiento público de este tipo de incidentes merma la confianza de los clientes en las empresas a las que han confiado su información personal. Sin embargo, también es un deber de las compañías comunicarlo responsablemente a las autoridades de control y a los afectados.
Los ciberdelincuentes dedicados a descubrir las vulnerabilidades de las medidas de protección de datos sacan mucho provecho de sus delitos. Por lo que la seguridad personal y patrimonial de las víctimas se pone en riesgo. Sigue leyendo para conocer un poco más sobre la fuga de datos, por qué se produce y cómo puedes evitarla.
¿Qué es la fuga de datos?
Cuando ocurre una transmisión no autorizada de la información gestionada al interior de una empresa hacia un destinatario externo o interno, estamos en presencia de una fuga de datos. Antes, tales fugas solo eran físicas. Ahora, con el desarrollo de las tecnologías de la información e Internet, estas transmisiones son mayormente digitales y pueden producirse de forma accidental o intencional. Asimismo, podemos incluir como fuga de datos el acceso fraudulento de actores maliciosos a los sistemas de organizaciones y personas para extraer datos valiosos.
Aunque ampliaremos más adelante sobre esto, generalmente una fuga de datos tiene lugar cuando un trabajador de la empresa comparte datos con un tercero o deja una brecha de seguridad que permite al ciberdelincuente el acceso a datos no permitidos. Cualquiera de estas acciones puede ser deliberada o involuntaria. Muchas de las fugas de datos se producen por accidente, pero igualmente –y muy frecuentemente– por la vulnerabilidad de las medidas de seguridad. Así, el ciber pirata que accede a los datos no necesita esforzarse mucho para obtenerlos.
Irregularidades de este tipo producen efectos devastadores en el prestigio de una empresa. Y, aparte de las demandas que pueda enfrentar, la expone a multas cuantiosas previstas en la normativa de protección de datos.
¿Qué tipos de información son susceptibles de una fuga de datos?
Dependiendo del sector al que pertenezca y su magnitud, una empresa puede captar y tratar alguno o varios tipos de datos críticos. Los de mayor interés para los ciberdelincuentes son:
- Información personal: nombre, dirección, número de teléfono, correo electrónico y nombres de usuario en cuentas y aplicaciones de una persona.
- Actividad en Internet: hábitos de navegación, detalles de uso, historial de compras y pagos, etc.
- Datos financieros: contraseñas de acceso a banca electrónica, números de cuentas y de tarjetas de crédito, movimientos bancarios, facturas y formularios de impuestos, entre otros. Estos suelen ser los más susceptibles a la fuga de datos.
- Detalles sobre el estado de salud de las personas: diagnósticos, detalles de tratamientos, resultados de analíticas y pruebas, recetas, etc.
- Propiedad intelectual: patentes, información confidencial corporativa, listas de clientes, contratos, planos y otros.
- Datos internos de las organizaciones: acuerdos, estadísticas, proyecciones, grabaciones de audio y vídeo-conferencias, hojas de ruta, correos electrónicos, protocolos y más.
¿Cómo puede producirse una fuga de datos?
Una extracción fraudulenta de datos puede producirse cuando los mismos están:
- Siendo transmitidos mediante emails, chats, llamadas a la API, etc.
- Almacenados en una nube mal configurada, en bases de datos con seguridad deficiente y hasta en dispositivos externos (USB).
- En uso, mediante impresiones, capturas de pantalla, portapapeles, etc.
Pero, para hablar de las causas de la fuga de datos es necesario hacer una clasificación de estos incidentes. Los expertos reconocen los siguientes tipos:
Fuga de datos accidental
Como ya dijimos, es la clase más común de estos eventos. Por lo general, ocurren cuando un empleado de confianza de una organización comparte, sin saber y sin querer, datos confidenciales con un usuario no autorizado. Los ejemplos más frecuentes de fugas de información accidentales son:
- Enviar correos electrónicos y/o por aplicaciones de mensajería con datos críticos al destinatario equivocado.
- Transferir datos de la empresa a un dispositivo personal USB y extraviar la unidad.
- Perder los archivos.
- Dejar encendido el ordenador sin la protección adecuada por contraseña.
- Olvidar un documento impreso o en proceso en la bandeja de la impresora.
Deliberadas y malintencionadas a lo interno
Como su nombre lo indica, es una fuga de datos perpetrada intencionalmente por un empleado con privilegios de acceso. Este emplea sus permisos para extraer datos o archivos de la empresa. Por ejemplo, cuando ocurren filtraciones de documentos confidenciales mediante:
- Envíos de datos a una cuenta de nube personal.
- Transferencia de datos a unidades personales USB.
- Fotografías de información sensible y escaneo de datos y códigos, usando el móvil.
Este delito suele ser ejecutado por empleados descontentos, pero también hay muchos que lo hacen buscando un beneficio económico. Para ello, intentan vender esos datos a la competencia u ofrecerlos en la dark web.
Configuración deficiente de TI
Aunque no lo creas, hasta en las grandes empresas puede suceder que los sistemas queden mal configurados, facilitando la fuga de datos. En este sentido, los errores más frecuentes son:
- Configuración deficiente de integraciones con herramientas de terceros.
- Fallos en los controles de seguridad.
- Exceso de accesibilidad a los archivos confidenciales.
- Bases de datos con errores de configuración.
- Igualmente, mala configuración de los servicios de almacenamiento cloud de datos.
De hecho, durante el confinamiento por la pandemia del Covid-19, en 2020, hubo un repunte de las fugas originadas en la desconfiguración. Sobre todo, debido a la repentina conversión al trabajo remoto y otros cambios a lo interno de las organizaciones.
Ataques externos
Esta forma de extraer datos confidenciales de las empresas es perpetrada por individuos sin relación con las mismas. Por lo general, estos sujetos engañan a los empleados para que compartan datos sensibles. Muchas veces, la táctica del atacante es usar la ingeniería social para persuadir a la víctima de transferir los datos. Otras veces, la extracción de datos se obtiene mediante la infección de los sistemas con un malware o por inyección de códigos.
¿Cómo puedes evitar la fuga de datos?
En primer lugar, no puedes esperar a que ocurra un incidente de extracción de datos accidental ni deliberado. Es imprescindible tomar medidas exigentes para resguardar los datos de la empresa, de los clientes y los proveedores. Entre ellas:
Identificar y clasificar los datos
Implementa procesos para identificar el software, las soluciones y plataformas que emplea tu compañía. A partir de allí, identifica los datos y dónde se almacenan, para, posteriormente, clasificarlos en términos de riesgo. Del mismo modo, puedes clasificar los secretos internos y la información de red.
Cifrar los datos
En esencia, este proceso puede efectuarse en dos intervalos: en reposo y en tránsito. Si no efectúas ninguno de los dos tipos de cifrado, tus datos son susceptibles de ser extraídos por ciberdelincuentes. Por lo que es recomendable que cuentes con soluciones que cifren los datos en ambos lapsos y no sólo en tránsito.
Contar con una política de seguridad de datos definida y estricta
Esto incluye la limitación de los accesos a los datos confidenciales y la prohibición de uso de unidades de almacenamiento externo (USB). Al igual que el uso de contraseñas seguras y la realización de copias de seguridad. Más aún, es prioritario proporcionar formación y actualización constante al personal relacionada con la protección de datos.
Invertir en software de seguridad
Lo más aconsejable es contratar un paquete de seguridad integral original, que cuente con antivirus, antimalware, antiespías, firewall, etc. que dificulte el acceso a los datos en caso de eventuales ataques externos. Esto es lo más esencial para evitar una fuga de datos.
Te asesoramos en materia de protección de datos
En Legal Veritas, somos consultores y proveedores de servicios para la adaptación de páginas web y demás canales digitales a la normativa de protección de datos. Por tanto, también estamos capacitados para asesorarte en materia de seguridad para los datos de tu empresa. Incluso, realizamos análisis de vulnerabilidades, así como la evaluación de impacto y el análisis de riesgos contemplados en el RGPD. ¡Consúltanos y protege a tu empresa de una eventual fuga de datos!
Deja una respuesta