Por qué las filtraciones de datos se dispararon en 2023
por Stuart Madnick
Durante muchos años, las organizaciones se han esforzado por protegerse de los ciberataques: las empresas, las universidades y las agencias gubernamentales han gastado enormes cantidades de recursos para protegerse. Pero a pesar de esos esfuerzos, las filtraciones de datos —en las que los piratas informáticos roban datos personales— siguen aumentando año tras año: hubo un aumento del 20% en las filtraciones de datos de 2022 a 2023. Algunas de las tendencias en torno a este repunte son preocupantes. Por ejemplo, a nivel mundial, había el doble del número de víctimas en 2023 en comparación con 2022, y en Oriente Medio, la actividad de bandas de ransomware aumentó un 77% en ese mismo período de tiempo.
¿Por qué este ciberdaño continúa y se ha ampliado a pesar de todos nuestros esfuerzos? ¿Y qué podemos hacer? Basado en lo que hemos aprendido en mi grupo de investigación, hay tres razones principales detrás de este aumento del robo de datos personales: (1) mala configuración de la nube, (2) nuevos tipos de ataques de ransomware y (3) aumento de la explotación de los sistemas de los vendedores. Afortunadamente, hay formas de reducir el impacto de cada uno de estos factores.
Error de configuración en la nube
El uso del almacenamiento en la nube tiene muchas ventajas para las empresas, como las que ofrecen Amazon, Google, Microsoft y otros: rentabilidad, seguridad, facilidad para compartir datos, sincronización, comodidad, escalabilidad y recuperación ante desastres, por nombrar solo algunas. Es comprensible que las empresas pongan cada vez más datos en la nube. Se estima que más del 60% de los datos corporativos del mundo está almacenado en la nube.
Eso convierte a la nube en un objetivo muy atractivo para los hackers. En 2023, más del 80% de las filtraciones de datos involucraron datos almacenados en la nube. No es solo porque la nube sea un objetivo atractivo. En muchos casos, también es un blanco fácil debido a una mala configuración de la nube, es decir, las empresas hacen un uso indebido de la nube sin querer, por ejemplo, permiten un acceso a la nube excesivamente permisivo, tienen puertos sin restricciones y utilizan copias de seguridad no seguras. Según la NSA «Los errores de configuración de la nube son la vulnerabilidad de nube más frecuente» y los piratas informáticos pueden aprovecharla para acceder a los datos y servicios de la nube.
¿Por qué la gente comete esos errores?
Esto se debe a varias razones interrelacionadas: muchas empresas se han mudado recientemente a la nube, por lo que no tienen muchos años de experiencia; para satisfacer las demandas de los clientes y la competencia, los proveedores de nube aumentan continuamente sus funciones y, en consecuencia, aumentan su complejidad; además, existe el deseo de que la nube sea fácil de usar, de modo que los proveedores de nube ofrezcan configuraciones más permisivas por defecto. Como resultado, es posible que los usuarios no se den cuenta de todos los ajustes y de si parte o la totalidad de su almacenamiento de datos está expuesto abiertamente a la Internet pública.
Qué se puede hacer.
Hay mucho de verdad en el viejo refrán: «La prisa genera despilfarro». En el esfuerzo por hacer una transición rápida a la nube y lanzar nuevas aplicaciones, las empresas suelen tomar atajos y no dedican suficiente tiempo a confirmar que la configuración de la nube está configurada correctamente. Los titulares decían con frecuencia: «Esto no debería haber ocurrido». Tómese el tiempo necesario para comprobar cuidadosamente que el almacenamiento en la nube se utiliza correctamente.
Nuevos tipos de ataques de ransomware
Casi todo el mundo ha oído hablar de los ataques de ransomware. Es entonces cuando los piratas informáticos entran en su ordenador y «bloquean» sus datos codificándolos criptográficamente y exigiendo que pague un rescate para obtener la clave de descifrado necesaria para liberar sus datos. En este tipo de ataque de ransomware, los datos no se extraen realmente, sino que permanecen en su ordenador, pero no puede utilizarlos. A medida que las empresas han mejorado en el mantenimiento y el uso de las copias de seguridad para poder recuperar los datos utilizables sin tener que pagar un rescate, el ransomware parecía convertirse en una amenaza menor. De hecho, hubo una ligera reducción en 2022. Pero la realidad es que los ataques de ransomware han vuelto a aumentar y se han hecho más peligrosos.
Son más peligrosos porque, para contrarrestar la posibilidad de que la víctima se niegue a pagar el rescate porque los datos se pueden recuperar de los archivos de respaldo, los atacantes hacen una copia de los datos antes de cifrarlos en los ordenadores de la víctima. Luego, lanzan una amenaza adicional: pague el rescate o empezaremos a divulgar públicamente sus datos privados, básicamente con ambos chantaje y_¡secuestro!_ En este tipo de ataque de ransomware, hay una violación de datos real y es mucho más probable que se divulguen enormes cantidades de datos.
Además, el número de ataques de ransomware ha aumentado debido a la aparición de bandas de ransomware y «El ransomware como servicio». Básicamente, los desarrolladores iniciales de ransomware franquician su malware para que otros delincuentes puedan iniciar ataques de ransomware de forma más fácil (y atractiva desde el punto de vista económico). En nuestra investigación, hemos visto muchos tipos diferentes de acuerdos de franquicia, desde la simple compra del malware de ransomware hasta las cuotas de alquiler mensuales y el reparto del botín.
¿Por qué la gente comete esos errores?
Ambos fallos se deben principalmente a un cierto grado de ingenuidad o desconocimiento por parte de los usuarios. A menudo se supone que los métodos de protección que utilizan, como los firewalls, la identificación multifactorial y demás, mantendrán alejados a los atacantes, por lo que el robo de datos no es motivo de preocupación. Del mismo modo, puede parecer más sencillo procesar datos sin cifrar, por lo que optan por no complicar las cosas cifrándolos.
Qué se puede hacer.
Ser diligente y eficaz a la hora de hacer copias de seguridad de todos los datos y ser rápido y eficaz a la hora de restaurarlos sigue siendo importante para hacer frente a los ataques de ransomware tradicionales. Para abordar el riesgo adicional de que sus datos privados queden expuestos públicamente, debe impedir que el atacante extraiga los datos de su sistema, normalmente llamado exfiltración, y luego poder exponer esos datos.
En el primer caso, las transferencias de datos a sitios ajenos a sus sistemas deben supervisarse y las transferencias ilícitas deben detenerse rápidamente. Lamentablemente, esto no se hace con frecuencia. En el segundo caso, los datos de sus ordenadores deberían almacenarse en formato cifrado para que solo usted pueda leerlos. Así que, aunque el atacante sea capaz de extraer sus datos, no se pueden leer ni utilizar como chantaje.
Explotación de los sistemas de los vendedores
La mayoría de las empresas han aumentado la ciberprotección de sus «puertas principales» mediante medidas como cortafuegos, contraseñas más seguras, identificación multifactorial y demás. Por lo tanto, los atacantes buscan otras formas —y a veces más peligrosas— de conseguirlo. A menudo, eso significa entrar a través de los sistemas de los vendedores.
La mayoría de las empresas dependen de los proveedores para que las ayuden, desde el mantenimiento del aire acondicionado hasta el suministro de software, incluidas las actualizaciones automáticas de ese software. Para ofrecer esos servicios, estos proveedores necesitan un fácil acceso a los sistemas de su empresa, a las que llamo «puertas laterales». Sin embargo, estos vendedores suelen ser pequeñas empresas con recursos de ciberseguridad limitados. Los atacantes aprovechan las vulnerabilidades de los sistemas de estos proveedores. Una vez que tengan cierto control sobre los sistemas de los proveedores, pueden utilizar la puerta lateral para entrar en los sistemas de sus clientes.
A menudo se denominan «ataques a la cadena de suministro». De hecho, no solo se puede atacar a un cliente, sino a todos los clientes que utilizan los servicios de ese proveedor. Por lo tanto, una sola vulnerabilidad puede amenazar a muchos miles de organizaciones, como en el ataque MoveIt de 2023, en el que ya hay más de 2600 empresas en más de 30 países admitidos a ser atacado, con los datos de más de 80 millones de personas en peligro. De hecho, el 98% de las organizaciones tienen una relación con un proveedor que ha sufrido una violación de datos en los últimos dos años. En algunos estudios, el número de datos comprometidos debido a los ataques a la cadena de suministro en 2023 subió un 78% con respecto a 2022.
¿Por qué la gente comete esos errores?
No es de extrañar que la gente tienda a confiar en sus vendedores de confianza, como dar la llave de su casa u oficina al equipo de limpieza. Por lo general, no se le ocurre que le hayan robado la llave a ese vendedor.
Qué se puede hacer.
Es importante que cada empresa sea más consciente de la posibilidad de un ataque a la cadena de suministro. Por supuesto, su empresa no puede controlar por completo los sistemas y las operaciones de otras empresas, pero hay cosas que se pueden hacer.
En primer lugar, comprenda el riesgo que representa contratar a un proveedor, al hacer su propia evaluación de la eficacia de su ciberseguridad y/o utilice servicios, como Bitsight o SecurityScorecard, que proporcionan «puntuaciones crediticias de ciberseguridad» para evaluar la seguridad de una organización antes de hacer negocios con ella.
En segundo lugar, limite el alcance de la puerta lateral de cada vendedor. Por ejemplo, una empresa de mantenimiento de aire acondicionado solo debería necesitar acceso a las áreas en las que se almacena el equipo a mantener, no a todas las oficinas del edificio.
Por último, como se ha mencionado anteriormente en relación con la exfiltración de datos, limite los datos a los que tienen acceso los vendedores, mantenga los datos cifrados para que sean inútiles, incluso si se filtran, y supervise los datos que se exportan de sus sistemas para detectar filtraciones ilícitas.
• • •
Los ciberatacantes son extraordinariamente ingeniosos, ingeniosos y creativos. Encontrarán nuevas formas de atacar sus sistemas en los próximos años. Muchos de los principios destacados para abordar esta ola de ataques ayudarán a abordar los nuevos. En cualquier caso, manténgase alerta y preparado.
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.