Las 10 filtraciones de datos más grandes de todos los tiempos
Filtración de datos. El término en sí mismo puede hacer sonar las alarmas en la mayoría de las organizaciones, y por una buena razón. Las violaciones de datos a menudo significan miles de dólares en esfuerzos de remediación, millones de dólares en multas regulatorias y una gran pérdida de confianza del cliente. (Lea también: Violación masiva de datos: lo que quizás no sepa.)
Hay muchas violaciones de datos en los tiempos modernos que obligan a otras organizaciones a tomar medidas adecuadas de privacidad y protección de datos.
Aquí están las 10 principales infracciones de este tipo y cómo evitar que su organización llegue a esa lista:
1.Yahoo (2013)
Realmente no hay otra manera de comenzar una lista de las filtraciones de datos más grandes de todos los tiempos que con la filtración de datos de Yahoo en 2013, que afectó a casi 3 mil millones de usuarios.
El impacto de la filtración fue eliminar rápidamente $350 millones en el valor de mercado de Yahoo, y Yahoo estaba en proceso de comprar Verizon en ese momento. Los perpetradores del ataque cibernético nunca fueron identificados, pero Yahoo emitió un comunicado diciendo que creía que un «actor patrocinado por el estado» podría ser el responsable.
Los nombres reales, las direcciones de correo electrónico, las fechas de nacimiento, los números de teléfono, las preguntas de autenticación y otra información confidencial de casi todos los usuarios de Yahoo se filtraron en lo que todavía se considera la filtración de datos más grande de la historia.
2. Primera Corporación Financiera Estadounidense (2023)
Casi mil millones de registros se vieron comprometidos cuando First American Financial Corp enfrentó una violación de datos que expuso números de cuentas bancarias, registros de impuestos e hipotecas, números de seguro social, recibos de transferencias bancarias y recibos de comercio de bonos.
Lo que hace que este incumplimiento sea diferente de otros en esta lista es que no es un incumplimiento en el sentido tradicional. First American Financial Corporation no implementó protocolos de autenticación seguros más que piratas informáticos que ingresaban a la base de datos, lo que significaba que nadie tenía que probar su identidad para ver dichos documentos. Una vez que tienen acceso a estos archivos, los piratas informáticos utilizan Advanced Persistent Bot (APB) para recopilar, catalogar y copiar todos los datos a los que tienen acceso.
Este flagrante error pasó desapercibido durante años. El Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) alega que First American Financial hizo poco para garantizar que tuviera las medidas de seguridad adecuadas para proteger sus datos críticos.
3. Hotel Marriot (2018)
Marriott no es el típico proveedor de servicios digitales, lo que lo distingue de algunos de los otros nombres en esta lista. Sin embargo, la cadena hotelera internacional sufrió una filtración de datos en 2018 que afectó a más de 500 millones de usuarios.
La información de contacto de los usuarios afectados, los números de pasaporte, los historiales de viaje, la información de la tarjeta de crédito, los detalles del Seguro Social y los números de Starwood Preferred Guest se encontraban entre los datos confidenciales que se vieron comprometidos.
Marriott se enfrenta a un desastre de relaciones públicas ya que recibió una multa de 24 millones de dólares en el Reino Unido, cientos de demandas colectivas y pedidos de renuncia de sus principales ejecutivos.
Después de una auditoría interna, el uso por parte de Marriott de protocolos de encriptación obsoletos para almacenar y asegurar su base de datos fue la causa principal de la filtración. La auditoría concluyó que la brecha se llevó a cabo utilizando un troyano de acceso remoto (RAT) y Mimikatz. (Lea también: El cifrado por sí solo no es suficiente: datos clave sobre la seguridad de los datos.)
4. Mi espacio (2016)
Es posible que MySpace no haya sido tan popular como otros sitios de redes sociales en 2016, pero cuando la compañía anunció a sus usuarios que sus mensajes antiguos podrían estar a la venta en línea, o, más exactamente, lo habían estado durante al menos tres meses. ha sido un mes.
Time Inc., que compró MySpace, informó una violación de datos que comprometió 360 millones de cuentas cuyos nombres de usuario y contraseñas podrían usarse para acceder a la información de los usuarios en otros sitios. Se cree que los piratas informáticos detrás de la violación de datos son responsables de violaciones de datos similares en Tumblr y LinkedIn.
5. Citas para adultos (2016)
Cuando Adult FriendFinder sufrió una violación de datos, se produjo el caos. Esto se debe a la naturaleza de la violación de datos, donde se hizo pública la información sobre las conexiones casuales de los usuarios y otro contenido para adultos.
Los nombres, direcciones de correo electrónico, contraseñas, imágenes y otros datos personales de más de 400 usuarios se filtraron en línea y están disponibles gratuitamente en leaksource.com. La base de datos comprometida contenía información de 20 años y las credenciales de los usuarios también estaban disponibles en línea. El uso del sitio del algoritmo hash SHA-1, un protocolo débil según los estándares modernos, es la razón principal por la que la base de datos se ve comprometida tan fácilmente.
6. Gorjeo (2018)
Cómo una empresa del tamaño de Twitter cometió tal error siempre será un misterio. En mayo de 2018, la empresa envió un correo electrónico a sus 330 millones de usuarios instándolos a cambiar sus contraseñas, algunas de las cuales estaban almacenadas en texto legible en sus sistemas informáticos internos.
Twitter aseguró a sus usuarios que la falla se descubrió antes de cualquier violación de datos, por lo que su información no se vio comprometida. Sin embargo, una investigación de la Comisión Federal de Comercio de 2010 reveló que Twitter había sufrido al menos dos violaciones de datos en las que se expusieron los datos privados de los usuarios debido a fallas en los protocolos de seguridad de Twitter. (Lea también: Descubrimiento de agujeros de seguridad..)
7. Equifax (2017)
La violación de datos de Equifax fue bastante menor en comparación con algunos de los otros en esta lista. Sin embargo, el hecho de que la organización haya tenido que gastar más de $700 millones en medidas correctivas para ayudar a los usuarios afectados lo convierte en una señal de alerta para otras organizaciones.
Alrededor de 150 millones de usuarios sufrieron el robo de sus números de Seguro Social, fechas de nacimiento, domicilios particulares, números de licencia de conducir e información de tarjetas de crédito. Incluso después de una larga investigación del Congreso, los responsables de las violaciones nunca fueron identificados.
Sin embargo, la investigación encontró que una vulnerabilidad en el sitio web de Equifax había sido explotada durante meses por los responsables de la violación. Otras medidas inadecuadas, como la falta de segmentación del sistema de bases de datos, facilitan la realización de ataques.
8. Facebook (2023)
Cuando se supo la noticia de la filtración de datos de 2023, Facebook ya se enfrentaba a una pesadilla de relaciones públicas en 2023 por sus protecciones de datos inadecuadas. Fue, y sigue siendo, la mayor filtración de datos en la historia de la empresa, que afectó a unos 540 millones de usuarios en todo el mundo. Los perpetradores nunca fueron encontrados ni arrestados, pero sí reveló cuán vulnerable era la base de datos de Facebook.
¿Cómo ha ocurrido? Facebook no protegió adecuadamente sus bases de datos globales con el nivel adecuado de encriptación para que se puedan buscar fácilmente en línea. Los números de teléfono, el género y la ubicación geográfica de los usuarios en las bases de datos del Reino Unido, EE. UU. y Vietnam fueron particularmente vulnerables. Esta es exactamente la razón por la que no se pudo identificar a los perpetradores, ya que estas bases de datos se pueden obtener con una simple búsqueda en Google sin las medidas de seguridad adecuadas para protegerlas.
9. eBay (2014)
La violación de eBay se produce meses después del incidente de Yahoo, que vio una violación similar de los datos del usuario. Si bien 145 usuarios afectados está (según algunas estimaciones) muy lejos de la cifra de Yahoo, el impacto no es pequeño. Una investigación interna reveló que la ingeniería social de tres empleados de eBay y sus credenciales comprometidas se usaron para acceder a la base de datos principal de eBay. (Lea también: Concienciación sobre amenazas internas: cómo evitar las infracciones de seguridad internas.)
La empresa notificó a todos los usuarios afectados y les aconsejó que cambiaran sus contraseñas, ya que los atacantes también tenían acceso a contraseñas encriptadas. Esto llevó al Fiscal General de Nueva York a llamar a eBay para que ofreciera servicios gratuitos de control de crédito a los usuarios, pero la empresa se negó alegando que no había fraude financiero.
10. Viento solar (2023)
Una de las violaciones de datos importantes más recientes, la violación de datos de SolarWinds es notoria por el hecho de que no hay datos confiables sobre cuántos registros pueden haber sido comprometidos. Sin embargo, se dice que más de 18,000 organizaciones y agencias gubernamentales en todo el mundo se ven afectadas. El fiscal general de Estados Unidos dijo en ese momento que el ataque pudo haber sido apoyado por Rusia.
Los atacantes obtuvieron acceso interno a los paquetes de actualización de SolarWinds y colocaron malware en la próxima actualización programada. Estas actualizaciones contienen las firmas electrónicas necesarias, por lo que cualquier red que acepte la actualización está comprometida. El malware oculto se propagó a lo largo de la cadena de suministro de SolarWinds, y al menos 50 agencias gubernamentales de EE. UU. enfrentaron un «impacto severo» desde que los atacantes se afianzaron en su red.
Prevención de filtraciones de datos: cinco mejores prácticas
La lista anterior debería ser suficiente para que la mayoría de las organizaciones consideren tener un marco de gobierno y protección de datos sólido para minimizar las posibilidades de que ocurra una violación de datos.
Aquí hay cinco pasos que la mayoría de las organizaciones pueden tomar:
1. Implementar la Gobernanza de Acceso
Con mucho, el paso más básico que una organización puede tomar para minimizar el riesgo de una violación de datos es limitar primero la cantidad de personas que tienen acceso a los datos; esto se conoce como control de acceso. No hay escasez de soluciones efectivas que puedan ayudar a las organizaciones a abordar este problema.
Por ejemplo, la inteligencia de acceso habilitada por Securiti a través de su Control de datos unificado permite a las organizaciones determinar qué empleados necesitan acceso a qué datos y otorgarles acceso estrictamente «basado en la necesidad», al tiempo que mantienen registros detallados para ayudar en futuras evaluaciones si necesario
2. Llevar a cabo capacitaciones de concientización
Esto puede parecer obvio, pero un error que cometen muchas organizaciones es no capacitar adecuadamente a los empleados sobre lo fácil que es para los piratas informáticos obtener acceso a las bases de datos corporativas al explotar el comportamiento descuidado en línea de los empleados.
Los talleres y capacitaciones regulares pueden educar a su equipo sobre las mejores prácticas para garantizar que sigan los protocolos de seguridad en línea adecuados. Esto también puede incluir capacitación antiphishing para proteger adecuadamente su huella en línea con herramientas de ciberseguridad como antivirus, VPN o proxies como IPRoyal y Avast. (Lea también: VPN vs. Proxies: ¿Qué es lo mejor para las empresas?.)
3. Actualizaciones periódicas
Otro ejemplo de un error relativamente menor que puede provocar un daño significativo: los piratas informáticos a menudo aprovechan las fallas en el software.
Si una organización no actualiza su software con regularidad, pueden existir fallas durante todo el tiempo y pueden explotarse más fácilmente.
4. Tenga un plan de afrontamiento proactivo
A menudo, si las organizaciones son víctimas de una violación de datos, se sienten demasiado nerviosas y confundidas. Vale la pena mencionar que el impacto de una violación puede reducirse en gran medida si se toman las medidas adecuadas inmediatamente después de una violación de datos.
Debe tener protocolos establecidos para la visibilidad en tiempo real de exactamente qué datos se vieron comprometidos, cómo limitar el daño y las acciones correctivas más necesarias.
5. Cifrar, cifrar, cifrar
Por último, pero probablemente lo más importante, comprenda exactamente cómo se puede utilizar el cifrado en su beneficio. Las organizaciones que emplean métodos de encriptación anticuados no pueden maximizar la seguridad que ofrece la encriptación.
Con el auge del cifrado basado en celosía y la computación cuántica, las organizaciones tienen la capacidad de garantizar la mejor protección posible para todos sus datos. Si lo hace, se asegurará de que, si todo lo demás falla, sus datos estén tan bien protegidos que los piratas informáticos no tengan nada que ganar si irrumpen en las bases de datos internas de su empresa.
en conclusión
Las filtraciones de datos pueden ocurrirle a cualquiera, incluso a las organizaciones más grandes y establecidas. A menudo, son el resultado de errores de administración de datos simples y fáciles de corregir. Al implementar prácticas adecuadas de prevención de fugas de datos desde el principio, puede reducir en gran medida la probabilidad de que su organización sufra una fuga de datos y se recupere de manera más efectiva de los peores escenarios. (Lea también: ¿Qué es la copia de seguridad con espacio de aire y por qué es necesaria?)
