¿Qué es una brecha de seguridad?

Una brecha de seguridad es un incidente que permite el acceso no autorizado a datos informáticos, aplicaciones, redes o dispositivos. Es decir, permite acceder sin autorización a información. Normalmente, se produce cuando un intruso logra sortear los mecanismos de seguridad.

Técnicamente, existe una diferencia entre una brecha de seguridad y una brecha o filtración de datos. Una brecha de seguridad comporta una intromisión, mientras que una brecha de datos consiste en la sustracción de información por parte de un ciberdelincuente. Imagínate a un caco: la brecha de seguridad se produciría cuando consigue colarse por la ventana y la brecha de datos cuando le roba la agenda o el ordenador portátil a su víctima.

La información confidencial tiene un valor inmenso. Suele venderse en la Dark Web; por ejemplo, es posible adquirir nombres y números de tarjeta de crédito y luego utilizarlos para perpetrar un fraude o una suplantación de identidad. Por esta razón, no sorprende que las brechas de seguridad puedan costarles a las empresas inmensas sumas de dinero. De media, la factura para una gran corporación ronda los cuatro millones de dólares.

Es importante distinguir qué representa una brecha de seguridad y qué un incidente de seguridad. Un incidente puede consistir en una infección con malware, un ataque DDOS o el hecho de que un empleado se olvide el ordenador portátil en un taxi, pero no redunda en un acceso a la red ni en una pérdida de datos y no cuenta como brecha de seguridad.

Ejemplos de brecha de seguridad

Cuando una gran empresa sufre una brecha de seguridad, siempre llega a los titulares. Entre los ejemplos de brecha de seguridad figuran los siguientes:

• Equifax: en 2017, la vulnerabilidad de la aplicación del sitio web comportó que la empresa perdiera los datos personales de 145 millones de estadounidenses. Entre dichos datos se contaban sus nombres, números de la Seguridad Social y números del permiso de conducir. Los ataques se perpetraron en el transcurso de tres meses, entre mayo y julio, si bien la brecha de seguridad no se anunció hasta septiembre.
• Yahoo: 3.000 millones de cuentas quedaron expuestas en 2013 después de que un intento de phishing diera a los hackers acceso a la red.
• eBay sufrió una importante brecha en 2014 y aunque la información de las tarjetas de crédito de los usuarios de PayPal no estuvo en riesgo, muchas de las contraseñas de los clientes sí se vulneraron. La empresa actuó con celeridad enviando un correo electrónico a sus usuarios en el que les solicitaba que cambiasen sus contraseñas para proteger su seguridad.
• El sitio web de citas Ashley Madison, que se anunciaba como un lugar para que los casados tuvieran aventuras extramaritales, fue hackeado en 2015. Los hackers filtraron una ingente cantidad de datos de los clientes a través de Internet. Y los extorsionadores empezaron a chantajear a los clientes cuyos nombres se habían filtrado: informes no confirmados han vinculado una serie de suicidios con esta brecha de datos.
• Facebook vio que, debido a fallos internos de su software, se filtraron los datos personales de 29 millones de usuarios en 2018. La brecha de seguridad fue especialmente bochornosa, porque entre las cuentas vulneradas figuraba la del propio CEO de la empresa, Mark Zuckerberg.
• Marriott Hotels anunció en 2018 una brecha de datos y de seguridad que afectaba a los registros de hasta 500 millones de clientes. Pero lo cierto es que su sistema de reservas había sido hackeado en 2016, por más que la brecha no se descubriera hasta dos años después.
• Quizá el episodio más escandaloso sea el de laempresa checa Avast, que dejó claro que ser una compañía dedicada a la ciberseguridad no te hace inmune, ya que reveló que había sufrido una brecha de seguridad en 2019 después de que un hacker lograra acceder a las credenciales de la VPN de un empleado. Dicha brecha no comportó ninguna amenaza para los datos de los clientes, sino que su cometido era introducir malware en los productos de Avast.

Hace aproximadamente una década, muchas empresas intentaban mantener sus brechas de seguridad en secreto para no destruir la confianza de los consumidores, pero hoy en día es cada vez más raro que procedan de este modo. En la UE, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) exige a las empresas que notifiquen a las autoridades competentes cualquier brecha e identifiquen a las personas cuyos datos personales puedan estar en riesgo. En enero de 2020, tras solo 18 meses en vigor, el GDPR contaba ya con más de 160.000 notificaciones distintas de brechas de seguridad, es decir, más de 250 al día.

Tipos de brechas de seguridad

Existen distintos tipos de brechas de seguridad, en función de cómo se consiga acceder al sistema:

• Un exploit ataca una vulnerabilidad del sistema, como un sistema operativo obsoleto. Los sistemas anteriores no actualizados, por ejemplo, las empresas en las que se utilizan versiones de Microsoft Windows antiguas o que han dejado de actualizarse, son especialmente vulnerables a este tipo de ataques.
• Las contraseñas débiles pueden descifrarse o piratearse. Incluso en la actualidad hay quien utiliza como contraseña la palabra «contraseña», y conviene saber que utilizar «contra$eña» no es mucho más seguro.
• Los ataques con malware, como los correos electrónicos de phishing, pueden emplearse para penetrar en sistemas. Basta con que un empleado haga clic en un enlace de un mensaje de phishing para que el software malicioso empiece a propagarse por la red.
• Las descargas ocultas utilizan virus o malware instalado a través de un sitio web fraudulento o infectado.
• La ingeniería social también puede utilizarse para penetrar en sistemas. Por ejemplo, un intruso puede telefonear a un empleado haciéndose pasar por un compañero del departamento de informática y solicitarle su contraseña para «arreglarle» el ordenador.

En los ejemplos de brechas de seguridad mencionados se utilizaron distintas técnicas para acceder a las redes. Así, Yahoo sufrió un ataque de phishing, mientras que Facebook se hackeó con un exploit.

Aunque hemos hablado de brechas de seguridad que afectan a grandes empresas, también las hay que afectan a ordenadores y otros dispositivos personales. Seguramente tengas menos probabilidades de que te ataquen utilizando un exploit, pero muchos usuarios informáticos han quedado infectados con malware que, o bien se han descargado como parte de un paquete de software, o bien se ha instalado en sus ordenadores a través de un ataque de phishing. El uso de contraseñas débiles o de redes Wi-Fi públicas puede comportar que se pirateen tus comunicaciones a través de Internet.

Qué hacer si sufres una brecha de seguridad

Como cliente de una gran empresa, si tienes noticia de que ha sufrido una brecha de seguridad o si descubres que te han hackeado el ordenador personal, conviene que actúes con celeridad por tu propia seguridad. Recuerda que una brecha de seguridad en una cuenta puede comportar poner en riesgo otras cuentas, sobre todo si utilizas la misma contraseña de acceso o si efectúas habitualmente transacciones entre ellas.

• Si una brecha podría poner en riesgo tu información financiera, notifícaselo a todos los bancos y entidades financieras en los que tengas cuentas.
• Cambia las contraseñas de todas tus cuentas. Si la cuenta está protegida mediante preguntas y respuestas de seguridad o códigos PIN, cámbialos también.
• Y tal vez te convenga solicitar una congelación del crédito. De este modo, evitarás que se utilicen tus datos para usurparte la identidad o para pedir préstamos a tu nombre.
• Comprueba tu informe crediticio para asegurarte de si alguien está solicitando financiación con tus datos.
• Intenta averiguar exactamente qué datos te han robado. Esto te permitirá hacerte una idea de la gravedad de la situación. Por ejemplo, si te han robado los datos fiscales y los números de la Seguridad Social, tienes que actuar enseguida para asegurarte de que no te usurpen la identidad. Es más grave que perder solo los datos de la tarjeta de crédito.
• Norespondas directamente a las solicitudes de empresas que te insten a facilitar tus datos personales tras una brecha de datos: podría tratarse de un ataque de ingeniería social. Dedica un rato a leer las noticias, comprueba el sitio web de la empresa o incluso llama a la línea de atención al cliente para comprobar si la solicitud es legítima.
• Estate atento a otros tipos de ataques de ingeniería social. Por ejemplo, un delincuente que haya accedido a cuentas de un hotel, incluso aunque no contengan datos financieros, podría telefonear a los clientes para solicitarles su opinión sobre una estancia reciente. Al final de la llamada, tras establecer una relación de confianza, podría ofrecerle al cliente el reembolso de los tiques del aparcamiento y solicitarle el número de tarjeta para efectuar la devolución del dinero. Es probable que la mayoría de los clientes no se lo pensarían dos veces antes de facilitar tales datos si la llamada suena convincente.
• Supervisa tus cuentas en busca de indicios de nueva actividad. Si ves transacciones que no reconoces, no las dejes pasar.

Cómo protegerte de las brechas de seguridad

Aunque nadie es inmune a una brecha de datos, unos buenos hábitos de seguridad informática pueden hacerte menos vulnerable y ayudarte a sobrevivir a una brecha con menos quebraderos de cabeza. Estos consejos te ayudarán a evitar que los hackers se salten la seguridad personal en tus ordenadores y otros dispositivos.

• Utiliza contraseñas robustas que combinen cadenas aleatorias de letras mayúsculas y minúsculas, números y símbolos. Son mucho más difíciles de piratear que otras contraseñas más simples. No utilices contraseñas fáciles de adivinar, como nombres de familiares o fechas de cumpleaños. Utiliza un administrador de contraseñas para mantener tus contraseñas seguras.
• Usa una contraseña distinta para cada cuenta. Si utilizas la misma contraseña y un hacker logra acceder a una de tus cuentas, podrá infiltrarse en las demás. Si tienes configuradas contraseñas distintas, solo una cuenta estará en riesgo.
• Cierra las cuentas que no utilices, en lugar de dejarlas inactivas. De este modo, reducirás tu vulnerabilidad a sufrir una brecha de seguridad. Si no utilizas una cuenta, es posible que ni siquiera te des cuenta de que la han pirateado, y podría servir como puerta trasera para acceder a tus otras cuentas.
• Modifica tus contraseñas de manera periódica. Uno de los rasgos de muchas brechas de seguridad que se han hecho públicas es que se han producido a lo largo de un período dilatado; de hecho, de algunas de ellas no se informó hasta transcurridos varios años. Cambiar las contraseñas de manera periódica reduce el riesgo que corres si se producen brechas de datos que no se hacen públicas.
• Si te deshaces de un ordenador, borra debidamente el disco duro. No borres solo los archivos; utiliza un programa de destrucción de datos para borrar por completo la unidad y sobrescribir todos los datos del disco. Instalar de nuevo el sistema operativo también borra la unidad por completo.
• Guarda copias de seguridad de tus archivos. Algunas brechas de datos derivan en el cifrado de archivos y en el chantaje a los usuarios mediante un ransomware para volverles a proporcionar acceso a sus datos. Si guardas una copia de seguridad en una unidad extraíble, tus datos estarán seguros en caso de producirse una brecha.
• Protege tu teléfono. Utiliza el bloqueo de pantalla y actualiza el software de tu teléfono de manera periódica. No liberes tu teléfono mediante la opción de root/jailbreak. Liberar un dispositivo brinda a los hackers la oportunidad de instalar su propio software y modificar los ajustes de tu teléfono.
• Protege tu teléfono y otros dispositivos con software antivirus y antimalware.El antivirus de Kaspersky es una buena opción para evitar que tu ordenador se infecte y asegurarte de que los hackers no puedan penetrar en tu sistema.
• No hagas clic a la ligera. Los correos no deseados que incluyen enlaces a sitios web pueden ser intentos de phishing. Algunos pueden fingir que proceden de tus contactos. Si incluyen archivos adjuntos o enlaces, asegúrate de que son auténticos antes de abrirlos y utiliza un programa antivirus para revisar los archivos adjuntos.
• Cuando accedas a tus cuentas, asegúrate de usar el protocolo seguro HTTPS, en lugar del simple HTTP.
• Revisa tus extractos de cuentas bancarias y tarjetas de crédito para velar por tu seguridad. Es posible que por la Dark Web circulen datos robados años después de que se produjera la brecha de datos. Esto podría comportar que se produzca un intento de usurpación de la identidad cuando ya te has olvidado de aquella brecha de datos que vulneró tu cuenta.
• Sé consciente del valor de tu información personal y no la facilites a menos que sea imprescindible. Demasiadas web quieren saber demasiadas cosas sobre ti. ¿Para qué necesita una publicación financiera saber tu fecha exacta de nacimiento, por ejemplo? ¿O un sitio web de subastas tu número de la Seguridad Social?

Nunca se te ocurriría dejar la puerta de tu casa abierta durante todo el día para que pudiera entrar cualquiera. Piensa en tu ordenador del mismo modo. Mantén el acceso a la red y tus datos personales a buen recaudo y no dejes puertas ni ventanas abiertas para que se cuele por ellas algún hacker.

Enlaces relacionados

Cómo proteger tu banca online frente a robos

Robo y pérdida de datos

Consejos para protegerte de la ciberdelincuencia