Seguridad Informática

¿Qué es una Brecha de datos?

Aprende cómo personajes maliciosos pueden atacar para obtener acceso no autorizado a datos privados, que luego utilizan como arma.

Una brecha de datos es un incidente de ciberseguridad que involucra a un ente malicioso obteniendo acceso no autorizado a datos privados.

El modo y el estilo de los ataques utilizados en las brechas de datos varían enormemente, pero el resultado final es casi siempre el mismo: personas o entidades que no tienen derecho a acceder a tus datos son capaces de verlos y, en la mayoría de los casos, robarlos.

En los últimos años, han habido algunas brechas de datos bastante grandes, todas altamente disruptivas. Estas afectan la confianza del público en marcas famosas e instituciones públicas, y amenazan con convertir a millones de consumidores en víctimas de fraude.

Las defensas contra las brechas de datos están mejorando, aunque todavía queda mucho trabajo por hacer para proteger nuestra información contra la entrada no autorizada (e ilegal).

¿Una brecha de datos sólo es una “brecha”?

La palabra “brecha” tiene varias connotaciones, pero la ciberseguridad ha tomado prestado el significado militar.

Una “brecha” militar se refiere a un espacio, una ruptura en un muro defensivo. La historia militar está llena de ejemplos de brechas famosas, como los romanos rompiendo los muros de la antigua Jerusalén en 70 DC, o los griegos usando un caballo para entrar a Troya en las épicas historias de la Antigua Grecia.

Sin embargo, la entrada es solo la primera parte de una brecha de datos. Después del acceso comienza la exploración interna de los datos por parte del atacante, seguida por tomas silenciosas de los sistemas.

Para poder robar datos, usualmente se necesita:

  •     Asumir la identidad de un usuario con acceso a los datos.
  •     Examinar y llevarse (“exfiltrar”) los datos.

¿Cómo puede ocurrir una brecha de datos?

Los hackers emplean varias técnicas diferentes para romper las defensas de un objetivo y robar sus datos. Típicamente, el atacante penetra en el sistema objetivo a través de un punto de entrada externo.

¿Cómo se maneja esto? Muchas opciones se presentan, pero a menudo simplemente son inicios de sesión desde una ubicación remota utilizando credenciales robadas. Con ayuda de “ingeniería social”, un hacker con talento puede hacerse pasar –por ejemplo– por personal de TI y aprender las credenciales de un usuario real del sistema.

Spear phishing

En este tipo de ataque el atacante pretende ser un amigo o compañero de trabajo, y suele ser una forma bastante efectiva para robar datos de inicio de sesión. Al mismo tiempo, y con más frecuencia de lo que la mayoría de la gente quiere admitir, los hackers terminan usando inicios de sesión predeterminados (es decir, los que están configurados de fábrica) que nunca se cambiaron después de la implementación del sistema.

Identificación de vulnerabilidades

En otras ocasiones, la penetración es más técnicamente sofisticada. Los hackers buscan vulnerabilidades en las redes, a menudo encontrando agujeros aparentemente menores en las defensas que les permiten entrar sin ser detectados.

Por ejemplo, algunos dispositivos de seguridad de red almacenan en caché los inicios de sesión. Si no se borra el caché, el atacante puede robar las credenciales y usarlas para entrar.

Alternativamente –y este es un gran problema– los gerentes de TI no aplican parches de seguridad a los sistemas y dispositivos. Los atacantes pueden entrar en los sistemas utilizando exploits conocidos, pero sin parches.

Escuchar a escondidas

Las brechas de datos también pueden ocurrir a través de escuchas a escondidas. Si el hacker es capaz de insertarse al medio de una secuencia de mensajes en la red a la que está atacando, es posible recolectar datos de dicho tráfico de mensajes. Esto también puede suceder en enlaces de comunicación externos, es decir, a través de internet.

Fases de una brecha de datos: las 3 “E”

La mayoría de las brechas de datos siguen una progresión familiar de tres fases: Examinación, Entrada e Exfiltración.

Primera fase: Examinación

examination

Primero, el atacante examina el objetivo. Esto generalmente significa mapear la red y la infraestructura de sistemas.

Por ejemplo, antes de atacar el hacker querrá saber qué aplicaciones, sistemas operativos y bases de datos está utilizando el objetivo. Las técnicas para entrar a una base de datos de Microsoft SQL Server serán diferentes de las que se utilizan para descifrar una base de datos Oracle ejecutándose en Linux.

Este reconocimiento generalmente implica aprender sobre las personas responsables de asegurar y administrar los datos. Para esto, los hackers utilizan la ingeniería social, así como mecanismos públicos y semipúblicos como Facebook y LinkedIn. Los datos personales disponibles de manera pública permiten a los hackers hacerse pasar por los usuarios según sea necesario para entrar.

Segunda fase: Entrada

break in data

Luego está la entrada real. Una vez dentro, el atacante debe ingresar a la base de datos.

Este no es un gran problema a menos que el atacante no quiera ser detectado. Muchas brechas de datos ocurren durante meses, con el objetivo completamente inconsciente de que un atacante está dentro de su red, copiando y extrayendo terabytes de información confidencial. Para lograr este objetivo, el atacante generalmente tiene que obtener acceso “root” o súper administrador del sistema de destino.

Desde esta posición, el atacante puede crear una cuenta de usuario falsa para sí mismo. Un hacker con más experiencia también puede usar dicho acceso raíz para enmascarar sus actividades.

Tercera fase: Exfiltración

data transfer

Finalmente, ocurre la exfiltración o copia no autorizada de los datos, generalmente de manera encriptada para no despertar sospechas. Al encriptar los datos robados, el hacker puede enviarlos fuera de la red en un estado prácticamente invisible.

¿Qué tipos de datos son robados?

Casi cualquier información que uno se pueda imaginar es un objetivo para una brecha de datos. Los datos que pueden no parecer importantes pueden ser valiosos para alguien. Como dicen por ahí: la basura de una persona es el tesoro de otra.

Se sospecha que la mayoría de las peores brechas de datos vienen de servicios de inteligencia extranjeros. Roban información con valor estratégico pero bajo valor monetario.

En un escenario, el robo de millones de registros de empleados del gobierno federal estadounidense dejó a muchos observadores desconcertados. ¿Por qué alguien querría los nombres, direcciones y títulos de trabajo de los trabajadores del gobierno?

Bueno, para el Ministerio de Inteligencia de China –al que se atribuyó esta violación– el valor está claro: se necesitaba una hoja de ruta del gobierno federal, incluyendo a los empleados de la CIA, oficiales militares, etc.

La brecha de Equifax siguió un patrón similar según muchos expertos. Los datos parecían desaparecer, en lugar de ser usados –como se esperaba– en una ola de suplantaciones y robos de identidad. Esto ocurrió, evidentemente, porque los hackers no eran criminales buscando dinero fácil, sino que espías del gobierno.

Los sectores en riesgo de sufrir brechas de datos incluyen:

Empresas

Los hackers buscan robar listas de clientes, secretos comerciales, información de tarjetas de crédito y propiedad intelectual. Las motivaciones incluyen ganancias y, en algunos casos, un deseo de avergonzar el negocio: el llamado “hacktivismo”.

Las brechas en Target, Sony Pictures y Home Depot son ejemplos notables.

Medicina

Los proveedores de atención médica almacenan información confidencial, a menudo confidencial, sobre sus pacientes. Las brechas de datos pueden dirigirse a los registros financieros de los pacientes, la información personal y de identificación, los historiales de recetas médicas, etc. Dichos registros pueden ser valiosos para los hackers, que los venden en la “Dark Web”, el mercado negro de Internet.

La Dark Web es muy extensa, con analistas que han identificado docenas de categorías de comercio ilegal, los que ocurren fuera del alcance de la mayoría de las agencias gubernamentales mundiales y fuerzas policiales. Los productos ilícitos a la venta en la Dark Web incluyen registros bancarios, datos de tarjetas de crédito, pasaportes, “ataques de denegación de servicio (DDoS) de alquiler” y muchos más.

Gobierno

government building

Las agencias gubernamentales son las favoritas para las brechas de datos, especialmente para los servicios de inteligencia extranjeros. Debido a la escala del gobierno y su naturaleza distribuida, los hackers a menudo encuentran brechas en la seguridad que les permiten robar secretos militares, diseños de armas, códigos secretos, etc.

Banca

banking data

Los bancos suelen tener una seguridad a prueba de todo, por lo que son más difíciles de violar que otras entidades. Sin embargo, es posible –¡ha ocurrido muchas veces!– y los atacantes están altamente motivados. Después de todo, los bancos son ser objetivos lucrativos.

Educación

education data

Las instituciones educativas son blanco de brechas, y a menudo son las menos defendidas. Sin embargo, las universidades almacenan datos personales sobre estudiantes y profesores, así como propiedad intelectual que es bastante valiosa para los hackers.

Brechas de datos notables incluyen robos de datos de usuarios de Facebook y Google en 2018. Anteriormente, Yahoo sufrió lo que podría decirse que fue la mayor violación de datos en la historia. British Airways, y muchas, muchas otras empresas, han experimentado infracciones significativas en los últimos años.

Leyes relativas a las brechas de datos

Dadas las consecuencias de las brechas de datos relativas a la privacidad, el crimen y la seguridad nacional, los distintos gobiernos han aprobado leyes que tratan el manejo de las brechas.

Estados Unidos

En Norteamérica la responsabilidad ha sido asumida por los estados, no por el gobierno federal. Sin embargo, se espera una ley federal de brecha de datos en algún momento en el futuro. Las leyes estatales generalmente requieren que las compañías notifiquen a las víctimas de brechas de datos dentro de un período de tiempo específico.

En algunos casos, la ley puede ordenar que la compañía brinde protecciones para los reportes de crédito y el robo de identidad, así como otras sanciones financieras por descuido de los datos privados.

Unión Europea

En la Unión Europea (UE), las leyes de violación de datos se están volviendo mucho más serias. El ejemplo más notable es el Reglamento General de Protección de Datos, o GDPR. Este cuerpo de ley permite multas importantes contra las compañías que permiten que se infrinjan los datos privados del consumidor. También requiere procedimientos de notificación estrictos en caso de incumplimiento.

Las leyes como herramienta

Las brechas de datos son un riesgo grave para cualquier organización. No solo existen costos potencialmente graves para remediar una brecha, sino que también pueden hacer que nuestras organizaciones violen la ley. Medidas robustas de ciberseguridad a modo de contraataque pueden ayudarnos a proteger nuestros espacios digitales de la amenaza de una brecha.

Sin embargo, lograr una postura de seguridad sólida con respecto a las incursiones de hackers es algo más que instalar herramientas y operaciones de seguridad de personal. Estar protegido significa adoptar una mentalidad diligente y estar constantemente vigilante.

Conclusiones

Las brechas de datos son un asunto muy serio. Toda entidad es vulnerable. Es sabio confiar que una brecha ocurra… el desafío es estar preparado para ello.

Las mejores defensas siempre ayudan, pero dado el panorama actual de amenazas, puede ser imposible defender todos nuestros activos de datos de la misma manera.

Asegúrate de revisar todos los datos que tu organización almacena. ¿Es todo necesario? ¿Se puede vivir sin algo de eso? Cuantos menos datos tenga, menos dañina podría ser una brecha.

Alternativamente, ¿qué datos pueden o deben cifrarse en reposo y en tránsito? Si se trabaja desde el supuesto que se robarán los datos no cifrados, se puede medir la sensibilidad de los diferentes tipos de datos y asegurarlos de diferente manera.

brecha de datos
Sobre el autor

Norman Gutiérrez

Norman Gutiérrez is our Security Researcher at Prey, one of the leading companies in the security and mobility industry, with more than 8 million users worldwide. In addition to this, Norm is Prey's Content and Communication Specialist, and our Infosec ambassador. Norm has worked for several tech media outlets such as FayerWayer and Publimetro, among others. In his free time, Norman enjoys videogames, cool gadgets, music, and fun board games.