Por qué las filtraciones de datos aumentaron en 2023
Y qué pueden hacer las empresas para proteger mejor la información personal de los usuarios.
Por Stuart Madnick
Gestión de riesgos
Harvard Business Review
#Doxa #empresa #filtraciones #información #gestión #riesgo #ciberseguridad #datos #informaticos #robo #datos #ransonware
Resumen. A pesar de los recientes esfuerzos para reforzar la ciberseguridad, las violaciones de datos (en las que los piratas informáticos roban datos personales) continúan aumentando año tras año: hubo un aumento del 20 % en las violaciones de datos de 2022 a 2023. Hay tres razones principales detrás de esto. mayor robo de datos personales: (1) mala configuración de la nube, (2) nuevos tipos de ataques de ransomware y (3) mayor explotación de los sistemas de los proveedores. Afortunadamente, existen formas de reducir el impacto de cada uno de estos factores.
Durante muchos años, las organizaciones han luchado por protegerse de los ciberataques: empresas, universidades y agencias gubernamentales han gastado enormes cantidades de recursos para protegerse. Pero a pesar de esos esfuerzos, las violaciones de datos (en las que los piratas informáticos roban datos personales) continúan aumentando año tras año: hubo un aumento del 20% en las violaciones de datos de 2022 a 2023 . Algunas de las tendencias en torno a este repunte son inquietantes. Por ejemplo, a nivel mundial, hubo el doble de víctimas en 2023 en comparación con 2022, y en Medio Oriente, la actividad de las bandas de ransomware aumentó un 77% en ese mismo período.
¿Por qué este daño cibernético ha continuado y ampliado a pesar de todos nuestros esfuerzos? ¿Y qué podemos hacer? Según lo que hemos aprendido en mi grupo de investigación , hay tres razones principales detrás de este aumento del robo de datos personales: (1) mala configuración de la nube, (2) nuevos tipos de ataques de ransomware y (3) mayor explotación de los sistemas de los proveedores. Afortunadamente, existen formas de reducir el impacto de cada uno de estos factores.
Configuración incorrecta de la nube
Hay muchos beneficios para las empresas al utilizar el almacenamiento en la nube, como lo ofrecen Amazon, Google, Microsoft y otros: rentabilidad, seguridad, fácil intercambio de datos, sincronización, conveniencia, escalabilidad y recuperación ante desastres, por nombrar solo algunos. Es comprensible que las empresas coloquen cada vez más datos en la nube. Se estima que más del 60% de los datos corporativos del mundo se almacenan en la nube.
Eso hace que la nube sea un objetivo muy atractivo para los piratas informáticos. En 2023, más del 80% de las filtraciones de datos involucraron datos almacenados en la nube. Esto no se debe sólo a que la nube sea un objetivo atractivo. En muchos casos, también es un blanco fácil debido a una mala configuración de la nube, es decir, las empresas hacen un mal uso involuntario de la nube, como permitir un acceso excesivamente permisivo, tener puertos sin restricciones y utilizar copias de seguridad no seguras. Según la NSA, “las configuraciones erróneas de la nube son la vulnerabilidad más frecuente” y los piratas informáticos pueden aprovecharlas para acceder a datos y servicios de la nube.
¿Por qué la gente comete tales errores?
Esto se debe a varias razones interrelacionadas: muchas empresas se han trasladado recientemente a la nube, por lo que no tienen muchos años de experiencia; para abordar las demandas de los clientes y la competencia, los proveedores de la nube aumentan continuamente sus funciones y, en consecuencia, aumentan su complejidad; Además, existe el deseo de hacer que la nube sea fácil de usar, por lo que los proveedores de la nube tienen muchas configuraciones configuradas de forma predeterminada. Como resultado, es posible que los usuarios no se den cuenta de cuáles son todas las configuraciones y si parte o la totalidad de su almacenamiento de datos está expuesto abiertamente a la Internet pública.
Qué se puede hacer.
Hay mucho de cierto en el viejo dicho: “La prisa genera desperdicio”. En el intento de realizar una transición rápida a la nube y lanzar nuevas aplicaciones, las empresas suelen tomar muchos atajos y no dedican suficiente tiempo a confirmar que la configuración de la nube esté configurada correctamente. Los titulares suelen leer: "Esto no debería haber sucedido". Tómese el tiempo necesario para verificar cuidadosamente que el almacenamiento en la nube se esté utilizando correctamente.
Nuevos tipos de ataques de ransomware
Casi todo el mundo ha oído hablar de los ataques de ransomware. Es entonces cuando los piratas informáticos acceden a su computadora y "bloquean" sus datos codificándolos criptográficamente y exigiéndole que pague un rescate para obtener la clave de descifrado necesaria para liberar sus datos. En este tipo de ataque de ransomware, los datos en realidad no se extraen: permanecen en su computadora, simplemente no puede usarlos. A medida que las empresas han mejorado en el mantenimiento y uso de copias de seguridad para poder recuperar datos utilizables sin tener que pagar un rescate, parecía que el ransomware se reduciría como amenaza; de hecho, hubo una ligera reducción en 2022. Pero la realidad es que los ataques de ransomware han vuelto a aumentar y se han vuelto más peligrosos.
Son más peligrosos porque, para contrarrestar la posibilidad de que una víctima se niegue a pagar el rescate porque los datos pueden recuperarse de archivos de respaldo, los atacantes hacen una copia de los datos antes de cifrarlos en las computadoras de la víctima. Luego hacen una amenaza adicional, pagan el rescate o comenzaremos a revelar públicamente sus datos privados, ¡básicamente utilizando tanto el chantaje como el secuestro! En este tipo de ataque de ransomware, hay una filtración de datos real; de hecho, ¡es mucho más probable que se revelen públicamente cantidades masivas de datos!
Además, la cantidad de ataques de ransomware ha aumentado debido a la aparición de bandas de ransomware y "ransomware como servicio". Básicamente, los desarrolladores iniciales de ransomware franquician su malware para que a otros delincuentes les resulte más fácil y económicamente muy atractivo iniciar ataques de ransomware. En nuestra investigación, hemos visto muchos tipos diferentes de acuerdos de franquicia, desde la simple compra del malware ransomware hasta tarifas de alquiler mensuales y reparto del botín.
¿Por qué la gente comete tales errores?
Ambos fallos se deben principalmente a cierta ingenuidad o desconocimiento por parte de los usuarios. A menudo se supone que los métodos de protección que utilizan, como firewalls, identificación multifactor, etc., mantendrán alejados a los atacantes, por lo que robar datos no es una preocupación. Del mismo modo, puede parecer más sencillo procesar datos no cifrados, entonces, ¿por qué complicar las cosas cifrándolos?
Qué se puede hacer.
Ser diligente y eficaz a la hora de realizar copias de seguridad de todos los datos y ser rápido y eficiente a la hora de restaurarlos sigue siendo importante para hacer frente a los ataques de ransomware tradicionales. Para abordar el riesgo adicional de que sus datos privados queden expuestos públicamente, debe evitar que el atacante extraiga los datos de su sistema, lo que generalmente se denomina exfiltración , y luego pueda exponer esos datos.
En el primer caso, se deben monitorear las transferencias de datos a sitios fuera de sus sistemas y se deben detener de inmediato las transferencias ilícitas. Lamentablemente, esto frecuentemente no se hace. En el segundo caso, los datos de tus ordenadores sólo deben almacenarse en formato cifrado, para que sólo tú puedas leerlos. Por lo tanto, incluso si el atacante puede extraer sus datos, no puede leerlos ni chantajearlo para evitar su divulgación.
Explotación de sistemas de proveedores
La mayoría de las empresas han aumentado la protección cibernética de sus “puertas de entrada” mediante medidas como cortafuegos, contraseñas más seguras, identificación multifactor, etc. Por lo tanto, los atacantes buscan otras formas, y a veces más peligrosas, de conseguirlo. A menudo, eso significa ingresar a través de los sistemas de los proveedores.
La mayoría de las empresas dependen de proveedores para que les ayuden, desde el mantenimiento del aire acondicionado hasta el suministro de software, incluidas las actualizaciones automáticas del software. Para brindar esos servicios, estos proveedores necesitan un fácil acceso a los sistemas de su empresa; me refiero a ellos como las "puertas laterales". Sin embargo, estos proveedores suelen ser pequeñas empresas con recursos limitados de ciberseguridad. Los atacantes aprovechan las vulnerabilidades de los sistemas de estos proveedores. Una vez que tengan cierto control sobre los sistemas de estos proveedores, pueden utilizar la puerta lateral para acceder a los sistemas de sus clientes.
A menudo se les llama “ataques a la cadena de suministro”. De hecho, no es sólo un cliente el que puede ser atacado, sino esencialmente todos los clientes que utilizan los servicios de ese proveedor. Por lo tanto, una sola vulnerabilidad puede amenazar a muchos miles de organizaciones, como en el ataque MOVEit de 2023, donde ya más de 2.600 empresas en más de 30 países han admitido haber sido atacadas con más de 80 millones de personas cuyos datos se han visto comprometidos. De hecho, el 98 % de las organizaciones tienen una relación con un proveedor que experimentó una filtración de datos en los últimos dos años. En algunos estudios, la cantidad de datos comprometidos debido a ataques a la cadena de suministro en 2023 aumentó un 78% con respecto a 2022 .
¿Por qué la gente comete tales errores?
No es de extrañar que la gente tienda a confiar en sus proveedores de confianza, como por ejemplo entregar la llave de su casa u oficina al equipo de limpieza. Por lo general, no se le ocurre que la clave podría ser robada de ese proveedor.
Qué se puede hacer.
Es importante que todas las empresas sean más conscientes de la posibilidad de un ataque a la cadena de suministro. Por supuesto, su empresa no puede controlar completamente los sistemas y operaciones de otras empresas, pero hay cosas que se pueden hacer.
En primer lugar, comprenda el riesgo que supone contratar a un proveedor, realizando su propia evaluación de la eficacia de su ciberseguridad y/o haciendo uso de servicios, como Bitsight o SecurityScorecard, que proporcionan "puntuaciones de crédito de ciberseguridad" para evaluar la seguridad de una organización antes. hacer negocios con ellos.
En segundo lugar, limite el alcance de la puerta lateral de cada proveedor. Por ejemplo, una empresa de mantenimiento de aire acondicionado solo debería necesitar acceso a las áreas donde se almacena el equipo que se va a mantener, no a todas las oficinas del edificio.
Finalmente, como se mencionó anteriormente con respecto a la exfiltración de datos, limite a qué tienen acceso los proveedores de datos, mantenga esos datos encriptados para que sean inútiles, incluso si son exfiltrados, y monitoree los datos que se exportan desde sus sistemas para detectar exfiltraciones ilícitas.
• • •
Los ciberatacantes son notablemente ingeniosos, inventivos y creativos. Se les ocurrirán nuevas formas de atacar sus sistemas en los próximos años. Muchos de los principios destacados para abordar esta ola de ataques serán útiles para abordar los nuevos. En cualquier caso, mantente alerta y prepárate.
Lea más sobre Gestión de riesgos o temas relacionados Tecnología y análisis y Ciberseguridad y privacidad digital
Stuart Madnick es profesor John Norris Maguire (1960) de tecnologías de la información en la MIT Sloan School of Management, profesor de sistemas de ingeniería en la MIT School of Engineering y director de ciberseguridad en MIT Sloan (CAMS): el consorcio interdisciplinario para la mejora de los aspectos críticos. Ciberseguridad de infraestructuras. Ha estado activo en el campo de la ciberseguridad desde que fue coautor del libro Computer Security en 1979.
No hay comentarios:
Publicar un comentario