Tus datos, en constante peligro: cada día se producen más de cuatro brechas de seguridad en España #favoryto

Con más de 1.500 brechas de datos notificadas en España solo en 2021, la protección y seguridad de los datos se ha convertido en uno de los puntos críticos de cualquier organización.

En los últimos meses, los especialistas en la materia han advertido de la existencia de diferentes campañas dirigidas al robo masivo de datos, que han supuesto un gran quebradero de cabeza a grandes compañías tanto del sector público como privado.

Por ello, los expertos subrayan la importancia de conservar y mantener los datos corporativos a través de buenas prácticas en seguridad y utilizando los recursos tecnológicos que ofrecen las propias plataformas cloud, que invierten miles de millones en cumplir todas las necesidades de seguridad en entornos muy estrictos y todas las normativas en distintos sectores.

Este viernes, 28 de enero, se celebra el Día Europeo de la Protección de Datos, que tiene por objetivo crear conciencia sobre los derechos que tenemos todos los usuarios de Internet en lo que se refiere a nuestra información personal. Estos derechos permiten al usuario decidir sobre el tratamiento de sus datos, tal y como establece el Reglamento General de Protección de Datos (RGPD).

Sin embargo, en ocasiones se producen incidentes de seguridad que pueden provocar que estos datos se escapen del control de los responsables de su tratamiento. Estos incidentes se denominan brechas de datos y suponen un peligro para la privacidad de las personas y de las organizaciones, dado que pueden ocasionar la destrucción, pérdida o alteración de información personal y confidencial.

Un ejemplo de lo que puede suponer este incidente es lo que ocurrió en la que ha sido la mayor filtración de datos de la historia. Esta tuvo lugar en enero de 2019 y la consecuencia fue la filtración de 773 millones de direcciones de correo y 20 millones de contraseñas. Y 2021 no ha estado exento de este problema, pues diversas organizaciones, desde ayuntamientos hasta universidades, han sufrido brechas de datos. De hecho, según los últimos datos de la Agencia Española de Protección de Datos (AEPD) los incidentes de este tipo registrados fueron 1.503 solo en nuestro país.

La principal razón por la que se producen estas brechas son los ataques de ransomware. Es decir, la infección de los sistemas y redes informáticas, donde los ciberdelincuentes toman el control y solicitan un rescate a cambio de la recuperación de esa información.

“Vivimos en una era en la que el dato es el activo más valioso para una empresa, pero también es uno de los objetivos a atacar. Su protección externa y su adecuado uso y consumo son grandes objetivos de cualquier empresa, para evitar pérdidas económicas o sufrir posibles crisis de reputación”, asegura Luis González, co-CISO de Keepler Data Tech, compañía especializada en analítica avanzada de datos.

Y añade: “Mantener a salvo este importante recurso no es una opción, sino una cuestión de supervivencia para todos. Toda estrategia de datos debe llevar de inicio una estrategia específica en ciberseguridad que garantice el adecuado almacenamiento, tratamiento, disponibilidad y consumo del dato”.

¿Qué hacer para protegerse de una posible filtración de datos?

Las cifras disponibles son especialmente preocupantes, pues dejan patente el actual crecimiento de las brechas de datos. Por ello, es primordial tratar de atajar este problema cuanto antes, tomando determinadas medidas y precauciones que protejan los datos de los usuarios. Desde Entelgy Innotec Security, división de ciberseguridad de Entelgy, ofrecen las siguientes recomendaciones:

• Asegúrate de que cumples con todos los estándares de seguridad que marca la normativa vigente y realiza auditorías con frecuencia, de forma que se puedan localizar a tiempo posibles vulnerabilidades o fallos y así evitar futuras brechas.
• Destruye toda información confidencial, ya sea impresa o digital, una vez que ha finalizado su función y cifra toda la información sensible y utiliza servicios de almacenamiento en la nube para que todos los empleados guarden ahí la información confidencial, de manera que solo las personas autorizadas puedan acceder.
• Mantén todos los equipos y dispositivos de empresa actualizados, así como los softwares que contienen, e instala un antivirus en cada uno de ellos. Este último también deberá estar siempre en la última versión disponible.
• Protege todas las cuentas y perfiles corporativos con contraseñas robustas y únicas, es decir, con un mínimo de 8 caracteres y combinando signos alfanuméricos y caracteres especiales. Además, estas no deben estar nunca a la vista ni contener información personal o profesional (lugares, fechas, etc.). Si es posible, para mayor seguridad es recomendable configurar un doble factor de autenticación.
• Ten especial cuidado con los ataques de phishing, pues es una de las principales vías de entrada que tienen los ciberatacantes. Para ello, es muy recomendable instalar en todos los equipos de los empleados una herramienta de antispam que detecte y filtre los correos fraudulentos.
• Educa a los empleados para que ellos mismos contribuyan a evitar filtraciones. La concienciación es la principal medida de prevención, pues un fallo de cualquier empleado por puro desconocimiento puede resultar fatal para la organización, desencadenando en un ciberataque.

Estos últimos años se ha producido un cambio fundamental en la forma en que las empresas llevan a cabo sus actividades, ya que la mayoría se ha visto obligada a cambiar rápidamente a un modelo de trabajo en remoto debido a la crisis sanitaria. Aunque la situación ‘se normalice’, no parece que vayamos a volver al modelo laboral anterior, sino que veremos una combinación de teletrabajo y estar en la oficina, así como empleados móviles cuyos espacios de trabajo cambian constantemente. Las empresas deben estar preparadas para continuar operando de este modo a la vez que se garantiza la seguridad de los datos, sin importar dónde o cómo se acceda a ellos.

Según la empresa especializada en ciberseguridad Bitglass, en primer lugar, las empresas deben tener un inventario de datos preciso. Este paso es fundamental para cumplir las normativas de privacidad de datos porque, si las empresas no conocen la información que tienen o a dónde va, entonces no pueden protegerla adecuadamente. Lo que se necesita es un conjunto de registros de actividad que rastreen toda la actividad de los archivos, los usuarios, las aplicaciones y la web para revelar todo lo que ocurre con los datos de los consumidores.

En segundo lugar, las empresas deben proteger el acceso a la información de los consumidores, así como los diversos sistemas que la almacenan. Esto puede resultar más difícil en el caso de las compañías mal preparadas para adoptar las tecnologías de la nube y otras capacidades de trabajo a distancia, ya que los datos de los consumidores pueden ser accesibles a través de numerosas aplicaciones y en varios dispositivos. Para hacer frente a este problema, las empresas pueden exigir que los empleados que intenten acceder a los datos de los consumidores estén autenticados mediante el inicio de sesión único (SSO), así como mediante la autenticación de múltiples factores (MFA). Esto ayudará a garantizar que solo los usuarios legítimos y autorizados pueden tener acceso a la información de los consumidores.

Por último, las empresas deben tener un conocimiento profundo de las jurisdicciones de los datos y de cualquier reto de seguridad que pueda surgir después de migrar a la nube. Según estipulan algunas normativas de privacidad de datos, los datos solo se pueden almacenar o transferir cuando el Estado tiene jurisdicción o existe un acuerdo para ello. Del mismo modo, según el RGPD, toda la información de identificación personal debe estar protegida con políticas y procesos que permitan la auditoría y el cumplimiento.

Para garantizar el cumplimiento, las empresas deben buscar soluciones de seguridad que permitan cifrar los datos de la nube (dondequiera que residan), manteniendo al mismo tiempo el control local de las claves de cifrado. Además, son muy útiles las soluciones que permiten o deniegan dinámicamente el acceso basándose en factores contextuales como la ubicación del usuario, el tipo de dispositivo o el rol de trabajo, junto con las capacidades de prevención de pérdida de datos.

“Muchas veces nos preocupamos por el uso que se hace de nuestros datos personales por terceros y, al mismo, tiempo estamos compartiendo abiertamente información especialmente sensible por redes sociales”

Los datos y las cookies

Una mayor transparencia y control de la privacidad marcarán el sector este 2022 gracias a una regulación más vigilante y una mayor conciencia del consumidor, que están cambiando la forma en que se recogen datos en Internet.

El futuro sin cookies es ya una realidad. Una limitación que está llevando a que otras estructuras como las Server to Server (S2S) están ganando peso. Esta herramienta traslada la información de la página web donde se encuentra el usuario a servidores externos independientes, lo que garantiza que únicamente se envíen aquellos datos requeridos. Álex Masip, Head of Data de Labelium España, destaca que “a nivel de gestión del consentimiento se está trabajando mucho en mejorar su obtención y que este sea más transparente”.

Estos incipientes cambios en los requerimientos y la necesidad de una mayor transparencia obligan a marcas y anunciante a adaptarse y estar informados de todos los cambios y novedades, ya que estas exigencias de consentimiento a nivel técnico y legal no harán sino incrementarse. De ahí que sea necesario contar con infraestructuras S2S y con especialistas que conozcan en detalle la implementación de la Ley Orgánica de Protección de Datos y el Reglamento General de Protección de Datos.

No obstante, este experto señala como clave el sentido común: “Muchas veces nos preocupamos por el uso que se hace de nuestros datos personales por terceros y, al mismo, tiempo estamos compartiendo abiertamente información especialmente sensible por redes sociales”.

“Los consumidores cada vez saben más sobre la información que se recoge sobre ellos, cómo se utilizan esos datos y de qué manera ponen en peligro esa información las vulneraciones de seguridad que se producen diariamente. Por consiguiente, para mantener su confianza -y seguir cumpliendo las normativas vigentes-, es imperativo que las empresas hagan de la seguridad su máxima prioridad”, subraya Anurag Kahol, director técnico de Bitglass.

Una herramienta made in Spain para asegurar los derechos de la ley protección de datos

La startup española Blocknitive integra la tecnología Blockchain con la ley de protección de datos europea (RGPD) en su herramienta Asentify Data. Un producto “totalmente innovador” en el mercado que permite la interoperabilidad de los datos, la gestión de los consentimientos de la información personal o cualquier otro dato de una red empresarial y la trazabilidad de sus movimientos tanto dentro como fuera de la organización.

¿Para qué sirve? Esta solución garantiza la privacidad y seguridad de la información que fluye entre las compañías y otras empresas externas, solucionando lo que hasta ahora suponía una colisión con el RGPD: la gestión de derechos.

“Asentify Data administra el derecho al acceso a los datos, el derecho a la supresión y el derecho al olvido sin perjudicar la seguridad e inmutabilidad que ofrece la nueva tecnología”, explica la compañía.

Además, añaden, la implantación de soluciones como esta para gestionar los consentimientos de datos “mitiga riesgos económicos y reputacionales debido a la falta de trazabilidad, transparencia y uso indebido del dato, incrementa la cifra de negocio al reducir costes tecnológicos y operativos, aumenta la colaboración entre los proveedores y fideliza a los clientes”.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.