Conoce Atico34 - Solicita presupuesto
CiberseguridadLOPDGDD & RGPD

¿Qué es una filtración de datos y cómo evitarla?

Una filtración de datos supone no solo puede suponer una pérdida de prestigio para la empresa que la sufre, también puede conllevar pérdidas económicas y la imposición de sanciones, si se han filtrado datos personales, además, también puede tener consecuencias negativas para las personas cuyos datos han sido filtrados. Evitar la filtración de datos se ha convertido en una prioridad importante para las empresas. En este artículo explicamos qué es una filtración de datos, cómo se produce y cómo evitarla.

¿Qué es una filtración de datos?

Una filtración de datos es la transmisión no autorizada de datos desde una organización a un destino o destinatario externo. El término se puede usar para describir datos que se transfieren electrónica o físicamente.

La filtración o exfiltración de datos puede referirse a cualquier tipo de datos o información confidencial o privada que maneje una empresa, sea esta de carácter personal o empresarial, de manera que pueden producirse filtración de datos bancarios, de datos personales, de información sobre patentes, de listas de clientes, etc. Así mismo, los usuarios particulares también pueden ser víctimas de este tipo de pérdida de datos, ya sea como consecuencia de su propia negligencia o por la de la entidad que custodia sus datos.

Cabe señalar que aunque es habitual relacionar la filtración de datos con el robo de datos, no siempre es el caso, ya que hay filtraciones o fuga de datos que pueden ser completamente accidentales, sin que detrás de ellas haya una intención maliciosa. En el caso de la exfiltración de datos, sin embargo, sí que hablaríamos de una intención maliciosa.

En cualquier caso, y en lo que respecta a las empresas, ninguna que opere mínimamente a través de Internet o almacene la información en dispositivos digitales, está a salvo de ser víctima de una filtración de datos, especialmente del tipo malicioso, puesto que estos se han convertido en el objetivo principal de muchos ciberdelincuentes, ya que la filtración de datos y contraseñas se usa para crear bases de datos con ellas y venderlas al mejor postor en la dark web.

Los datos filtrados, como decíamos, pueden usarse para diferentes fines, entre ellos, llevar a cabo ataques phishing, spam masivo, vulneración o robo de cuentas de usuario, etc.

¿Cómo se produce una filtración de datos?

Generalmente, una filtración de datos es el resultado de una brecha de seguridad, tanto si es de carácter intencional como accidental.

Así, una filtración de datos puede producirse de diferentes maneras, pueden ocurrir a través de páginas web, del correo electrónico, uso de aplicaciones o programas, mediante el robo de dispositivos electrónicos como ordenadores, memorias USB o discos duros externos que almacenen información confidencial.

Aunque las causas detrás de una fuga de datos accidental o los métodos empleados por los ciberdelincuentes para robar datos son bastante variados, los tipos de filtraciones de datos más habituales son los siguientes puntos:

  • Violación accidental: Se trata de descuidos en el manejo de datos por parte de miembros de la empresa o la entidad o de los propios usuarios, que dejan al descubierto datos confidenciales. Por ejemplo, un empleado puede elegir involuntariamente al destinatario incorrecto cuando envía un correo electrónico que contiene datos confidenciales. Desafortunadamente, la filtración involuntaria de datos puede resultar en las mismas sanciones y daños a la reputación, ya que no mitigan las responsabilidades legales.
  • Empleado descontento o mal intencionado: Hablamos de los insiders o amenazas internas; son empleados o ex-empleados que pueden filtrar datos a terceros por diferentes motivos, aunque los más habituales son el descontento con el empleador o por razones económicas (los ciberdelincuentes pueden ofrecerles una suma de dinero a cambio de filtrar determinadas bases de datos). Este tipo de fuga de datos a menudo se conoce como exfiltración de datos.
  • Comunicaciones electrónicas con intención maliciosa: Muchas organizaciones dan a los empleados acceso a internet, correo electrónico y mensajería instantánea como parte de su función. El problema es que todos estos medios son capaces de transferir archivos o acceder a fuentes externas a través de internet, lo que comporta toda una serie de vulnerabilidades, como, por ejemplo:
    • Distribución de malware.
    • Ataques de phishing y otros tipos de ingeniería social.
    • Ataques de ransomware, que cada vez incorporan una vertiente extra de extorsión, pidiendo dinero a cambio no solo de devolver el acceso a los datos encriptados, sino también para no hacer públicos aquellos que hayan podido robar.

tarifas proteccion datos

¿Cómo evitar las filtraciones de datos?

Existen diversas prácticas que podemos implantar en la empresa para prevenir las filtraciones de datos. A la hora de determinar estas mejores prácticas, tenemos que distinguir entre fugas de datos accidentales e intencionadas.

Medidas para prevenir filtraciones accidentales de datos

Como decíamos, no todas las filtraciones de datos son el resultado de acciones maliciosas. En muchos casos, es el resultado de un error honesto: alguien envía un correo electrónico al destinatario incorrecto, se olvida de cifrar un dato que está transmitiendo o coloca archivos confidenciales en una unidad USB y lo carga accidentalmente en un dispositivo desprotegido.

Algunas de las mejores prácticas que tu empresa puede usar para minimizar el riesgo de filtración accidental de datos incluyen:

  • Aplicación de una política de privilegios mínimos (POLP) al acceso a datos. Es difícil para alguien filtrar accidentalmente datos a los que no tiene acceso. Una política de privilegios mínimos restringe el acceso a los datos de cada usuario al mínimo absoluto que necesitan para realizar su función de trabajo. El uso de dicha política también ayuda a minimizar el riesgo de fugas de datos intencionales.
  • Coloca restricciones sobre los dominios de correo electrónico a los que los empleados pueden enviar archivos adjuntos en los sistemas de la empresa. Algunos clientes y aplicaciones de correo electrónico permiten organizar a las personas en grupos u organizaciones y administrar las comunicaciones fuera del grupo hasta cierto punto. Por ejemplo, Google Drive se puede configurar para generar una pantalla o advertencia de confirmación al compartir el acceso a un archivo con alguien fuera de la organización o grupo del empleado. El uso de este tipo de alertas puede hacer que sea mucho menos probable que los datos se compartan accidentalmente.
  • Establecer una política BYOD y hacerla cumplir. Una política de traer su propio dispositivo (BYOD) puede ayudar a tu organización a definir las reglas sobre si los empleados pueden usar dispositivos personales y cómo hacerlo, como smartphones, ordenadores portátiles, unidades USB y otros dispositivos que se pueden usar para copiar, almacenar y transmitir datos en el lugar de trabajo. Si dichos dispositivos no están permitidos (o su uso está restringido) en el lugar de trabajo, puede reducir el riesgo de filtración accidental de datos.
  • Proporcionar capacitación sobre ciberseguridad. Es importante que los empleados conozcan no solo cuáles son los mayores riesgos de filtración de datos, sino cuáles pueden ser las potenciales consecuencias de tales filtraciones para la empresa. Ofrecer tal capacitación y sensibilización ayuda a los empleados a evitar cometer errores básicos que conducen a exfiltraciones de datos. Además, puede ayudar a los empleados a identificar intentos de phishing y otras estrategias que los actores malintencionados pueden intentar usar para robar datos.

Medidas para prevenir exfiltración de datos intencionadas

Si bien es posible que no puedas detener a todos los actores maliciosos que intentan acceder a tus datos para su propio beneficio personal, puedes minimizar los riesgos de una filtración de datos siguiendo algunas buenas prácticas, que incluyen:

  • Instalación de protecciones básicas de ciberseguridad en todos los puntos finales de red (endpoint). Puede ser que un antivirus básico o firewall no detenga a un determinado atacante o a una persona con intenciones maliciosas, pero estas protecciones básicas pueden evitar intentos menos sofisticados de robar datos para tener éxito o al menos retrasar el progreso de un atacante. Además, los sistemas antivirus del cliente de correo electrónico pueden ayudar a prevenir algunas filtraciones de datos al escanear archivos adjuntos de correo electrónico en busca de malware.
  • Asegurarse de borrar datos confidenciales de sistemas no críticos. ¿Es necesario que haya una copia de la información más confidencial de tu empresa, como registros de clientes e información de la tarjeta de pago, en cada terminal de la oficina? No, ni debería serlo. Limpiar terminales individuales y asegurarse de que todos tus datos más confidenciales se mantengan en los sistemas más aislados es una parte fundamental de la prevención de filtraciones de datos. Si un atacante introduce malware en una estación de trabajo aleatoria, mantener esa estación de trabajo libre de información confidencial puede reducir el riesgo de una filtración de datos.
  • Uso de defensa en profundidad y estrategias de seguridad. Cuantas más capas de protección puedas poner en tu red, mejor. Disponer en tu red de una defensa en capas, que usa firewalls que aíslan cada activo y restringen el tráfico entre pares, hace más complicado para un ataque acceder a todos tus activos más protegidos a la vez. De esta manera, incluso si un ataque supera tus defensas perimetrales más externas, el atacante necesitará tiempo y esfuerzo para acceder a más de un puñado de tus activos de TI.

Medidas para evitar la filtración de datos como usuarios

Como usuarios, evitar las filtraciones de datos pasa por tomar medidas preventivas, ya que son las organizaciones que manejan y tratan nuestros datos las que deben aplicar las correspondientes medidas de seguridad técnicas y organizativas para prevenir y evitar los accesos no autorizados a su información confidencial.

Por lo tanto, para prevenir males mayores en una filtración de datos, como usuarios debemos:

  • Utilizar contraseñas seguras y únicas para cada cuenta online que creemos.
  • Usar un gestor de contraseñas.
  • Mantener nuestro equipo y software actualizados.
  • Tener instalada una solución de seguridad.
  • Usar correos alternativos para registrarnos en webs o servicios que usemos de manera puntual.

filtración de datos

¿Qué significa que he sido víctima de una filtración de datos?

A nivel de usuario, es muy probable que hayas recibido un email con el mensaje de que has sido víctima de una filtración de datos, ¿qué significa esto?

Sencillamente, que algún sitio en el que has introducido datos personales (cuentas de correo, una red social, una página web a la que te has suscrito, una empresa con la que tienes contratado un servicio, etc.), ha sufrido un robo de datos personales. Las consecuencias pueden variar, pero generalmente, tus datos, si no estaban debidamente cifrados, acabarán en la dark web, como parte de un «pack» de datos a la venta.

Ser víctima de una filtración de datos puede tener serias consecuencias, especialmente cuando los ciberdelincuentes se hacen con pares de nombre de usuario y contraseña o correo electrónico y contraseña, porque implica que pueden tener acceso a nuestras cuentas.

Si la empresa o entidad ha cumplido con sus obligaciones en protección de datos, sin embargo, cifrando la información, se podrán evitar las peores consecuencias del robo de datos.

¿Cómo saber si mis datos han sido filtrados?

Si como usuario te estás preguntado cómo saber si mis datos han sido filtrados, existen diferentes formas de comprobar si has sido víctima de una exfiltración de datos.

La primera de ellas es a través del comunicado de la propia empresa o entidad cuyos datos hayan sido robados, puesto que tienen la obligación de informar a las personas afectadas, siempre y cuando los datos filtrados no estuvieran cifrados y su filtración pueda suponer consecuencias negativas para los derechos y libertades de los afectados.

La segunda forma es recurrir a alguna de las diferentes páginas web que permiten comprobar si hemos sido víctima de una filtración de datos. La página más conocida es Have i been pwned; en ella solo tendremos que introducir nuestra dirección de correo electrónico, número de teléfono o contraseña para cruzarlos con su base de datos (elaborada con los reportes de filtraciones de datos que se han ido produciendo con el tiempo). La web nos informará de si nuestros datos han sido filtrados o no, y, en caso de serlo, dónde se produjo la filtración.

¿Cómo actuar ante una filtración de datos?

Si recibimos un mensaje que nos diga que «esta contraseña se encontró en una filtración de datos» o que hemos sido víctimas de una filtración, lo primero que debemos hacer es cambiar la contraseña afectada y todas aquellas que puedan ser similares y comprobar si nuestras cuentas de usuario se han visto afectadas de alguna manera, para tomar las medidas correspondientes.

Lo segundo, es valorar si podemos presentar una denuncia por filtración de datos personales ante la AEPD, ya que solo tendrá sentido hacer una denuncia por vulneración de protección de datos, si realmente la filtración ha supuesto una vulneración de la normativa (por ejemplo, la empresa no nos ha avisado de la filtración o esta se ha producido por no contar con las medidas de seguridad adecuadas) y nos ha causado algún perjuicio (en cuyo caso, además, sería posible solicitar una indemnización).

Casos de filtración de datos famosos

Finalmente, cerramos este artículo con algunos casos de filtración de datos famosos, que dejaron expuestos los datos personales de los usuarios en Internet.

Comenzamos con uno de los más recientes, la filtración de datos de Facebook ocurrida a comienzos de abril de 2021 y que ha dejado expuestos los datos personales de 533 millones de sus usuarios; entre los datos que han podido quedar revelados hay biografías, nombres, números de teléfono, direcciones de emails y contraseñas. El listado de datos filtrados de Facebook se publicó de forma gratuita en un foro de hacking, de manera que cualquiera con unos mínimos conocimientos podría usarlos para llevar a cabo otro tipo de acciones maliciosas.

Gmail y Outlook también protagonizaron una filtración masiva de datos en febrero de 2021, concretamente quedaron expuestos más de 3.270 millones de direcciones de correos y contraseñas. Estos pares de credenciales quedaron expuestos en varios foros de hackers y supusieron un auténtico problema para quienes reutilizan la misma contraseña para diferentes cuentas.

Remontándonos diez años en el pasado, en 2011 fuimos testigos de cómo no solo los ordenadores podían ser víctimas de este tipo de ataques. PlayStation Network sufrió una filtración que comprometió más de 77 millones de cuentas de usuario de la plataforma, dejando al descubierto nombres, direcciones postales, números de tarjeta, correos electrónicos, fechas de nacimiento, etc. El servicio tuvo que suspenderse durante 20 días y la compañía se vio obligada a compensar a todos los usuarios afectados.

Adobe también protagonizó una de las filtraciones de datos masivas más sonadas, que dejó al descubierto más de 150 millones de datos de usuarios, incluyendo direcciones de email y contraseñas, así como información de las tarjetas de crédito de 2,9 millones de usuarios. Los hackers consiguieron acceder a los servidores de la compañía, desde donde pudieron llevar a cabo el robo de datos.