Resumen de Filtraciones de Datos en el Primer Semestre de 2024

La primera mitad de 2024 experimentó un aumento significativo en el número y la magnitud de las filtraciones de datos, reflejando la creciente sofisticación y determinación de los ciberdelincuentes en todo el mundo. Según datos del Centro de Recursos de Robo de Identidad (ITRC),¹ las 10 principales filtraciones de datos durante este período comprometieron más de mil millones de registros en varios sectores, incluidos telecomunicaciones, salud, finanzas, tecnología y agencias gubernamentales. Estos incidents van desde ataques de ransomware y vulnerabilidades en la cadena de suministro hasta filtraciones de datos accidentales, destacando las diversas tácticas empleadas por los ciberdelincuentes y las vulnerabilidades generalizadas en diferentes industrias. Las 10 principales del ITRC no incluyeron la filtración de Datos Públicos Nacionales, que expuso hasta 2.9 mil millones de registros de datos asociados con 1.3 millones de personas. Por lo tanto, añadimos Datos Públicos Nacionales a nuestro informe.

Los hallazgos en el Informe de Privacidad y Cumplimiento de Comunicaciones de Contenidos Sensibles de Kiteworks 2024 enfatizan aún más la naturaleza crítica de gestionar datos sensibles en todos los sectores.² El informe subraya los desafíos que enfrentan las organizaciones para proteger contenido sensible a medida que dependen cada vez más de múltiples herramientas de comunicación e interacciones con terceros, lo que puede crear numerosas vulnerabilidades. Por ejemplo, el informe encontró que aquellos con 10 o más herramientas de comunicación experimentaron 3.55 veces más filtraciones de datos que el número promedio reportado por todo el grupo de encuestados.

Tendencias Clave en Filtraciones de Datos

Al examinar más a fondo las 11 Principales Filtraciones de Datos en el Primer Semestre de 2024, surgen varios puntos clave:

1. Ataques de Ransomware: El ransomware sigue siendo un método de ataque prevalente, dirigido a organizaciones en varios sectores. Filtraciones de alto perfil como las que involucran a Change Healthcare y MediSecure muestran el impacto devastador que el ransomware puede tener, no solo al interrumpir operaciones sino también al comprometer datos sensibles. Estos ataques han resultado en pérdidas financieras significativas y disrupciones operativas, enfatizando la necesidad de estrategias robustas de defensa contra ransomware.
2. Escala Masiva de Exposición de Datos: El volumen de datos expuestos en filtraciones ha escalado, con incidentes que involucran millones de registros volviéndose más comunes. Por ejemplo, AT&T sufrió dos grandes filtraciones que juntas comprometieron más de 180 millones de registros de clientes, incluyendo información personal y registros de llamadas. De manera similar, la filtración en Snowflake afectó a múltiples empresas y expuso cientos de millones de registros, ilustrando la amenaza de gran alcance de los ataques a la cadena de suministro en el panorama digital interconectado de hoy (corroborado por los hallazgos en el Informe de Investigaciones de Filtraciones de Datos de Verizon 2024, donde el 15% de todos los ataques en el último año estuvieron conectados a la cadena de suministro).³
3. Vulnerabilidades en Múltiples Sectores: Las filtraciones de datos no están confinadas a un solo sector; en cambio, impactan una amplia gama de industrias, cada una enfrentando vulnerabilidades únicas. Sectores como salud, finanzas y tecnología están particularmente en riesgo debido a la naturaleza sensible de los datos que manejan y están bien representados en las 10 principales filtraciones de datos en el informe del ITRC del primer semestre de 2024. La falta de seguimiento y control de gobernanza, así como capacidades avanzadas de seguridad, son razones clave. Por ejemplo, el informe de Kiteworks destaca que el 57% de las organizaciones no pueden rastrear, controlar e informar sobre envíos y comparticiones de contenido externo.
4. Amenazas Emergentes de Riesgos de Terceros y Errores Internos: Más allá de los ataques externos, los riesgos de terceros y los errores internos también han surgido como amenazas significativas. Las filtraciones en Kaiser y USPS, donde información sensible fue compartida inadvertidamente con anunciantes, destacan la creciente preocupación sobre la gobernanza de datos interna y los riesgos asociados con interacciones de terceros. Rastrear y controlar el flujo hacia y desde todos los terceros con los que las organizaciones intercambian datos es difícil, con dos tercios de las organizaciones reportando que intercambian contenido sensible con más de 1,000 terceros.⁴

Factores de Riesgo Involucrados en Filtraciones de Datos

Volumen y Tipo de Datos Expuestos

Los factores de riesgo asociados con las filtraciones de datos están significativamente influenciados por el volumen y tipo de datos expuestos. En la primera mitad de 2024, las filtraciones variaron ampliamente en términos de los tipos de registros comprometidos. Los datos personales son ciertamente un objetivo principal, con Verizon informando que casi el 60% de las filtraciones de datos involucraron información personal identificable (PII), incluyendo nombres, direcciones, números de seguridad social e información financiera como detalles de tarjetas de crédito.7 Los registros de salud, incluyendo información sensible de pacientes, también fueron altamente atacados, particularmente en filtraciones que afectaron a organizaciones de salud donde la exposición de información de salud protegida (PHI) añadió otra capa de riesgo debido a requisitos regulatorios como HIPAA.

Número de Víctimas

El alcance del impacto de una filtración de datos a menudo se determina por el número de individuos y entidades afectadas. En la primera mitad de 2024, varias filtraciones afectaron a millones de individuos en diversos sectores. Por ejemplo, las filtraciones en los sectores de telecomunicaciones y salud tuvieron efectos generalizados, impactando a decenas de millones de clientes y pacientes.

Sensibilidad de los Datos Expuestos

El nivel de sensibilidad de los datos expuestos es un factor crítico para determinar la gravedad e impacto de una filtración de datos. Los datos de alta sensibilidad, como números de seguridad social, registros de salud e información financiera, presentan un mayor riesgo que los datos de baja sensibilidad como direcciones de correo electrónico o información general de negocios. Las filtraciones que involucran datos de alta sensibilidad son más propensas a resultar en consecuencias severas, como robo de identidad, fraude financiero y otras actividades maliciosas. En casos donde se involucra información financiera sensible o registros de salud, la acción regulatoria resultante y los costos de remediación son mucho mayores debido a los estrictos requisitos en torno a la protección de estos tipos de datos.

Métodos de Filtración

Los métodos utilizados en las filtraciones de datos han evolucionado, reflejando la creciente sofisticación de las tácticas de los ciberdelincuentes. Los métodos comunes incluyen ataques de ransomware, campañas de phishing, amenazas internas y la explotación de vulnerabilidades en servicios o software de terceros. El ransomware sigue siendo un vector de ataque prevalente, donde los atacantes cifran datos y exigen un rescate para su liberación, causando a menudo interrupciones operativas significativas y pérdidas financieras.

Phishing también continúa siendo una causa principal de filtraciones, aprovechando técnicas de ingeniería social para engañar a los empleados a revelar información sensible o conceder acceso no autorizado. La explotación de vulnerabilidades en servicios de terceros o ataques a la cadena de suministro es una tendencia en crecimiento. Específicamente, las filtraciones que se originan en vulnerabilidades de terceros pueden tener impactos extensos, ya que a menudo involucran a múltiples organizaciones y afectan a redes enteras de socios comerciales y clientes. Esta tendencia subraya la necesidad de prácticas robustas de gestión de riesgos de terceros y evaluaciones regulares de vulnerabilidades.

Desarrollo del Índice de Exposición al Riesgo

Introducción al Índice de Exposición al Riesgo

El Índice de Exposición al Riesgo es una herramienta estratégica desarrollada para evaluar y priorizar las filtraciones de datos según su gravedad y posible impacto. En una era donde las filtraciones de datos son cada vez más frecuentes y complejas, las organizaciones enfrentan desafíos significativos al evaluar el riesgo que cada filtración representa para sus operaciones, reputación y cumplimiento normativo. El Índice de Exposición al Riesgo tiene como objetivo proporcionar un marco estandarizado para cuantificar y comparar los riesgos asociados con diferentes filtraciones de datos. Al utilizar este índice, las organizaciones pueden priorizar sus medidas de ciberseguridad, asignar recursos de manera más efectiva y mejorar su postura de seguridad general al enfocarse en las amenazas más críticas.

Cómo Funciona el Índice de Exposición al Riesgo

El Índice de Exposición al Riesgo va más allá de las métricas tradicionales como el número de registros expuestos o el costo financiero incurrido. En su lugar, incorpora una variedad de factores para proporcionar una comprensión más matizada de la gravedad de la filtración. Estos factores pueden incluir el tipo de datos comprometidos, el alcance de la exposición, el potencial de sanciones regulatorias y el impacto a largo plazo en la reputación de la marca. Al agregar estos elementos en una sola puntuación integral, el índice permite a las organizaciones evaluar objetivamente la gravedad de cada filtración y tomar decisiones informadas sobre dónde enfocar sus esfuerzos de minimización.

Metodología para el Índice de Exposición al Riesgo

La metodología para calcular el Índice de Exposición al Riesgo involucra varios criterios, cada uno contribuyendo a la puntuación total de riesgo de una filtración. Estos criterios se seleccionan cuidadosamente para proporcionar una visión holística de los riesgos asociados con una filtración e incluyen lo siguiente:

1. Número de Registros Expuestos: Este criterio evalúa el volumen de datos comprometidos durante una filtración. Cuanto mayor sea el número de registros expuestos, mayor será la puntuación de riesgo, ya que las filtraciones más grandes suelen tener consecuencias más graves, incluyendo un mayor potencial de robo de identidad, fraude y daño reputacional.
2. Impacto Financiero Estimado: Este criterio evalúa las posibles pérdidas financieras resultantes de una filtración, incluyendo costos directos como multas, honorarios legales y gastos de remediación, así como costos indirectos como pérdida de negocio y daño reputacional. Las filtraciones con un mayor impacto financiero estimado reciben una puntuación más alta, reflejando la carga económica significativa que imponen a las organizaciones.
3. Involucramiento de Ransomware: Dada la creciente amenaza de ataques de ransomware, este criterio específicamente considera las filtraciones que involucran ransomware. Los ataques de ransomware son particularmente disruptivos, a menudo causando un tiempo de inactividad operativo significativo y requiriendo esfuerzos de recuperación sustanciales. Las filtraciones que involucran ransomware reciben una puntuación más alta debido a la complejidad y gravedad de la respuesta requerida.
4. Sensibilidad de los Datos: La sensibilidad de los datos expuestos durante una filtración es un factor crítico para determinar su nivel de riesgo. Las filtraciones que involucran datos altamente sensibles, como información de salud protegida (PHI) o registros financieros, se asignan puntuaciones más altas. Esto refleja el mayor riesgo de sanciones regulatorias, acciones legales y la necesidad de esfuerzos de remediación integrales para proteger a las personas afectadas.
5. Gravedad de la Filtración: Este criterio considera el impacto general de la filtración en la organización afectada, incluyendo la interrupción operativa, la confianza del cliente y el daño reputacional a largo plazo. La gravedad se evalúa en función del alcance de la filtración, los datos involucrados y la efectividad de la respuesta de la organización. Las filtraciones más graves se asignan puntuaciones más altas para reflejar sus implicaciones más amplias.
6. Número de Regulaciones Afectadas: Este criterio evalúa el panorama regulatorio afectado por la filtración. Las filtraciones que violan múltiples regulaciones, como el GDPR, la HIPAA o la CCPA, reciben puntuaciones más altas. Esto refleja la complejidad de gestionar el cumplimiento en diferentes jurisdicciones y el potencial de múltiples multas y acciones legales.

Proceso de Normalización y Ajuste de Puntuación

Para asegurar que el Índice de Exposición al Riesgo proporcione una medida justa y consistente de la gravedad de la filtración, se aplica un proceso de normalización para ajustar las puntuaciones a una escala estandarizada de 1 a 10. Este proceso involucra varios pasos:

1. Recolección de Datos y Puntuación Inicial: Cada filtración se evalúa según los seis criterios mencionados anteriormente, y se asigna una puntuación inicial para cada criterio basada en rangos predefinidos. Por ejemplo, las filtraciones que exponen más de 10 millones de registros pueden recibir una puntuación máxima para el criterio “Número de Registros Expuestos”.
2. Asignación de Peso: A cada criterio se le asigna un peso basado en su importancia relativa para determinar el nivel de riesgo general. Por ejemplo, “Sensibilidad de los Datos” e “Impacto Financiero Estimado” pueden tener un peso mayor que “Número de Registros Expuestos” para reflejar su impacto crítico en la postura de seguridad de la organización y los requisitos de cumplimiento.
3. Agregación de Puntuaciones: Las puntuaciones ponderadas para cada criterio se agregan para calcular una puntuación total de riesgo para cada filtración. Esta puntuación total representa la gravedad general de la filtración basada en la combinación de todos los factores de riesgo.
4. Normalización: Las puntuaciones totales se normalizan para ajustarse a una escala estandarizada de 1 a 10. Esto se logra aplicando una fórmula matemática que ajusta las puntuaciones basadas en las puntuaciones máximas y mínimas observadas en todas las filtraciones. El proceso de normalización asegura que el índice proporcione una medida consistente y comparable de la gravedad de la filtración, independientemente de los datos subyacentes.
5. Asignación de Puntuación Final: Las puntuaciones normalizadas se revisan y validan para asegurar precisión y consistencia. A cada filtración se le asigna entonces un Índice de Exposición al Riesgo final en la escala de 1 a 10, con puntuaciones más altas indicando filtraciones más graves que requieren atención y acción inmediata.

Al emplear esta rigurosa metodología, el Índice de Exposición al Riesgo ofrece un marco confiable y accionable para evaluar y gestionar los riesgos de filtraciones de datos, permitiendo a las organizaciones mejorar sus estrategias de ciberseguridad y proteger mejor sus datos confidenciales de amenazas en evolución.

Análisis de las 11 Principales Filtraciones de Datos Basadas en el Índice de Exposición al Riesgo

A continuación se presenta la clasificación corregida de las 10 principales filtraciones de datos en la primera mitad de 2024, basadas en su Índice de Exposición al Riesgo

Usando el Índice de Exposición al Riesgo

Nuestro Índice de Exposición al Riesgo considera más que solo el número de registros expuestos o el número de víctimas afectadas. Este enfoque integral proporciona una comprensión más clara de la verdadera gravedad y el impacto potencial de cada violación. Aunque un mayor número de registros expuestos puede indicar una violación significativa, no necesariamente significa que la exposición al riesgo sea mayor. Varios factores contribuyen a la puntuación de riesgo de una violación, lo que a veces puede resultar en una violación con menos registros teniendo una puntuación de riesgo más alta que una con más registros.

1. Naturaleza y Sensibilidad de los Datos Involucrados

El tipo de datos comprometidos es un factor crítico que influye en el Índice de Exposición al Riesgo. Por ejemplo, la violación en Change Healthcare, que involucró 100 millones de registros, afectó principalmente información personal, médica y de facturación. Este tipo de datos es altamente sensible, lo que lleva a implicaciones severas, como la pérdida irreversible de datos de salud, lo que eleva la exposición al riesgo a pesar de un menor número de registros en comparación con otras violaciones. De manera similar, la violación de Cencora, con solo 1 millón de registros expuestos, también obtuvo una alta puntuación en la escala de riesgo debido a la sensibilidad de los datos de salud involucrados, demostrando que la naturaleza de los datos es a menudo más crucial que el volumen de datos.

2. Implicaciones Regulatorias y de Cumplimiento

Las implicaciones regulatorias pueden impactar significativamente la exposición al riesgo general de una violación. Por ejemplo, la violación de AT&T, que involucró 110 millones de registros, tuvo una exposición al riesgo sustancial no solo por el número de registros, sino también debido a las posibles violaciones de múltiples regulaciones, incluidas las Regulaciones de la FCC, la Ley FTC y la CCPA. Estas violaciones regulatorias pueden llevar a multas y sanciones significativas, aumentando la puntuación de riesgo general de la violación. En contraste, una violación que involucra un mayor número de registros, como Ticketmaster con 560 millones de registros, podría tener una exposición al riesgo menor si los datos comprometidos no provocan consecuencias regulatorias tan severas.

3. Impacto Potencial Más Allá de las Pérdidas Inmediatas

Las consecuencias a largo plazo de una violación de datos, como el robo de identidad, el fraude financiero o el daño reputacional, también se consideran en el Índice de Exposición al Riesgo. La violación de Synnovis, que involucró 300 millones de registros de datos de interacción con pacientes, es un ejemplo donde el impacto duradero en los servicios y la confianza de los pacientes resultó en una alta puntuación de riesgo. Aunque el número de registros fue menor que en la violación de Ticketmaster, el potencial de daño sostenido a los pacientes y los servicios de salud aumentó significativamente la exposición al riesgo. Este ejemplo muestra que el índice tiene en cuenta las implicaciones más amplias de una violación más allá de la pérdida inmediata de datos.

4. Factores de Ransomware y Extorsión

La presencia de demandas de ransomware también puede elevar la puntuación de riesgo de una violación, independientemente del número de registros expuestos. La violación de Synnovis, por ejemplo, enfrentó una demanda de ransomware de $50 millones, lo que contribuyó a su alta puntuación de riesgo. Incluso con menos registros involucrados que en la violación de Ticketmaster, los costos y riesgos adicionales asociados con las demandas de rescate, incluyendo la posible doble extorsión y los gastos de recuperación, aumentan la exposición al riesgo general de la violación.

5. El Impacto de la Sensibilidad de los Datos y el Potencial de Robo de Identidad

El impacto de la sensibilidad de los datos es evidente en violaciones como las experimentadas por empresas como Change Healthcare y Synnovis, donde los tipos de datos involucrados incluían información médica y personal altamente sensible. El potencial de uso indebido, como el robo de identidad y el fraude financiero, contribuye significativamente a la mayor exposición al riesgo de estas violaciones, incluso cuando se comparan con violaciones que involucran un mayor volumen de datos menos sensibles, como la experimentada por Ticketmaster.

Reflexiones Finales

Nuestro análisis de las 11 principales filtraciones de datos en la primera mitad de 2024 revela varios conocimientos críticos sobre el panorama en evolución de las amenazas de ciberseguridad:

1. Diversidad de Vectores de Ataque y Aumento de la Sofisticación: Los ciberdelincuentes continúan empleando una variedad de métodos de ataque, desde ransomware y acceso no autorizado hasta el intercambio inadvertido de datos, cada uno con implicaciones únicas para las estrategias de seguridad. Esta diversidad en los vectores de ataque subraya la importancia de que las organizaciones adopten un enfoque de seguridad en múltiples capas que aborde una amplia gama de amenazas potenciales.
2. Impacto Significativo del Ransomware: Los ataques de ransomware, especialmente aquellos dirigidos a sectores de alto valor como la salud y las finanzas, han demostrado ser tanto disruptivos como costosos. Filtraciones como las que involucran a Change Healthcare y Synnovis han demostrado los graves daños operativos, financieros y reputacionales que pueden resultar. Las organizaciones deben priorizar defensas robustas contra ransomware, incluyendo detección avanzada de amenazas, capacidades de respuesta rápida y estrategias integrales de respaldo de datos.
3. Alta Sensibilidad y Volumen de Datos Expuestos: Las filtraciones de datos que involucran grandes volúmenes de información sensible, especialmente datos personales y financieros, han resultado consistentemente en puntajes de riesgo más altos debido a su potencial para el robo de identidad, fraude financiero y sanciones regulatorias. Esto resalta la necesidad de medidas mejoradas de protección de datos, particularmente para organizaciones, como National Public Data, que manejan datos sensibles a través de múltiples herramientas y plataformas de comunicación.
4. Vulnerabilidades de Terceros y de la Cadena de Suministro: Varias filtraciones, como las que afectan a AT&T y Ticketmaster, han destacado las vulnerabilidades asociadas con proveedores externos y socios de la cadena de suministro. Esto enfatiza la necesidad crítica de monitoreo continuo y gestión robusta de las relaciones con terceros para minimizar los riesgos asociados con redes extendidas.
5. Cumplimiento Normativo y Repercusiones Legales: El análisis muestra que las filtraciones de datos a menudo resultan en violaciones de múltiples regulaciones, lo que lleva a multas sustanciales y consecuencias legales. Las organizaciones deben fortalecer sus marcos de cumplimiento y practices de gobernanza de datos para evitar infracciones regulatorias y sanciones financieras asociadas.
6. Evaluación Integral de Riesgos: Los hallazgos del informe subrayan la importancia de considerar múltiples factores al evaluar la exposición al riesgo de una filtración de datos. No se trata solo del número de registros filtrados o del costo financiero inmediato; el verdadero riesgo a menudo se configura por una combinación de elementos, incluyendo la sensibilidad de los datos comprometidos, el potencial de violaciones regulatorias y las implicaciones más amplias para el daño reputacional a largo plazo.
7. Impacto Contextual del Tipo de Filtración y Sensibilidad de los Datos: Los hallazgos destacan que el tipo de filtración y la sensibilidad de los datos involucrados son factores críticos que influyen en la exposición general al riesgo. Por ejemplo, una filtración que involucra un pequeño número de registros altamente sensibles, como números de seguridad social o registros médicos, puede tener consecuencias más severas que una filtración que involucra un gran volumen de datos menos sensibles. Esto demuestra que las organizaciones deben evaluar el contexto y contenido de los datos filtrados, no solo la cantidad, para comprender completamente los impactos potenciales.