¿Qué es una violación de datos?

Los términos "vulneración de datos" y "vulneración" a menudo se utilizan indistintamente con "ciberataque". Sin embargo, no todos los ciberataques son vulneraciones de datos. Las vulneraciones de datos solo incluyen aquellas violaciones de seguridad en las que alguien obtiene acceso no autorizado a los datos.

Por ejemplo, un ataque de denegación de servicio distribuido (DDoS) que sobrecarga un sitio web no es una vulneración de datos. Un ataque de ransomware que bloquea los datos de los clientes de una empresa y amenaza con filtrar los datos robados a menos que la empresa pague un rescate sea una vulneración de datos. El robo físico de discos duros, memorias USB o incluso archivos en papel que contienen información confidencial también es una vulneración de datos.

Según el informe "Cost of a Data Breach" de 2025 de IBM, el coste medio global de una vulneración de datos es de 4,44 millones de dólares. Aunque las organizaciones de cualquier tamaño y tipo son vulnerables a las vulneraciones, su gravedad y los costes para remediarlas pueden variar.

Por ejemplo, el coste medio de una vulneración de datos en Estados Unidos es de 10,22 millones de dólares, aproximadamente cuatro veces el coste de una vulneración en la India (2,51 millones de dólares).

Las consecuencias de las vulneraciones tienden a ser especialmente graves para las organizaciones en campos altamente regulados como la sanidad, las finanzas y el sector público, donde las elevadas multas y sanciones pueden agravar los costes. Por ejemplo, según el informe de IBM, el coste medio de una vulneración de datos sanitarios en 2025 es de 7,42 millones de dólares, el coste medio de vulneración más alto entre los sectores por decimocuarto año consecutivo.

Los costes de las vulneraciones de datos se deben a varios factores, y el informe de IBM señala cuatro factores clave: la pérdida de negocios, la detección y la escalada, la respuesta posterior a la vulneración y la notificación.

La pérdida de negocios, ingresos y clientes resultantes de una vulneración de seguridad cuesta en promedio a las organizaciones 1,38 millones de dólares. El precio de detectar y escalar la infracción es aún mayor: 1,47 millones de dólares. Los gastos posteriores a la vulneración, incluidas las multas, los acuerdos, los honorarios legales, la monitorización gratuita del crédito a los clientes afectados y gastos similares, cuestan a la víctima media de la infracción 1,20 millones de dólares.

Los costos de notificación, que incluyen la notificación de vulneraciones a clientes, reguladores y otros terceros, son los más bajos, con 390 000 USD. Sin embargo, los requisitos de presentación de informes pueden seguir siendo onerosos y llevar mucho tiempo.

• La Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Cruciales de EE. UU. de 2022 (CIRCIA) exige a las organizaciones de seguridad nacional, finanzas y otras industrias designadas que informen de los incidentes de ciberseguridad que afecten a los datos personales o a las operaciones comerciales al Departamento de Seguridad Nacional en un plazo de 72 horas.
  
  

• Las organizaciones estadounidenses sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) deben notificar al Departamento de Salud y Servicios Humanos de Estados Unidos, a las personas afectadas y a veces a los medios de comunicación en caso de vulneración de la información médica protegida.
  
  

• Los 50 estados de EE. UU. también tienen sus propias leyes de notificación de vulneraciones de datos.
  
  

• El Reglamento General de Protección de Datos (RGPD) exige que las empresas que hacen negocios con ciudadanos de la UE notifiquen a las autoridades sobre violaciones en un plazo de 72 horas.
  

Las vulneraciones de datos se deben a:

• Errores inocentes, como un empleado que envía información confidencial por correo electrónico a la persona equivocada.
   

• Usuarios internos negligentes, incluidos empleados enfadados o despedidos que quieren dañar a la empresa o causar daños a su reputación, y empleados codiciosos que quieren sacar provecho de los datos de la empresa.
   

• Hackers, personas externas malintencionadas que perpetran ciberdelitos intencionadamente para robar datos. Los piratas informáticos pueden actuar en solitario o formar parte de una banda organizada.

El beneficio económico es la principal motivación para la mayoría de las vulneraciones de datos maliciosas. Los hackers roban números de tarjetas de crédito, cuentas bancarias u otra información financiera para drenar fondos directamente de personas y empresas.

Algunos atacantes roban información de identificación personal (PII),como números de la seguridad social y números de teléfono, para robar la identidad, solicitar préstamos y abrir tarjetas de crédito a nombre de sus víctimas. Los ciberdelincuentes también pueden vender datos personales e información de cuentas robados en la dark web, donde pueden obtener hasta 500 USD por credenciales de acceso bancario.

Una vulneración de datos también puede ser la primera fase de un ataque de mayor envergadura. Por ejemplo, los hackers podrían robar las contraseñas de las cuentas de correo electrónico de los ejecutivos de una empresa y utilizar esas cuentas para llevar a cabo estafas de compromiso de correo electrónico empresarial. 

Las vulneraciones de datos pueden tener objetivos distintos al enriquecimiento personal. Las organizaciones sin escrúpulos pueden robar secretos comerciales a sus competidores, y los agentes de un Estado-nación pueden violar los sistemas gubernamentales para robar información sobre asuntos políticos delicados, operaciones militares o infraestructuras nacionales.

Las vulneraciones de datos intencionadas causadas por actores de amenazas internos o externos siguen el mismo modelo básico:

1.  Investigación: el actor de amenazas identifica un objetivo y busca debilidades que puedan usar para ingresar al sistema del objetivo. Estas debilidades pueden ser técnicas, como controles de seguridad inadecuados, o humanos, como los empleados susceptibles a la ingeniería social.
   
   
2. Ataque: el actor de amenazas inicia un ataque contra el objetivo utilizando el método elegido. El atacante podría enviar un spear phishing correo electrónico, explotar directamente las vulnerabilidades del sistema, utilizar credenciales de inicio de sesión robadas para apoderarse de una cuenta o aprovechar otros vectores de ataque comunes de violación de datos.
   
   
3. Comprometer datos: dentro del sistema, el atacante localiza los datos que desea y hace lo que vino a hacer. Las tácticas comunes incluyen la exfiltración de datos para su venta o uso, su destrucción o su bloqueo para exigir un rescate. 
   

Los ciberdelincuentes pueden utilizar varios vectores de ataque o métodos para perpetrar vulneraciones de datos. Algunos de las más comunes son las siguientes:

La vulneración de 2007 de TJX Corporation, la empresa matriz de los minoristas TJ Maxx y Marshalls, fue en ese momento la vulneración de datos de consumidores más grande y costosa en la historia de Estados Unidos. La protección de datos de aproximadamente 94 millones de clientes se vio comprometida y la empresa sufrió más de 256 millones de dólares en pérdidas financieras.

Los piratas informáticos obtuvieron acceso a los datos colocando rastreadores de tráfico en las redes inalámbricas de dos tiendas. Los rastreadores permitieron a los piratas informáticos capturar información a medida que se transmitía desde las cajas registradoras de la tienda a los sistemas de back-end.

En 2013, Yahoo sufrió la que podría ser la mayor vulneración de datos de la historia. Los hackers explotaron un punto débil en el sistema de cookies de la empresa para acceder a los nombres, fechas de nacimiento, direcciones de correo electrónico y contraseñas de los 3000 millones de usuarios de Yahoo.

El alcance total de la vulneración se reveló en 2016 mientras Verizon estaba en conversaciones para comprar la compañía. Verizon rebajó entonces su oferta de compra en 350 millones de dólares.

En 2017, los hackers se infiltraron en la agencia de informes crediticios Equifax y accedieron a los datos personales de más de 143 millones de estadounidenses.

Los hackers aprovecharon un punto débil no parcheado en el sitio web de Equifax para acceder a la red. A continuación, los hackers se desplazaron lateralmente a otros servidores en busca de números de la Seguridad Social, del permiso de conducir y de tarjetas de crédito. El ataque costó a Equifax 1,4 millones de dólares en indemnizaciones, multas y otros costes asociados a la reparación de la violación.

En 2020, agentes amenazas rusos lanzaron un ataque a la cadena de suministro pirateando al proveedor de software SolarWinds. Los hackers utilizaron Orion, la plataforma de monitorización de redes de la organización, para distribuir de forma encubierta malware a los clientes de SolarWinds.

Los espías rusos obtuvieron acceso a la información confidencial de varias agencias gubernamentales de EE. UU., incluidos los Departamentos del Tesoro, Justicia y Estado, que utilizan los servicios de SolarWinds.

En 2021, los hackers infectaron los sistemas de Colonial Pipeline con ransomware, lo que obligó a la compañía a cerrar temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de EE. UU.

Los hackers accedieron a la red a través de la contraseña de un empleado que encontraron en la dark web. La Colonial Pipeline Company pagó un rescate de 4,4 millones de dólares en criptomoneda, pero las fuerzas de seguridad federales recuperaron aproximadamente 2,3 millones de dólares de ese pago.

En el otoño de 2023, los hackers robaron los datos de 6,9 millones de usuarios de 23andMe. La vulneración fue notoria por un par de razones. En primer lugar, dado que 23andMe realiza pruebas genéticas, los atacantes obtuvieron información poco convencional y muy personal, como árboles genealógicos y datos de ADN.

En segundo lugar, los hackers accedieron a las cuentas de los usuarios mediante una técnica llamada "relleno de credenciales". En este tipo de ataque, los hackers utilizan credenciales expuestas en vulneraciones anteriores de otras fuentes para ingresar a cuentas no relacionadas de usuarios en diferentes plataformas. Estos ataques funcionan porque muchas personas utilizan las mismas combinaciones de nombre de usuario y contraseña en varios sitios.

Según el informe "Cost of a Data Breach" de 2025, se tarda una media de 241 días en identificar y contener una vulneración activa en todos los sectores. La implementación de las soluciones de seguridad adecuadas puede ayudar a las organizaciones a detectar y responder a estas vulneraciones más rápidamente.

Las medidas de gestión de riesgos estándar, como las evaluaciones de vulnerabilidad periódicas, las copias de seguridad programadas, la aplicación puntual de parches y la configuración adecuada de las bases de datos, pueden ayudar a prevenir algunas infracciones y a suavizar el golpe de las que se producen.

Sin embargo, hoy en día muchas organizaciones implementan controles más avanzados y mejores prácticas para detener más vulneraciones y mitigar significativamente el daño que causan.

Las organizaciones pueden implementar soluciones especializadas de seguridad de datos para descubrir y clasificar automáticamente los datos sensibles, aplicar el cifrado y otras protecciones y obtener información en tiempo real sobre el uso de los datos.

Las organizaciones pueden mitigar los daños causados por vulneraciones adoptando planes formales de respuesta ante incidentes para detectar, contener y erradicar las ciberamenazas. Según el informe "Cost of a Data Breach" de 2025, el área de inversión en seguridad más popular en tercer lugar para 2025 fue la planificación y las pruebas de respuesta a incidentes, con el 35 % de todos los encuestados.

Las organizaciones que integran ampliamente la inteligencia artificial (IA) y la automatización en las operaciones de seguridad resuelven las infracciones 80 días más rápido que aquellas que no lo hacen, según el informe "Cost of a Data Breach" de 2025. El informe también reveló que la IA de seguridad y la automatización reducen el coste medio de una vulneración en 1,9 millones de dólares, lo que supone un ahorro de más del 34 % (en comparación con las organizaciones que no utilizan la IA de seguridad y la automatización).

Muchas herramientas de seguridad de datos, prevención de pérdida de datos y gestión de identidades y accesos ahora incorporan IA y automatización.

Dado que la ingeniería social y los ataques de phishing son las principales causas de las filtraciones, formar a los empleados para que reconozcan y eviten estos ataques puede reducir el riesgo de que una empresa sufra una filtración de datos. Además, capacitar a los empleados para que manejen los datos correctamente puede ayudar a prevenir vulneraciones de datos accidentales y fugas de datos.

Los gestores de contraseñas, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), el inicio de sesión único (SSO) y otras herramientas de gestión de identidades y accesos (IAM) pueden proteger las cuentas de los empleados, las VPN y las credenciales contra el robo.

Las organizaciones también pueden aplicar controles de acceso basados en roles y el principio de privilegios mínimos para limitar el acceso de los empleados solo a los datos que necesitan para sus roles. Estas políticas pueden ayudar a detener tanto las amenazas internas como los hackers que secuestran cuentas legítimas.