¿Qué es una violación de datos?
Una violación de datos es cualquier incidente de seguridad que provoque un acceso no autorizado a información confidencial.
Suscríbase al boletín de IBM Explore IBM Security QRadar
Dos trabajadores sentados en un escritorio compartido, ambos mirando el monitor del ordenador
¿Qué es una violación de datos?

Una violación de datos es cualquier incidente de seguridad en el que personas no autorizadas acceden a datos sensibles o información confidencial, incluidos datos personales (números de la Seguridad Social, números de cuentas bancarias, datos sanitarios) o datos empresariales (registros de datos de clientes, propiedad intelectual, información financiera).

Los términos "violación de datos" y "violación" a menudo se utilizan indistintamente con "ciberataque". Pero no todos los ciberataques son violaciones de datos y no todas las violaciones de datos son ciberataques.

Las violaciones de datos incluyen únicamente aquellas violaciones de seguridad en las que la confidencialidad de los datos se ve comprometida.Por ejemplo, un ataque de denegación de servicio distribuido (DDoS) que sobrecarga un sitio web no es una violación de datos. Sin embargo, un ataque de ransomware que bloquea los datos de los clientes de una empresa y amenaza con venderlos si no se paga un rescate, es una violación de datos. Lo mismo ocurre con el robo físico de discos duros, memorias USB o incluso archivos en papel que contengan información sensible.

Coste de la violación de la seguridad de los datos 2022

Las violaciones en empresas que utilizan IA y automatización cuestan 3 millones de dólares menos que las violaciones en organizaciones sin esas herramientas.

Un problema que sale caro

Según el informe Coste de una violación de datos 2022 de IBM,el coste medio mundial de una violación de datos es de 4,35 millones de dólares, el coste medio de una violación de datos en Estados Unidos es más del doble, 9,44 millones de dólares.El 83 % de las organizaciones encuestadas en el informe experimentaron más de una violación de datos.

Organizaciones de todos los tamaños y tipos son vulnerables a las violaciones: grandes y pequeñas empresas, compañías públicas y privadas, gobiernos federales, estatales y locales, organizaciones sin ánimo de lucro.Pero las consecuencias de una violación de datos son especialmente graves para organizaciones de ámbitos como la sanidad, las finanzas y el sector público.El valor de los datos que manejan estas empresas (secretos gubernamentales, información sanitaria de pacientes, números de cuentas bancarias y credenciales de inicio de sesión) y las estrictas multas y sanciones reglamentarias a las que se enfrentan estas organizaciones en caso de infracción aumentan considerablemente los costes.Por ejemplo, según el informe de IBM, el coste medio de una violación de datos en el sector sanitario es de 10,10 millones de dólares, más del doble del coste medio de todas las violaciones.

Los costes asociados a las violaciones de datos están relacionados con una serie de factores, algunos más sorprendentes que otros.La pérdida de negocios, ingresos y clientes cuesta a las víctimas de violaciones de datos una media de 1,42 millones de dólares. Sin embargo, el coste de detectar y neutralizar una violación es ligeramente superior, con una media de 1,44 millones de dólares.Mientras que el coste medio de los gastos ocasionados por la infracción (multas, liquidaciones, honorarios de abogados, costes de información y seguimiento gratuito de la solvencia de los clientes afectados) asciende a 1,49 millones de dólares.Notificar las violaciones de datos puede ser especialmente costoso y llevar mucho tiempo.

  • La ley estadounidense de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 (CIRCIA, por sus siglas en inglés) exige a las organizaciones de los sectores de seguridad nacional, finanzas, fabricación crítica y otros sectores designados que informen al Departamento de Seguridad Nacional sobre incidentes de ciberseguridad que involucren datos personales u operaciones comerciales en un plazo de 72 horas.

  • Las organizaciones estadounidenses sujetas a la ley de portabilidad y responsabilidad del seguro médico (HIPPA, por sus siglas en inglés) deben notificar al Departamento de Salud y Servicios Humanos de Estados Unidos, a las personas afectadas y (en algunos casos) a los medios de comunicación en caso de violación de la información sanitaria protegida.

  • Los 50 estados de EE. UU. también tienen sus propias leyes de notificación de violación de datos.

  • El Reglamento General de Protección de Datos (RGPD) exige que las empresas que hacen negocios con ciudadanos de la UE notifiquen a las autoridades sobre violaciones en un plazo de 72 horas. Esta notificación y las demás responsabilidades que de ella se derivan (pago de multas, liquidaciones y costas judiciales, establecimiento de un control gratuito de la solvencia de los clientes afectados) cuestan a la víctima de una violación de datos una media de 1,49 millones de dólares.
Por qué se producen violaciones de datos

Las violaciones de datos pueden deberse a

  • Errores inocentes, por ejemplo, un empleado que envía información confidencial por correo electrónico a la persona equivocada.

  • Personal malintencionado: empleados enfadados o despedidos, o un recurso codicioso susceptible de recibir un soborno de una persona ajena a la empresa
  • Hackers:personas externas malintencionadas que perpetran ciberdelitos intencionadamente para robar datos.

La mayoría de los ataques malintencionados están motivados por el beneficio económico.Los hackers pueden robar números de tarjetas de crédito, cuentas bancarias u otra información financiera para extraer fondos directamente de particulares o empresas.Pueden robar información personal de identificación (números de la seguridad social y números de teléfono) con fines de usurpación de identidad (pidiendo préstamos y abriendo cuentas de tarjetas de crédito a nombre de sus víctimas) o para venderla en la web oscura, donde pueden obtener  hasta 1 dólar por número de seguro social y 2000 dólares por número de pasaporte (enlace externo a ibm.com ). Los ciberdelincuentes también pueden vender datos personales o de identificación robados a otros hackers en la web oscura, que pueden utilizarlos con fines malintencionados. 

Las violaciones de datos pueden tener otros objetivos. Las organizaciones sin escrúpulos pueden robar secretos comerciales de los competidores. Los agentes estatales pueden penetrar en los sistemas gubernamentales para robar información sobre transacciones políticas sensibles, operaciones militares o infraestructuras nacionales.Algunas violaciones son puramente destructivas, ya que los hackers acceden a datos sensibles con el único objetivo de destruirlos o degradarlos.Estos ataques destructivos, que representan el 17 por ciento de las violaciones según el informe Coste de una violación de datos de 2022, suelen ser obra de agentes estatales o grupos hacktivistas que buscan dañar una organización.

Cómo ocurren las violaciones de datos

Según el informe Coste de una violación de datos de 2022, el ciclo de vida promedio de una violación de datos es de 277 días, lo que significa que las organizaciones tardan ese tiempo en identificar y contener una violación activa.

Las violaciones de datos intencionadas causadas por ciberdelincuentes internos o externos siguen el mismo modelo básico:

  1. Investigación: los hackers buscan un objetivo y, a continuación, buscan puntos débiles que puedan explotar en el sistema informático o los empleados del objetivo. También pueden comprar malware de información previamente robada para acceder a la red del objetivo.

  2. Ataque: una vez identificados el objetivo y el método, el hacker lanza el ataque. Pueden lanzar una campaña de ingeniería social, explotar directamente las vulnerabilidades del sistema objetivo, utilizar credenciales de inicio de sesión robadas o aprovechar alguno de los otros vectores de ataque habituales en las violaciones de datos (véase más abajo).

  3. Comprometer datos: el hacker localiza los datos que busca y actúa.Puede exfiltrar datos para utilizarlos o venderlos, destruirlos o bloquearlos con un ransomware y exigir un pago.
Vectores de ataque comunes relacionados con las filtraciones de datos

Los ciberdelincuentes pueden utilizar varios vectores de ataque, o métodos, para perpetrar violaciones de datos.Algunos de las más comunes son las siguientes:

Credenciales robadas o comprometidas

Según el informe  Coste de una violación de datos de 2022, las credenciales robadas o comprometidas son el vector de ataque inicial más común, representando el 19% de las violaciones de datos.Los hackers pueden robar o poner en peligro las credenciales mediante ataques de fuerza bruta, comprando credenciales robadas en la web oscura o engañando al personal para que revele sus credenciales mediante ataques de ingeniería social.

Ataques de ingeniería social

La ingeniería social  consiste en manipular psicológicamente a las personas para que comprometan involuntariamente la seguridad de su propia información. El phishing, el tipo más común de ataque de ingeniería social, es también el segundo vector de ataque más común para las violaciones de datos, representando el 16% de las violaciones. Las estafas de phishing utilizan correos electrónicos, mensajes de texto, contenidos de redes sociales o sitios web fraudulentos para engañar a los usuarios con el fin de que faciliten sus credenciales o descarguen programas maliciosos.

Más información sobre ingeniería social
Ransomware

Según el informe Coste de una violación de datos de 2022, una empresa tarda de media 326 días en identificar y contener una violación de ransomware. Esta cifra es aún más aterradora si se tiene en cuenta que, según el índice X-Force Threat Intelligence Index 2023, el tiempo medio de ejecución del ransomware ha caído de más de 60 días en 2019 a solo 3,85 días en 2021. El coste medio de un ataque de ransomware es de 4,54 millones de dólares. Esta cifra no tiene en cuenta el pago de rescates, que puede ascender a decenas de millones de dólares.

Más información sobre ransomware
Vulnerabilidades del sistema

Los ciberdelincuentes pueden acceder a una red objetivo aprovechando los puntos débiles de los activos informáticos, como sitios web, sistemas operativos, terminales y programas de uso común, como Microsoft Office o los navegadores web.Una vez que los hackers han localizado una vulnerabilidad, a menudo la usarán para inyectar malware en la red. El spyware, que registra las pulsaciones del teclado de la víctima y otros datos sensibles y los envía a un servidor de mando y control operado por piratas informáticos, es un tipo común de malware utilizado en las violaciones de datos.

Inyección SQL

Otro método para penetrar directamente en los sistemas objetivo es la inyección SQL, que consiste en explotar los puntos débiles de las bases de datos SQL (Structured Query Language) de sitios web inseguros.Los hackers introducen código malicioso en el campo de búsqueda del sitio web, provocando que la base de datos devuelva datos privados como números de tarjetas de crédito o información personal de los clientes.

Error humano y fallos de TI

Los hackers pueden aprovechar los errores de los empleados para obtener acceso a información confidencial. Por ejemplo, según el informe Coste de una violación de datos de 2022 de IBM, las desconfiguraciones de la nube se utilizaron como vector de ataque inicial en el 15% de las brechas.El personal también puede exponer los datos almacenándolos en lugares no seguros, extraviando los dispositivos que contienen información sensible almacenada en discos duros o concediendo por error a los usuarios de la red privilegios de acceso excesivos a los datos.Los ciberdelincuentes también pueden aprovechar fallos informáticos, como interrupciones temporales del sistema, para acceder a bases de datos sensibles.

Errores físicos o de seguridad del sitio

Los atacantes pueden robar el dispositivo personal o profesional de un empleado para acceder a los datos confidenciales que contiene, irrumpir en las oficinas de la empresa para robar documentos en papel y discos duros físicos, o colocar dispositivos de skimming en lectores físicos de tarjetas de crédito y débito para recopilar información de tarjetas de pago.

Infracciones notables de datos

Estos son algunos ejemplos que ilustran la amplia gama de causas y costes de una violación de datos.

  • TJX: La violación de datos sufrida en 2007 por TJX Corporation, la empresa matriz de los minoristas TJ Maxx y Marshalls, fue en su momento la mayor y más costosa de la historia de Estados Unidos, con nada menos que 94 millones de registros de clientes comprometidos y más de 256 millones de dólares en pérdidas financieras. Los piratas informáticos accedieron a los datos descifrando la red inalámbrica que conectaba las cajas registradoras de una tienda con los sistemas internos.

  • Yahoo: En 2013, Yahoo sufrió lo que puede ser la mayor violación de datos de la historia. Los piratas informáticos aprovecharon un punto débil en el sistema de cookies de la empresa para acceder a los nombres, fechas de nacimiento, direcciones de correo electrónico y contraseñas de los 3000 millones de usuarios de Yahoo.El alcance de la violación no se reveló hasta 2016, cuando Verizon estaba en conversaciones para comprar la empresa.Verizon rebajó entonces su oferta de compra en 350 millones de dólares.
  • Equifax: En 2017, los hackers irrumpieron en Equifax, una agencia de información crediticia, y accedieron a los datos personales de más de 143 millones de estadounidenses.Aprovecharon un punto débil sin parche en el sitio web de la agencia para obtener acceso a la red, y luego se desplazaron lateralmente a otros servidores para encontrar números de la Seguridad Social, permisos de conducir y tarjetas de crédito.El ataque costó a Equifax 1400 millones de dólares en indemnizaciones, multas y otros costes asociados a la reparación de la violación.
  • SolarWinds: En 2020, agentes estatales rusos lanzaron un ataque a la cadena de suministro pirateando al proveedor de software SolarWinds. Los hackers utilizaron Orion, la plataforma de monitorización de redes de la organización, para distribuir de forma encubierta malware a los clientes de SolarWinds.Los espías rusos pudieron acceder a información confidencial de varias agencias gubernamentales estadounidenses que utilizan los servicios de SolarWinds, incluidos los Departamentos del Tesoro, Justicia y Estado.
  • Colonial Pipeline: en 2021, unos piratas informáticos infectaron los sistemas de Colonial Pipeline con ransomware, lo que obligó a la empresa a cerrar temporalmente el oleoducto que suministra el 45 por ciento del combustible de la costa este de EE. UU. Los hackers utilizaron la contraseña de un empleado, encontrada en la web oscura, para violar la red. La empresa Colonial Pipeline Company pagó un rescate de 4,4 millones de dólares en criptomoneda, pero las autoridades policiales federales pudieron recuperar alrededor de 2,3 millones de esa cantidad.
Prevención y mitigación de violaciones de datos

Las medidas de seguridad estándar (evaluaciones periódicas de vulnerabilidades, copias de seguridad programadas, cifrado de datos en reposo y en movimiento, configuración adecuada de bases de datos, aplicación oportuna de sistemas y programas informáticos) pueden ayudar a prevenir las filtraciones de datos y mitigar sus efectos cuando se producen.Sin embargo, las organizaciones modernas pueden aplicar controles de seguridad de datos, tecnologías y buenas prácticas más específicos para prevenir mejor las violaciones de datos y mitigar los daños resultantes.

Planes de respuesta a incidentes. El plan de respuesta a incidentes (IRP) de una organización, un plan para detectar, contener y erradicar las ciberamenazas, es una de las formas más eficaces de mitigar los daños de una violación de datos. Según el informe Coste de una violación de datos de 2022, las organizaciones con planes de respuesta a incidentes probados regularmente y equipos formales de respuesta a incidentes tienen un coste medio de 3,26 millones de dólares, lo que supone 2,66 millones de dólares menos que el coste medio de una violación de datos para organizaciones sin equipos o planes de respuesta a incidentes.

IA y automatización. El informe Coste de una vulneración de datos de 2022 también reveló que las organizaciones que aplican altos niveles de inteligencia artificial (IA) y automatización para detectar y responder a las amenazas tienen un coste medio de una filtración de datos un 55,3% inferior al de las organizaciones que aplican niveles inferiores de estas tecnologías. Tecnologías como SOAR (orquestación, automatización y respuesta de seguridad), UEBA (análisis del comportamiento del usuario), EDR (detección y respuesta de endpoints) y XDR (detección y respuesta extendidas) aprovechan la IA y los análisis avanzados para identificar amenazas en una fase temprana, antes de que den lugar a violaciones de datos, y proporcionan capacidades de automatización que permiten una respuesta más rápida y menos costosa.

Formación de personal. Dado que la ingeniería social y los ataques de phishing son las principales causas de las violaciones, formar a los empleados para que reconozcan y eviten estos ataques puede reducir el riesgo de filtración de datos en una organización. Además, si se forma a los empleados para que manejen los datos correctamente, se pueden evitar las violaciones y filtraciones accidentales.

Gestión de entidades y acceso (IAM). Las políticas de contraseñas sólidas, los gestores de contraseñas, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), el inicio de sesión único (SSO) y otras tecnologías y prácticas de gestión de identidades y accesos (IAM) pueden ayudar a las organizaciones a defenderse mejor de los piratas informáticos que utilizan credenciales robadas o comprometidas, el vector de ataque más común para las filtraciones de datos.

Un enfoque de seguridad zero trust. Un enfoque de seguridad zero trust implica no confiar nunca y comprobar constantemente a todos los usuarios o entidades, ya estén fuera o dentro de la red. En particular, el enfoque zero trust requiere

  • Autenticación, autorización y validación continuas: unaCualquier persona o entidad que intente acceder a la red o a un recurso de la red se considera potencialmente comprometida o malintencionada. Por tanto, deben pasar constantemente por procesos contextuales de autenticación, autorización y validación para obtener o conservar el acceso a la red.

  • Acceso con menos privilegios: Una vez obtenida la validación, se concede a los usuarios o entidades el menor nivel de acceso y las autorizaciones necesarias para realizar su tarea o desempeñar su función.

  • Supervisión exhaustiva de toda la actividad de la red: La aplicación del enfoque zero trust requiere visibilidad de todos los aspectos del ecosistema de redes híbridas de una organización, incluido el modo en que los usuarios y las entidades interactúan con los recursos en función de su función, y qué vulnerabilidades potenciales existen.

Estos controles pueden ayudar a contrarrestar las violaciones de datos y otros ciberataques identificándolos y bloqueándolos desde el principio, y limitando el movimiento y el progreso de los piratas informáticos y los ataques que consiguen acceder a la red.

Soluciones relacionadas
IBM® Security® QRadar Suite

Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.

Explore QRadar suite
Soluciones de seguridad y protección de datos

Tanto si se implementan en las instalaciones como en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener visibilidad y conocimientos para investigar y remediar las ciberamenazas, aplicar controles en tiempo real y gestionar la conformidad normativa.

Explore las soluciones de seguridad y protección de datos
Equipo de respuesta a incidentes de X-Force Force

La investigación proactiva de amenazas, la supervisión continua y el examen en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado.Contar con un equipo de respuesta a incidentes de confianza puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.

Descubra la respuesta ante incidentes de X-Force
Recursos Informe Coste de los datos de 2022

Obtenga la información más reciente sobre el panorama de amenazas en expansión y ofrezca recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.

X-Force Threat Intelligence Index 2023

Directores de seguridad de la información, equipos de seguridad y directores de empresas: descubra cómo llevan a cabo sus ataques los delincuentes y cómo proteger su organización de forma proactiva.

¿Qué es el ransomware?

Aprenda cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo se defienden las organizaciones contra él.

De el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para analizar innumerables alertas e incidentes. IBM Security QRadar SIEM facilita la corrección de las amenazas con mayor rapidez, a la vez que mantiene su cuenta de resultados. QRadar SIEM prioriza las alertas de alta fidelidad para ayudarle a detectar amenazas que otros simplemente pasan por alto.

Más información sobre QRadar SIEM Solicite una demo de QRadar SIEM