¿Qué es una filtración de datos?

Los términos “filtración de datos” y “filtración” a menudo se usan indistintamente con “ataque cibernético”. Sin embargo, no todos los ciberataques son filtraciones de datos. Las filtraciones de datos incluyen solo aquellas violaciones de seguridad en las que alguien accede sin autorización a los datos.

Por ejemplo, un ataque de denegación distribuida del servicio (DDoS) que satura un sitio web no es una filtración de datos. Un ataque de ransomware que bloquea los datos de los clientes de una compañía y amenaza con filtrar los datos robados a menos que la compañía pague un rescate es una filtración de datos. El robo físico de discos duros, unidades flash USB o incluso archivos en papel que contienen información confidencial también es una filtración de datos.

Según el informe Costo de una filtración de datos 2025 de IBM, el costo promedio global de una filtración de datos es de 4.44 millones de dólares. Si bien las organizaciones de todos los tamaños y tipos son vulnerables a las filtraciones, la gravedad de estas filtraciones y los costos para corregirlas pueden variar.

Por ejemplo, el costo promedio de una filtración de datos en Estados Unidos es de 10.22 millones de dólares, aproximadamente 4 veces el costo de una filtración en India (2.51 millones de dólares).

Las consecuencias de las filtraciones tienden a ser especialmente graves para las organizaciones en campos altamente regulados como la atención médica, las finanzas y el sector gubernamental, donde las multas y sanciones elevadas pueden agravar los costos. Por ejemplo, según el informe de IBM, el costo promedio de una violación de datos de atención médica en 2025 es de USD 7.42 millones, el costo promedio de brecha más alto entre las industrias por decimocuarto año consecutivo.

El costo de las filtraciones de datos proviene de varios factores, según el informe de IBM, que señala cuatro principales: pérdida de negocio, detección y escalamiento, respuesta posterior a la violación y notificación.

La pérdida de negocios, ingresos y clientes resultante de una filtración cuesta a las organizaciones USD 1.38 millones en promedio. El precio de detectar y escalar la filtración es aún mayor: USD 1.47 millones. Los gastos posteriores a la filtración, que incluyen multas, acuerdos, honorarios legales, monitoreo crediticio gratis a los clientes afectados y gastos similares, le cuestan a la víctima promedio 1.20 millones de dólares.

Los costos de notificación, que incluyen la notificación de vulneraciones a clientes, reguladores y otros terceros, son los más bajos, con 390 000 USD. Sin embargo, los requisitos de presentación de informes pueden seguir siendo onerosos y llevar mucho tiempo.

• La Ley de Informes de Incidentes Cibernéticos de 2022 (CIRCIA) exige que las organizaciones de seguridad nacional, finanzas y otras industrias designadas informen incidentes de ciberseguridad que afectan datos personales u operaciones comerciales al Departamento de Seguridad Nacional dentro de 72 horas.
  
  

• Las organizaciones estadounidenses sujetas a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) deben notificar al Departamento de Salud y Servicios Humanos de los Estados Unidos, a las personas afectadas y, a veces, a los medios de comunicación si se incumple la información de salud protegida.
  
  

• Los 50 estados de EE. UU. también tienen sus propias leyes de notificación de filtración de datos.
  
  

• El Reglamento General de Protección de Datos (RGPD) exige a las empresas que hacen negocios con ciudadanos de la UE notificar a las autoridades sobre filtraciones en un plazo de 72 horas.
  

Las filtraciones de datos son causadas por:

• Errores inocentes, como un empleado que envía información confidencial por correo electrónico a la persona equivocada.
   

• Usuarios internos maliciosos, incluidos empleados enojados o despedidos que quieren dañar a la compañía o causar daños a la reputación, y empleados codiciosos que quieren sacar provecho de los datos de la compañía.
   

• Hackers, personas externas maliciosas que cometen delitos cibernéticos intencionales para robar datos. Los piratas informáticos pueden actuar como operadores solitarios o formar parte de un anillo organizado.

La ganancia financiera es la principal motivación para la mayoría de las filtraciones de datos maliciosas. Los hackers roban números de tarjetas de crédito, cuentas bancarias u otra información financiera para drenar fondos directamente de personas y compañías.

Algunos atacantes roban información de identificación personal (PII), como números de seguro social y números de teléfono, para el robo de identidad, la obtención de préstamos y la apertura de tarjetas de crédito a nombre de sus víctimas. Los delincuentes cibernéticos también pueden vender información de identificación personal e información de cuentas robadas en la dark web, donde pueden obtener hasta 500 USD por credenciales de inicio de sesión bancarias.

Una filtración de datos también puede ser la primera fase de un ataque mayor. Por ejemplo, los hackers pueden robar las contraseñas de las cuentas de correo electrónico de ejecutivos corporativos y utilizarlas para llevar a cabo fraudes de compromiso de correo electrónico comercial.

Las filtraciones de datos pueden tener otros objetivos además del enriquecimiento personal. Las organizaciones sin escrúpulos podrían robar secretos comerciales de los competidores, y los actores del estado-nación podrían violar los sistemas gubernamentales para robar información sobre tratos políticos sensibles, operaciones militares o infraestructura nacional.

Las filtraciones intencionales de datos causadas por actores de amenazas internos o externos siguen el mismo patrón básico:

1.  Investigación: el actor de amenazas identifica un objetivo y busca debilidades que pueda usar para irrumpir en el sistema del objetivo. Estas debilidades pueden ser técnicas, como controles de seguridad inadecuados , o humanas, como empleados susceptibles a la ingeniería social.
   
   
2. Ataque: el actor de amenazas inicia un ataque contra el objetivo empleando el método elegido. El atacante podría enviar un correo electrónico de phishing focalizado, explotar directamente las vulnerabilidades en el sistema, usar credenciales de inicio de sesión robadas para hacerse cargo de una cuenta o aprovechar otros vectores de ataque comunes de filtración de datos.
   
3. Compromiso de datos: dentro del sistema, el atacante localiza los datos que quiere y hace lo que vino a hacer. Las tácticas comunes incluyen exfiltrar datos para venderlos o usarlos, destruirlos o bloquearlos para exigir un rescate.
   

Los actores maliciosos pueden usar varios vectores de ataque o métodos para llevar a cabo filtraciones de datos Algunos de los más comunes incluyen:

La filtración de 2007 de TJX Corporation, la compañía matriz de los minoristas TJ Maxx y Marshalls, fue en ese momento la filtración de datos de consumidores más grande y costosa en la historia de Estados Unidos. La privacidad de datos de aproximadamente 94 millones de clientes se vio comprometida y la empresa sufrió pérdidas financieras por más de USD 256 millones.

Los hackers obtuvieron acceso a los datos al plantar rastreadores de tráfico en las redes inalámbricas de dos tiendas. Los rastreadores permitieron a los piratas informáticos capturar información a medida que se transmitía desde las cajas registradoras de la tienda a los sistemas back-end.

Yahoo sufrió lo que puede ser la mayor filtración de datos de la historia. Los hackers explotaron una debilidad en el sistema de cookies de la empresa para obtener acceso a los nombres, fechas de nacimiento, direcciones de correo electrónico y contraseñas de los 3 mil millones de usuarios de Yahoo.

El alcance total de la filtración se reveló en 2016, mientras Verizon estaba en conversaciones para comprar la compañía. Como resultado, Verizon redujo su oferta de adquisición en 350 millones USD.

En 2017, los piratas informáticos violaron la agencia de reportes crediticios Equifax y accedieron a los datos personales de más de 143 millones de estadounidenses.

Los piratas informáticos explotaron una debilidad no parcheada en el sitio web de Equifax para obtener acceso a la red. Luego, los piratas informáticos se desplazaron lateralmente a otros servidores para encontrar números de Seguro Social, números de licencia de manejar y números de tarjetas de crédito. El ataque costó a Equifax mil mil 1.4 millones USD entre asentamientos, multas y otros costos asociados con la reparación de la filtración.

En 2020, los actores rusos ejecutaron un ataque a la cadena de suministro pirateando al proveedor de software SolarWinds. Los hackers utilizaron la plataforma de monitoreo de red de la organización, Orion, para distribuir malware de forma encubierta a los clientes de SolarWinds.

Los espías rusos obtuvieron acceso a la información confidencial de varias agencias de gobierno de Estados Unidos, incluidos los Departamentos del Tesoro, Justicia y Estado, que emplean los servicios de SolarWinds.

En 2021, los hackers infectaron los sistemas de Colonial Pipeline con ransomware, lo que obligó a la empresa a cerrar temporalmente el oleoducto que suministraba el 45 % del combustible de la costa este de los Estados Unidos.

Los piratas informáticos accedieron a la red empleando la contraseña de un empleado que encontraron en la dark web. La Colonial Pipeline Company pagó un rescate de 4,4 millones de dólares en criptomoneda, pero las fuerzas de seguridad federales recuperaron aproximadamente 2,3 millones de dólares de ese pago.

En el otoño de 2023, los hackers robaron los datos de 6.9 millones de usuarios de 23andMe. La filtración fue notable por un par de razones. En primer lugar, debido a que 23andMe realiza pruebas genéticas, los atacantes obtuvieron información poco convencional y muy personal, incluidos árboles genealógicos y datos de ADN.

En segundo lugar, los piratas informáticos accedieron a las cuentas de los usuarios mediante una técnica denominada "credential stuffing." En este tipo de ataque, los hackers emplean credenciales expuestas en filtraciones anteriores de otras fuentes para entrar en cuentas no relacionadas de usuarios en diferentes plataformas. Estos ataques funcionan porque mucha gente reutiliza las mismas combinaciones de nombre de usuario y contraseña en distintos sitios.

Según el Informe del costo de una filtración de datos 2025, se tarda un promedio de 241 días en identificar y contener una filtración activa en todas las industrias. Desplegar las soluciones de seguridad adecuadas puede ayudar a las organizaciones a detectar y responder a estas filtraciones más rápidamente.

Las medidas estándar de gestión de riesgos, como las evaluaciones de vulnerabilidad periódicas, las copias de seguridad programadas, la aplicación oportuna de parches y las configuraciones adecuadas de las bases de datos, pueden ayudar a prevenir algunas filtraciones y a suavizar el golpe de las que se producen.

Sin embargo, hoy en día muchas organizaciones implementan controles más avanzados y mejores prácticas para detener más infracciones y mitigar significativamente el daño que causan.

Las organizaciones pueden desplegar soluciones especializadas de seguridad de datos para descubrir y clasificar automáticamente los datos confidenciales, aplicar cifrado y otras protecciones, y obtener insights en tiempo real sobre el uso de los datos.

Las organizaciones pueden mitigar el daño de las filtraciones adoptando planes formales de respuesta a incidentes para detectar, contener y erradicar las amenazas cibernéticas. Según el Informe del costo de una filtración de datos 2025, la tercera área más popular de inversión en seguridad para 2025 fue la planificación y las pruebas de IR, con un 35 % de todos los encuestados.

Las organizaciones que integran ampliamente la inteligencia artificial (IA) y la automatización en las operaciones de seguridad resuelven las brechas 80 días más rápido que las que no lo hacen, según el Informe del costo de una filtración de datos 2025. El informe también encontró que la IA de seguridad y la automatización reducen el costo de una filtración promedio en 1.9 millones de dólares o un ahorro de más del 34 % (en comparación con las organizaciones que no utilizan IA de seguridad y automatización).

Muchas herramientas de seguridad de datos, prevención de pérdida de datos  y gestión de identidad y acceso ahora incorporan IA y automatización.

Debido a que la ingeniería social y los ataques de phishing son las principales causas de las filtraciones, capacitar a los empleados para que reconozcan y eviten estos ataques puede reducir el riesgo de una empresa de una filtración de datos. Además, capacitar a los empleados para que manejen los datos correctamente puede ayudar a prevenir filtraciones accidentales de datos y fugas de datos.

Los administradores de contraseñas, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), el inicio de sesión único (SSO) y otras herramientas de gestión de identidad y acceso (IAM) pueden proteger las cuentas de los empleados, las VPN y las credenciales contra el robo.

Las organizaciones también pueden aplicar controles de acceso basados en roles y el principio de privilegio mínimo para limitar el acceso de los empleados a sólo los datos que necesitan para sus roles. Estas políticas pueden ayudar a detener tanto las amenazas internas como los hackers que secuestran cuentas legítimas.