Saltar al contenido principal

¿Qué es una infracción de datos y cómo puede proteger su negocio de ellas?

 

What is a data breach?

A data breach is also known as a data spill or data leak.

According to Techopedia, a data breach is “an incident which involves the unauthorized or illegal viewing, access or retrieval of data by an individual, app, or service”.1 This type of security breach is specifically for stealing sensitive information and can be performed physically by accessing a computer or network, or remotely by bypassing network security.

Data breaches commonly occur after a hacker or similar unauthorized user accesses a secure database or data repository. Frequently conducted via the internet or a network connection, data breaches usually revolve around the pursuit of logical or digital data.

According to Symantec, the most common form of data lost to data breaches was personally identifiable information—such as full names, credit card numbers, and Social Security numbers—with personal financial information close behind.2

After they have acquired this data, hackers may use it to commit identity theft and other cybercrimes, including applying their stolen information and gaining administrator access to your entire network.

In addition to data loss, a data breach harms a business and its customers in other ways. The damage extends to the cost to boost cybersecurity, and repair and update the exploitable vulnerability, as well as the long-term damage to the enterprise’s reputation and its customers who had their private information stolen.

How does a data breach occur?

Multinational cybersecurity and defense company Trend Micro argues that data breaches are a four-step process that includes the following actions for a general data breach:

  • Research. The hacker probes the computer or network for vulnerabilities.
  • Attack. The hacker begins the attack, making contact using a network or social attack.
    • Network attack. This attack involves network manipulation. The hacker uses infrastructure, system and application weaknesses to infiltrate the victim’s computer or network.
    • Social attack. This attack involves social manipulation. The hacker tricks or baits employees into giving them access to the computer or network. This method includes tricking an employee into revealing login credentials or duping the employee into opening a malicious attachment.
  • Exfiltration. Once they have broken into a computer, hackers can then attack the network or pilfer the company’s data. After the network is damaged or the data is extracted, the attack is considered successful.3

Why do data breaches occur?

An anti-malware software manufacturer Malwarebytes argues that “a data breach isn’t a threat or attack in its own right and instead comes as a result of a cyberattack that allows hackers to gain unauthorized access to a computer system or network and steal its data”.4 As the process of digitizing content rises and the cloud continues to grow, data breaches will continue to occur.

Targeted data breaches typically occur for the following reasons:  

  • Exploiting system vulnerabilities
  • Weak passwords
  • Structured Query Language (SQL) injection
  • Spyware
  • Phishing
  • Drive-by downloads
  • Broken or misconfigured access controls

Exploiting system vulnerabilities

Hackers use exploits of systematic vulnerabilities in software or systems to gain unauthorized access to a computer or network and its data. Exploits are commonly found in operating systems, internet browsers, and a variety of different apps.

Hidden within a system’s code, these vulnerabilities are sought out by hackers, as well as cybersecurity experts and researchers. For example, older operating systems can, unfortunately, have built-in vulnerabilities that today’s hackers can easily exploit to access a computer’s data.

While the hackers want to use the exploits for their own malicious gain, the cyber security agents want to better understand the exploits and how they can be patched or otherwise modified to prevent data breaches and boost cybersecurity.

To make their dubious work easier, some cybercriminal groups will package different exploits into automated kits. These kits allow criminals with little technical knowledge to take advantage of exploits.

Weak passwords

As its name implies, a weak password is a password that is easy to determine by humans and computers. These passwords often contain the name of the user’s spouse, children, pets or address, since they’re easy for the user to remember. The passwords may not be case sensitive or just generally fail to use capital letters or symbols.

Weak passwords are easy for hackers to guess or use in brute force attacks or spidering to figure out a user’s password. Also, never have your password written down on your desk or be aware of anyone who makes be “shoulder surfing” when you’re entering a password. 

SQL injection attack

Structured query language (SQL) injection attacks exploit the vulnerabilities in an unsecured website’s SQL database management software. To execute a SQL injection attack, a hacker embeds malicious code into a vulnerable site or application, then pivots to the backend database.

For example, a hacker changes the code in a retailer’s website so that when they perform a search for “best-selling headphones,” instead of yielding results for great headphones, the retailer’s website provides the hacker with a list of customers and their credit card information.

A less sophisticated type of cyberattack, SQL attacks can be performed using automated programs similar to those used for exploits.

Spyware

Spyware is malware that infects your computer or network to “spy” on you and otherwise gather information about you, your computer, and what websites you visit.

Victims often are infected by spyware after downloading or installing something that seems benign, only to have spyware bundled together with it. You can also get spyware by clicking on a malicious link or as a secondary infection from a virus.

Alternatively, spyware can make its way onto your computer as a secondary infection via a Trojan like Emotet. As reported on the Malwarebytes Labs blog, Emotet, TrickBot, and other banking Trojans have found new life as delivery tools for spyware and other types of malware. Once your system is infected, the spyware sends all your personal data back to the C&C servers run by the cybercriminals.

After your computer has been infected with spyware and it collects information about you, it then forwards this information to a remote location, such as command and control (C&C) servers or a similar repository where cybercriminals can access it.

Phishing

Phishing attacks usually use social engineering to manipulate its victims’ emotions against logic and reasoning and get them to share sensitive information. They are often performed using email spoofing-based attacks or cloned website-based attacks that function similarly.

Attackers employing phishing and spam email tactics will trick users into doing the following:

  • Revealing their user and password credentials
  • Downloading malicious attachments
  • Visiting malicious websites

For example, you could get an email that looks like it’s from your credit card company, asking you to verify made-up charges to your account, and prompting you to log in using a link to a fake version of the credit card site. Unsuspecting victims attempt to log in to the fake site using their real usernames and passwords. Once hackers have that information, they can log in to and access your credit card account, and use it for identity theft and similar cybercrime.

Drive-by downloads

Drive-by downloads are cyber attacks that can install spyware, adware, malware, and similar software onto a user’s computer without the user’s authorization. They allow hackers to take advantage of exploits and security flaws in browsers, applications, and operating systems.

This cyber attack doesn’t necessarily need to trick the users into enabling it. Unlike phishing and spoofing attacks where the user needs to click a malicious link or download a malicious attachment, drive-by downloads just engage with a computer or device without the user’s permission. 

Broken or misconfigured access controls

If a website administrator isn’t careful, the administrator could establish access controls that would make parts of a system that are meant to be private able to be accessed by the public. This misstep could be something as careless as neglecting to set certain backend folders that contain sensitive data to private. General users tend to remain unaware of broken or misconfigured access controls. However, hackers that perform specific Google searches can locate these folders and access them. A good comparison to this situation is a burglar entering a house through an unlocked window as opposed to a burglar breaking into a house through a locked door. 

Benevolent hackers and data breaches

A data breach, similar to most types of cyber thefts, involves hackers attempting to gain unauthorized access to your computer or network and steal your private information. However, there are some instances where this theft is performed with benevolent intentions.

Like many cybersecurity researchers, “white hat” hackers and other benevolent hackers will attempt to break into your computer or network to discover exploits and vulnerabilities, and then make others aware so that they can create a solution that remedies the exploit.

For example, after nine months of reverse engineering work, an academic hacker team from KU Leuven University in Belgium published a paper in September 2018 that revealed how it defeated Tesla’s encryption for the Model S.5 The team’s work helped Tesla create new cybersecurity technology for its vehicles that remedied the exploit the KU Leuven team discovered and used it to clone the Model S’s key fob.

How can you detect a data breach?

Unlike many common types of cyber attacks, data breaches are notoriously hard to detect and it’s very common for organizations to discover the breach days or weeks, sometimes even months after it has occurred. This large gap between when the data breach occurs and discovery is incredibly problematic, as hackers will have a large head start on using or selling the data they’ve stolen. Once the data breach is finally discovered and the vulnerability that allowed it is fixed, the damage has already been done.

In his article for SecurityIntelligence, Koen Van Impe notes that there are two signs of a data breach:

  • Precursors
  • Indicators6

Precursors

Precursors signal an imminent threat based on public information, such as security blogs, vendor advisories, and similar information from threat analysis and intelligence sources or threat detection. Cybersecurity professionals use precursors to prepare for an anticipated cyber attack and to adjust their systems’ security and cyber resilience according to the threat level. Precursors tend to occur rarely, especially when compared to indicators.

Indicators

Indicators display that a data breach may have happened or one is currently happening. Security alerts, suspicious behavior, and reports or alerts submitted by people from inside or outside a business are all examples of indicators. Indicators frequently occur at a high volume — a factor that contributes to the incident response process’s inefficiencies.

What indicators should you look for?

Here are several indicators that you should be aware of in the event of a possible data breach or similar cyber attack:

  • Irregularly high activity for your system, disk, or network. This increased activity is particularly worrisome if it occurs during what would normally be an idle period.
  • Activity on network ports or applications that are usually inactive. An unusual activity where the ports or applications are listening to network ports that they wouldn’t usually be listening to.
  • Unrecognized software is installed or odd system preferences are established.
  • Unrecognized and untraceable system configuration changes, including firewall changes, services reconfigurations, new startup program installations, or scheduled tasks.
  • Spikes in activity in a cloud services “last activity” overview that tracks abnormal behavior. This activity includes logging in at unusual times, from unusual locations, or multiple locations in a short time period and other abnormal user activity.
  • Unanticipated user account lockouts, password resets, or group membership deviations.
  • Frequent system crashes or application crashes.
  • Alerts from malware or antivirus protections, including notifications that they have been disabled.
  • Frequent pop-ups or unexpected redirects while browsing the internet, or browser configuration changes, such as a new home page or search engine preferences.
  • Contacts report receiving unusual emails or direct messages from social media from you that you didn’t send them.
  • You receive a message from an attacker demanding money, such as from ransomware.

What can you do to detect and respond to a data breach?

In addition to the precursors and indicators, here are several guiding principles that can bolster your ability to detect and respond to an intrusion into your system:

1. No changes, no red flags

Avoid making any changes to your computer or network. Making changes in a system where there’s a suspected intrusion risk damaging or destroying evidence, or even worsening the situation. The obvious trade-off here is the weight of the incident and the hacker’s intent, as well as your business objectives and the breach’s impact on them. 

2. Gather evidence

Be sure to collect evidence of what you suspect to be an intrusion and ensure that the evidence is stored somewhere with little risk of data loss. This process will help with incident analysis and post-incident decision-making, as well as forensic data collection.

Log files, disk and memory information, malware samples, running process lists, user activity lists, and active network connections are all data that can be collected for evidence.

In adhering to the no changes, no red flags rule, don’t make any changes to the system while collecting this information. And as with the first rule, consider your situation, the weight of the incident, and other relevant factors when weighing the advantages or disadvantages of your actions.

If you can access them, consider using remote forensics tools and work closely with your IT operations or cybersecurity team. If central logging isn’t something that you have, then ensure that logs are copied to a read-only location on a different computer or system from the attacked one.

3. Record everything

Note-taking during incident response can provide a treasure trove of data. Try to record every action that’s taken, including the verification, correlation, and pivoting actions. Ensure that you haven’t missed anything now that might be important later. Your notes can help establish timelines and determine system areas that need support.

4. Confer with your peers

Once you have established a general understanding of everything that’s occurring with your system, confer with your peers and verify your findings. This process includes referencing threat intelligence sources, as well as industry information sharing and analysis centers (ISACs) and national computer security incident response teams (CSIRTs). This step helps you establish what others have already done and what steps need to be done to contain the intrusion, and how to reverse the damage it caused.

5. Create an internal report

In addition to reporting observed incidents, you should also report any critical ongoing incidents that may impact your business to your stakeholders. A high-level analysis of the attack should include the following facts:

  • Whether the attack was targeted
  • Whether the attack was observed before
  • Whether other companies or organizations have experienced similar attacks
  • What damage it has caused to date and the damage it’s expected to cause in the future
  • What was the intent of the attack?

6. Spread awareness about reports   

Indicators can include reports from people within your organization. These internal reports can supply essential information for raising awareness of unusual behavior or situations. Streamline the reporting process and spread awareness about the reports among your employees. Consider establishing a “report an incident” button on your organization’s internal homepage.

Make sure that your employees are aware of your cybersecurity team or IT support team. Be sure your employees can easily contact these teams if they have any questions or suggestions. Create help desk questions for these teams to ask to help them collect information.  

Foster transparency and a sense of ownership with the reports. This process can mean following up with each individual that submitted a report and providing an update regarding the incident specific to each individual’s report.

By incorporating this process into your workplace, not only will you help to cultivate an IT security culture and potentially boost your cyber resilience and security, but employees will be more likely to report anything they feel is unusual. This combined process and culture can help you shut down intrusions when they start.

Be sure to include in your report any mitigation actions that were taken, if they were effective, and what additional actions you can expect to take in the future. While it behooves you to include the appropriate technical details, be sure to focus on how this attack will impact the business and its employees. 

What can I do to prevent a data breach?

There’s no perfect solution for preventing a data breach outside of never going on the internet, never booting up your computer, or never getting your network online. Obviously, they aren’t acceptable solutions for anyone.

Fortunately, when reducing the risk of a data breach, there are several steps you can take to bolster your cybersecurity and cyber resilience.

  • Use strong passwords. Consider using a password generator that creates random combinations of uppercase and lowercase letters, numbers, and symbols. Consider using a password tracking program that helps manage these passwords for you.
  • Monitor your finances. Regularly review your bank and similar financial account activity. If possible, use activity alerts that inform you of any unusual activity. 
  • Monitor your credit report. If someone tries to use your private information to open a credit card or bank account using your name, the credit report will show it. A variety of sites such as Credit Karma offer credit reporting at no charge.
  • Act immediately. As soon as you see any unusual activity, take immediate action and contact the respective credit card company, bank, or similar financial institution. If you were the victim of a data breach, then be sure to inform them of this fact.
  • Make your phone secure. Always create either a short numerical password or a swipe password for your phone. If you have a fingerprint scanner on your phone, then you should use that, too. Using these security features provides a line of defense against unauthorized access to your phone and all the personal information stored on it in the event that it’s lost or stolen.    
  • Pay attention to URLs. Try to only use secure URLs. Secure URLs begin with “https://”. The “s” stands for secure and the HTTP request uses Secure Sockets Layer (SSL), a protocol used for secure communication between two parties. 
  • Install up-to-date antivirus software. Depending on what software you are using and how your network is set up, it may also include a firewall. It should go without saying that having reliable antivirus software with up-to-date definitions generally boosts your cybersecurity and cyber resilience, and generally improves your resistance to cyber attacks.
  • Regularly back up your files. Establish a regular schedule for backing up your files and storing these backups in a secure environment. This process will help you with creating recovery point objectives (RPOs) in the event of data loss or corruption.
  • Format or destroy your old hard drives. If you are retiring old systems and you’re planning on cannibalizing the components, then be sure to format the hard drives before installing them into new computers. If you’re simply getting rid of these systems and don’t plan on reusing the components, then first make sure that you have backed up your files. Secondly, dispose of your hard drives in such a way that it ensures no one will be able to make use of them. The simplest solution is often to take a hammer to them.
  • Don’t post important information online. This step is a practical one that shouldn’t require much explanation. Don’t post private, sensitive, or otherwise very important information online, including on your social media accounts. It’s also generally a good idea to set your social media accounts to “private” to limit who can view your social media account’s content.
  • Enlist identity theft protection and credit monitoring services. Consider using identity theft protection and credit monitoring services, as they help prevent identity theft and can notify you in the event it occurs. 
  • Use secure payment services. Paypal is a great example of a secure payment service, as it doesn’t require you to give your credit card information to make a payment. Instead, it helps you make secure payments using your accounts and without requiring you to input sensitive information.

2018: Year of the data breach

Because of the vast amount of data they contain, enterprises and large organizations are exceptionally attractive targets for cybercriminals who are looking to steal data.

In the Malwarebytes Lab blog post 2018: The year of the data breach tsunami, author Logan Strain notes that more data breaches occurred during 2017 than in 2018. However, the 2018 data breaches were more massive in scale and featured victims that included some of the biggest tech companies, retailers, and hospitality providers, such as Facebook, Under Armor, Quora, and Panera Bread.7

Due to the massive amounts of data they contain, corporations and businesses are attractive targets for cybercriminals looking to steal large amounts of private data. According to the Ponemon Institute’s 2018 Cost of a Data Breach study, a data breach goes undiscovered for an average of 197 days. The study argues that the average total cost to a company of a data breach is USD 3.86 million, a 6.4 percent increase over 2017. The global average cost for each lost or stolen record is also increased by 4.8 percent and averaging approximately USD 148 per record.8

The amount of data lost is further compounded by data breaches being notoriously difficult to detect, often going undetected and once detected, taking an additional 69 days to reverse the damage and recuperate from the losses.

Facebook data breaches, exposures, and cyber attack

Facebook experienced several data breaches and exposures, and cyber attacks that were made public during 2018 and 2019. Facebook’s data exposures involve data stored online and publicly without a password. These exposures don’t necessarily involve malicious intent, such as a data breach or cyber attack, and are instead tied to human error and represent a security problem.

The first data breach

When did the breach occur? Between 2013 and 2015

When was the breach discovered? Unknown

When was the breach made public? The breach was exposed on 17 March 2018 by reports from The New York Times and The Guardian.

What was stolen?

  • Facebook user profile data
  • Facebook user preferences and interests

Although it was initially reported that 50 million Facebook profiles were accessed by Cambridge Analytica, multiple reports later confirmed that the figure was actually closer to 87 million profiles.

How did the data breach occur? A loophole in Facebook’s application programming interface (API) allowed third-party developers to collect data. Cambridge Analytica exploited this loophole and was able to steal data from Facebook app users, as well as all the people in those users’ friends network on Facebook.

Technicality. Technically, this event isn’t a data breach and, instead, a misuse of user data.

The second data breach

When did the breach occur? The second breach took place between July 2017 and the end of September 2018.

When was the breach discovered? The breach was discovered on 25 September 2018.

When was the breach made public? This breach was publicly disclosed on 28 September 2018.

What was stolen?

  • Names
  • Phone numbers
  • Email addresses
  • Other personal information

How much data was stolen? Facebook initially reported that the breach exposed the information of approximately 50 million profiles, a figure that was later revised 30 million users with 14 million having their respective usernames and Facebook search history accessed.

How did the data breach occur? Using a flaw in the code for Facebook’s “view as” feature, hackers stole Facebook access tokens, then used the tokens to access users’ accounts, potentially gaining control of them.

What happened to the data? Cambridge Analytica used the data from these profiles to help identify swing voters in the 2016 US presidential election.9

The Instagram Nasty List attack

When did the attack occur? Unknown

When was the attack discovered? During March and April 2019

When was the attack made public? 8 April 2019

What was stolen?

  • Instagram login information:
    • Usernames and passwords
    • Email addresses
    • Phone numbers

How did this attack occur? First reported on Reddit, compromised Instagram accounts would message noncompromised accounts that they followed, prompting them that they were on a “Nasty List” or something similar, and including a malicious link. A phishing attack, this malicious link would take the user to a cloned or otherwise fake Instagram page and prompt them to log in.

How much data was stolen? The amount of stolen Instagram user information as a result of this attack is unknown.10

Instagram passwords plaintext file data exposure

When did this data exposure occur? Unknown

When was this data exposure discovered? During March and April 2019

When was this data exposure made public? 18 April 2019

What may have been exposed? Millions of Instagram passwords

How did this data exposure occur? Following the Instagram Nasty List attacks, Facebook confirmed more password security issues, noting that millions of Instagram accounts’ passwords were being stored in a plaintext file. Although Facebook said “our investigation has determined that these stored passwords were not internally abused or improperly accessed”,11 users whose information was on the plaintext file were encouraged to perform a password reset.

Facebook unsecure databases data exposure

When did this data exposure occur? Unknown

When was this data exposure discovered? Unknown

When was this data exposure made public? 4 September 2019

What may have been exposed?

  • Phone numbers linked to 419 million user accounts from multiple databases across several geographies, including:
    • 133 million records of US-based Facebook users
    • 18 million records of users in the UK
    • More than 50 million records on users in Vietnam
  • In addition to Facebook user IDs and phone numbers, information about each account’s username, gender, and country location were included.

How did this data exposure occur? Unsecure databases across several countries contained Facebook account IDs, phone numbers and additional user information.12

Resources

  1. Data Breach, Techopedia, 5 September 2018.
  2. What is a data breach, Norton, 10 March 2020.
  3. Data Breaches 101: How They Happen, What Gets Stolen, and Where It All Goes, Trend Micro, 10 August 2018.
  4. Data Breach, Malwarebytes.
  5. Andy Greenberg, Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob, Wired, 10 September 2018.
  6. Koen Van Impe, Don’t Dwell On It: How to Detect a Breach on Your Network More Efficiently, SecurityIntelligence, 22 October 2018.
  7. Logan Strain, 2018: The year of the data breach tsunami, Malwarebytes Labs, 4 April 2019.
  8. Ponemon Institute’s 2018 Cost of a Data Breach Study: Global Overview, Ponemon Institute, July 2018.
  9. Eitan Katz, The 20 Biggest Data Breaches of 2018, Dashlane blog, 2 January 2019.
  10. Davey Winder, Hackers Are Using Instagram 'Nasty List' To Steal Passwords -- Here's What You Need To Know, Forbes, 14 April 2019.
  11. Keeping Passwords Secure, Facebook, 21 March 2019.
  12. Davey Winder, Unsecured Facebook Databases Leak Data Of 419 Million Users, Forbes, 5 September 2019.

What is a data breach?

Una infracción de datos también se conoce como escape o fuga de datos.

Según Techopedia, una infracción de datos es «una incidencia que implica la visualización, el acceso o la recuperación de datos no autorizados o permitidos por parte de una persona, aplicación o servicio».1 Este tipo de brecha de seguridad es específicamente para robar información confidencial y se puede realizar físicamente accediendo a un sistema o red, o bien a distancia evitando la seguridad de red.

Las infracciones de datos suelen producirse después de que un pirata informático o un usuario no autorizado similar acceda a un repositorio de datos o a una base de datos segura. Las infracciones de datos, que a menudo se realizan a través de internet o de una conexión de red, suelen centrarse en la búsqueda de datos lógicos o digitales.

Según Symantec, la forma más común de datos perdidos a causa de infracciones de datos es la información de identificación personal, como nombres, números de tarjeta de crédito y números de la seguridad social, seguida de cerca por la información financiera personal.2

Una vez que han obtenido esta información, los piratas informáticos pueden usarlos para cometer usurpaciones de identidad y otros delitos cibernéticos, incluido usar la información robada para obtener acceso como administradores a toda su red.

Además de la pérdida de datos, una infracción de datos perjudica a una empresa y a sus clientes de otras maneras. Los daños se extienden al coste de reforzar la ciberseguridad, además de reparar y actualizar la vulnerabilidad explotable, así como los daños a largo plazo para la reputación de la empresa y los clientes a quienes robaron su información privada.

¿Cómo se produce una infracción de datos?

La multinacional de ciberseguridad y defensa Trend Micro afirma que las infracciones de datos son un proceso en cuatro pasos que incluye las siguiente acciones para una infracción de datos general:

  • Investigación. El pirata informático explora el sistema o la red en busca de vulnerabilidades.
  • Ataque. El pirata informático inicia el ataque, estableciendo contacto mediante una red o ataque social.
    • Ataque de red. Este ataque implica una manipulación de la red. El pirata informático utiliza las debilidades de la infraestructura, el sistema y las aplicaciones para infiltrarse en el sistema o la red de su víctima.
    • Ataque social. Este ataque implica una manipulación social. El pirata informático engaña o convence a los empleados para que le brinden acceso al sistema o la red. Este método incluye engañar a un empleado para que revele las credenciales de conexión o convencer al empleado para que abra un archivo adjunto malicioso.
  • Exfiltración. Una vez que han penetrado en un sistema, los piratas informáticos pueden atacar la red o sustraer los datos de la empresa. Se considera que el ataque ha tenido éxito cuando se ha dañado la red o se han extraído los datos.3

¿Por qué se producen las infracciones de datos?

El fabricante de software antimalware Malwarebytes asegura que «una infracción de datos no constituye en sí misma una amenaza o un ataque, sino que surge como resultado de un ciberataque que permite a los piratas obtener acceso sin autorización a una red o sistema informático y robar sus datos».4 A medida que aumenta el proceso de digitalización de contenido y la nube continúa creciendo, las infracciones de datos seguirán ocurriendo.

Las infracciones de datos dirigidas suelen ocurrir por las siguientes razones:

  • Explotación de vulnerabilidades del sistema
  • Contraseñas débiles
  • Inyección de lenguaje de consulta estructurado (SQL)
  • Spyware
  • Phishing
  • Descargas no autorizadas
  • Controles de acceso rotos o mal configurados

Explotación de vulnerabilidades del sistema

Los piratas informáticos usan las vulnerabilidades sistemáticas del software o los sistemas para obtener acceso sin autorización a una red o sistema informático y sus datos. Las vulnerabilidades suelen encontrarse en sistemas operativos, navegadores de internet y diversas aplicaciones.

Tanto los piratas informáticos como los investigadores y expertos en ciberseguridad buscan estas vulnerabilidades ocultas en el código de un sistema. Por ejemplo, los sistemas operativos más antiguos pueden, por desgracia, incluir vulnerabilidades que los piratas informáticos pueden explotar fácilmente para acceder a los datos de un ordenador.

Mientras que los piratas informáticos buscan aprovechar las vulnerabilidades en su propio beneficio, los agentes de seguridad cibernética desean conocerlas mejor y cómo pueden solucionarse o modificarse para impedir infracciones de datos y reforzar la ciberseguridad.

Para facilitar su cuestionable trabajo, algunos grupos de cibercriminales empaquetan distintas vulnerabilidades en kits automatizados. Estos kits permiten a delincuentes con pocos conocimientos técnicos aprovechar las vulnerabilidades.

Contraseñas débiles

Como su nombre indica, una contraseña débil es una contraseña fácil de averiguar para humanos y ordenadores. Estas contraseñas suelen contener el nombre del cónyuge, los hijos, las mascotas o la dirección del usuario, ya que son fáciles de recordar para este. Es posible que las contraseñas no distingan entre mayúsculas y minúsculas o que, en general, no usen letras mayúsculas o símbolos.

Las contraseñas débiles son fáciles de adivinar para los piratas informáticos, que también pueden usar arañas o ataques de fuerza bruta para averiguar la contraseña de un usuario. Además, no anote nunca la contraseña en su escritorio y preste atención a cualquier persona que parezca «mirarle por encima del hombro» mientras introduce una contraseña.

Ataque de inyección de SQL

Los ataques de inyección de lenguaje de consulta estructurado (SQL) explotan las vulnerabilidades en el software de gestión de bases de datos SQL en un sitio web no seguro. Para llevar a cabo un ataque de inyección de SQL, los piratas informáticos insertan un código malicioso en un sitio o aplicación vulnerable y, a continuación, avanzan hacia la base de datos del backend.

Por ejemplo, un pirata informático modifica el código en el sitio web de una tienda para que cuando busca los «auriculares más vendidos», en lugar de obtener resultados de auriculares excelentes, el sitio web de la tienda le proporcione al pirata informático una lista de clientes y la información de sus tarjetas de crédito.

Los ataques SQL son un tipo de ciberataque poco sofisticado y pueden realizarse mediante programas automatizados similares a los utilizados para las vulnerabilidades.

Spyware

El spyware es un malware que infecta su sistema o red para «espiarle» y obtener información sobre usted, su sistema y los sitios web que visita.

Las víctimas suelen infectarse con spyware después de descargar o instalar algo que parece benigno, pero que tiene el spyware incluido. También puede infectarse con spyware al hacer clic en un enlace malicioso o como infección secundaria producida por un virus.

Además, el spyware puede penetrar en su sistema como una infección secundaria a través de un troyano como Emotet. Como informa el blog de Malwarebytes Labs, Emotet, TrickBot y otros troyanos bancarios han resucitado como caballos de troya para spyware y otros tipos de malware. Una vez que su sistema está infectado, el spyware envía todos sus datos personales a los servidores de C&C operados por los ciberdelincuentes.

Cuando su sistema ha sido infectado con spyware y obtenido información sobre usted, la reenvía a una ubicación remota, como servidores de comando y control (C&C) o un repositorio similar donde los ciberdelincuentes pueden acceder a ella.

Phishing

Los ataques de phishing suelen usar ingeniería social para manipular las emociones de sus víctimas contra la lógica y el razonamiento para lograr que compartan información confidencial. A menudo se realizan mediante ataques basados en suplantación de identidad por correo electrónico o ataques basados en sitios web que funcionan de manera similar.

Los atacantes que emplean tácticas de phishing y correo no deseado engañarán a los usuarios para que hagan lo siguiente:

  • Revelar sus credenciales de usuario y contraseña
  • Descargar archivos adjuntos maliciosos
  • Visitar sitios web maliciosos

Por ejemplo, podría recibir un correo electrónico que parece proceder de su empresa de tarjetas de crédito, pidiéndole que verifique unos cargos imaginarios en su cuenta y solicitándole que inicie sesión usando un enlace a una versión falsa del sitio de la tarjeta de crédito. Las víctimas ingenuas intentan iniciar sesión en el sitio falso utilizando sus nombres de usuario y contraseñas reales. Una vez que los piratas informáticos tienen esa información, pueden iniciar sesión y acceder a la cuenta de su tarjeta de crédito, que usarán para cometer usurpaciones de identidad y otros ciberdelitos similares.

Descargas no autorizadas

Las descargas no autorizadas son ciberataques que pueden instalar spyware, adware, malware y software similar en el sistema de un usuario sin su autorización. Permiten a los piratas informáticos aprovechar vulnerabilidades y fallos de seguridad en navegadores, aplicaciones y sistemas operativos.

Este ciberataque no necesita engañar a los usuarios para tener éxito. A diferencia de los ataques de phishing y suplantación, donde el usuario necesita hacer clic en un enlace o descargar un archivo adjunto malicioso, las descargas no autorizadas simplemente interactúan con un sistema o dispositivo sin el permiso del usuario.

Controles de acceso rotos o mal configurados

Si el administrador de un sitio web no tiene cuidado, podría establecer controles de acceso que permitieran al público acceder a partes de un sistema que pretendían ser privadas. Este error podría ser un descuido tan sencillo como olvidarse de definir como privadas ciertas carpetas del backend que contengan datos confidenciales. Los usuarios comunes suelen ignorar los controles de acceso rotos o mal configurados. Sin embargo, los piratas informáticos que realicen búsquedas específicas en Google pueden encontrar estas carpetas y acceder a ellas. Una buena comparación con esta situación es un ladrón que entre en una casa por una ventana abierta en comparación con un ladrón que entre a través de una puerta cerrada.

Piratas éticos e infracciones de datos

Una infracción de datos, como la mayoría de tipos de robos cibernéticos, supone que los piratas informáticos obtienen acceso sin autorización a su sistema o red para robar su información privada. Sin embargo, hay algunos casos en los que este robo se realiza con buenas intenciones.

Al igual que muchos investigadores de ciberseguridad, los hackers de «sombrero blanco» y otros piratas informáticos éticos intentarán penetrar en su sistema o red para descubrir amenazas y vulnerabilidades, y después avisar a otros para que puedan crear una solución que corrija la amenaza.

Por ejemplo, después de nueve meses de trabajo de ingeniería inversa, un equipo académico de hackers de la universidad KU Leuven de Bélgica publicó un artículo en septiembre de 2018 que revelaba cómo derrotó el cifrado de Tesla para el Model S.5 El trabajo del equipo ayudó a Tesla a crear nuevas tecnologías de ciberseguridad para sus vehículos que solucionaban la brecha que descubrió el equipo de KU Leuven y usó para clonar el llavero del Model S.

¿Cómo se puede detectar una infracción de datos?

A diferencia de muchos tipos de ciberataques comunes, las infracciones de datos resultan muy difíciles de detectar y es habitual que las organizaciones descubran la infracción días, semanas o incluso meses después de que haya ocurrido. Este amplio intervalo desde que se produce la infracción de datos hasta su descubrimiento es increíblemente problemático, ya que los piratas informáticos tendrán mucho tiempo de ventaja para usar o vender los datos que han robado. Cuando por fin se descubre la infracción de datos y se soluciona la vulnerabilidad que la permitió, el daños ya está hecho.

En su artículo para SecurityIntelligence, Koen Van Impe señala que hay dos indicios de una infracción de datos:

  • Precursores
  • Indicadores6

Precursores

Los precursores señalan una amenaza basándose en información pública, como blogs de seguridad, avisos de proveedores e información similar de fuentes de análisis de amenazas e información o detección de amenazas. Los profesionales de la ciberseguridad utilizan los precursores para prepararse ante un ciberataque previsto y para ajustar la seguridad y ciberresiliencia de sus sistemas en función del nivel de peligro. Los precursores son poco frecuentes, especialmente en comparación con los indicadores.

Indicadores

Los indicadores muestran que se ha producido o se está produciendo una infracción de datos. Las alertas de seguridad, el comportamiento sospechoso y los informes o alertas enviados por personas internas o externas a una empresa son todos ellos ejemplos de indicadores. Con frecuencia se produce un alto volumen de indicadores, lo que contribuye a las ineficiencias del proceso de respuesta al incidente.

¿A qué indicadores debe prestar atención?

Aquí tiene varios indicadores que debe tener en cuenta ante una posible infracción de datos o ciberataque similar:

  • Actividad anormalmente alta para su sistema, disco o red. Este aumento de actividad es especialmente preocupante si se produce durante lo que normalmente sería un período de baja actividad.
  • Actividad en puertos red o aplicaciones que suelen estar inactivos. Una actividad inusual en la que los puertos o las aplicaciones escuchan puertos de red que normalmente no escuchan.
  • Se instala software no reconocido o se establecen preferencias del sistema extrañas.
  • Cambios en la configuración del sistema no reconocidos e imposibles de rastrear, como cambios de cortafuegos, reconfiguraciones de servicios, instalación de nuevos programas de inicio o tareas programadas.
  • Picos de actividad en la vista de «actividad reciente» de una nube servicios que señala un comportamiento anormal. Esta actividad incluye los inicios de sesión a horas extrañas, desde ubicaciones inusuales o desde múltiples ubicaciones en un breve periodo de tiempo y otra actividad de usuario inusual.
  • Bloqueos de cuentas de usuario, restablecimientos de contraseña o cambios imprevistos en la pertenencia a grupos.
  • Caídas frecuentes de sistemas o aplicaciones.
  • Alertas de protecciones antivirus o contra malware, incluidas las notificaciones de que se han deshabilitado.
  • Ventanas emergentes frecuentes o redireccionamientos inesperado mientras navega por internet, o cambios en la configuración del navegador, como una nueva página principal o las preferencias del buscador.
  • Contactos que afirman recibir correos electrónicos inusuales o mensajes directos de las redes sociales sin que usted los enviara.
  • Recibe un mensaje de un atacante exigiendo dinero, como un ransomware.

¿Qué puede hacer para detectar y responder a una infracción de datos?

Además de los precursores e indicadores, aquí tiene varias orientaciones que pueden reforzar su capacidad para detectar y responder a una intrusión en su sistema:

1. Sin cambios, sin banderas rojas

Evite realizar cambios en su sistema o red. A hacer cambios en un sistema donde sospecha que se ha producido una intrusión, corre el riesgo de dañar o destruir las pruebas o incluso empeorar la situación. La compensación evidente aquí es entre el peso del incidente y la intención del pirata informático, así como sus objetivos de negocio y el impacto de la infracción sobre ellos.

2. Recopile pruebas

Asegúrese de recopilar pruebas sobre la intrusión sospechada y asegúrese de almacenarlas en algún lugar con bajo riesgo de pérdida de datos. Este proceso facilitará el análisis de incidencias y la posterior toma de decisiones, así como la recopilación de datos forenses.

Los archivos de registro, la información de disco y memoria, las muestras de malware, las listas de procesos en ejecución, las listas de actividad del usuario y las conexiones de red activas son todos ellos datos que pueden recopilarse como pruebas.

Respetando la regla «sin cambios, sin señales de alerta», no realice ningún cambio en el sistema mientras recopila esta información. Y al igual que con la primera regla, tenga en cuenta su situación, el peso del incidente y otros factores relevantes al sopesar las ventajas o desventajas de sus acciones.

Si puede acceder a ellos, plantéese usar herramientas remotas de análisis forense y trabaje en estrecha colaboración con su equipo de TI o ciberseguridad. Si no dispone de registro central, asegúrese de copiar los registros en una ubicación de solo lectura en un ordenador o sistema diferente del atacado.

3. Registre todo

La toma de notas durante la respuesta al incidente puede proporcionar gran cantidad de datos. Intente registrar todas las acciones realizadas, incluidas las acciones de verificación, correlación y traslado. Asegúrese de no pasar por alto nada que pueda ser importante después. Sus notas pueden ayudar a definir calendarios y determinar las áreas del sistema que necesitan soporte.

4. Consulte con sus compañeros

Una vez que haya obtenido una comprensión general de todo lo que está ocurriendo con su sistema, consulte con sus compañeros y verifique sus hallazgos. Este proceso incluye consultar fuentes de información de amenazas, así como los centros de análisis e intercambio de información del sector (ISAC) y los equipos de respuesta a incidentes de seguridad informática (CSIRT) de ámbito nacional. Este paso le ayuda a determinar qué han hecho ya los demás, qué pasos debe dar para contener la intrusión y cómo revertir los daños que ha causado.

5. Elabore un informe interno

Además de informar sobre los incidentes observados, también debe informar a las partes interesadas sobre cualquier incidente crítico en curso que pueda afectar a su negocio. Un análisis global del ataque debe incluir los siguiente hechos:

  • Si el ataque fue dirigido
  • Si el ataque se había observado antes
  • Si otras empresas u organizaciones han experimentado ataques similares
  • Qué daños ha causado hasta la fecha y los daños que se espera que cause en el futuro
  • ¿Cuál fue la intención del ataque?

6. Difundir los informes

Los indicadores pueden incluir informes de personas de su organización. Estos informes internos pueden suministrar información esencial para identificar comportamientos o situaciones inusuales. Agilice el proceso de elaboración de informes y la difusión de los informes entre sus empleados. Piense en añadir un botón «comunicar una incidencia» en la página inicial interna de su organización.

Asegúrese de que sus empleados conozcan su equipo de ciberseguridad o de soporte TI. Asegúrese de que sus empleados puedan contactar fácilmente con estos equipos si tienen alguna pregunta o sugerencia. Redacte preguntas del centro de asistencia técnica para que estos equipos les ayuden a recopilar información.

Fomente la transparencia y un sentido de propiedad con los informes. Este proceso puede suponer realizar un seguimiento con cada persona que envió un informe y proporcionar una actualización específica del incidente para cada informe individual.

Al incorporar este proceso en su lugar de trabajo, no solo ayudará a cultivar una cultura de seguridad TI y potencialmente reforzará su ciberresiliencia y seguridad, sino que será más probable que los empleados informen de cualquier cosa que consideren inusual. Esta combinación de proceso y cultura puede ayudarle a detener las intrusiones cuando se inician.

Asegúrese de incluir en su informe las medidas de mitigación tomadas, si fueron efectivas y qué medidas adicionales espera adoptar en el futuro. Si bien le corresponde incluir los detalles técnicos apropiados, asegúrese de centrarse en cómo afecta este ataque a la empresa y sus empleados.

¿Qué puedo hacer para impedir una infracción de datos?

No existe una solución perfecta para evitar una infracción de datos aparte de no conectarse a internet, no iniciar su sistema o no poner su red en línea. Obviamente, no son soluciones aceptables para nadie.

Por suerte, al reducir el riesgo de una infracción de datos, hay varios pasos que puede dar para reforzar su ciberseguridad y ciberresiliencia.

  • Utilice contraseñas seguras. Considere usar un generador de contraseñas que cree combinaciones aleatorias de letras mayúsculas y minúsculas, números y símbolos. Considere usar un programa de seguimiento de contraseñas que le ayude a administrar estas contraseñas.
  • Controle sus finanzas. Revise regularmente su banco y actividad de cuentas financieras similares. Si es posible, use alertas de actividad que le informen de cualquier actividad inusual.
  • Controle su resumen de gastos de tarjeta. Si alguien intenta usar su información privada para abrir una cuenta bancaria o de tarjeta de crédito usando su nombre, el informe de crédito lo mostrará. Diversos sitios como Credit Karma ofrecen informes de crédito de forma gratuita.
  • Actúe de inmediato. Tan pronto como vea cualquier actividad inusual, tome medidas de inmediato y contacte con la empresa de tarjetas de crédito, banco o institución financiera similar correspondiente. Si ha sido víctima de una infracción de datos, asegúrese de informar de este hecho.
  • Mantenga su teléfono seguro. Cree siempre una contraseña numérica breve o una contraseña gestual para su teléfono. Si tiene un escáner de huella dactilar en su teléfono, también debe usarlo. El uso de estas funciones de seguridad proporciona una línea de defensa contra el acceso sin autorización a su teléfono y a toda la información personal que contiene en caso de pérdida o robo.
  • Preste atención a las URL. Intente usar solo uso URL seguras. Las URL seguras comienzan con « HTTPS.”. La «s» significa seguro y la solicitud HTTP utiliza la capa de sockets seguros (SSL), un protocolo utilizado para la comunicación segura entre dos partes.
  • Instale software antivirus actualizado. Dependiendo del software que utilice y de cómo esté configurada su red, también puede incluir un cortafuegos. No hace falta decir que tener un software antivirus fiable con definiciones actualizadas suele aumentar su ciberseguridad y ciberresiliencia, y mejorar su resistencia a los ciberataques.
  • Realice copias de seguridad periódicas de sus archivos. Defina un calendario periódico para realizar copias de seguridad de sus archivos y almacene estas copias de seguridad en un entorno seguro. Este proceso le ayuda a crear objetivos de punto de recuperación (RPO) en caso de corrupción o pérdida de datos.
  • Formatee o destruya sus viejos discos duros. Si está retirando sistemas antiguos y piensa aprovechar los componentes, asegúrese de formatear los discos duros antes de instalarlos en los nuevos equipos. Si simplemente va a deshacerse de estos sistemas y no piensa reutilizar los componentes, asegúrese antes de haber realizado una copia de seguridad de sus archivos. En segundo lugar, deseche sus discos duros de forma que se asegure que nadie pueda usarlos. La solución más sencilla suele ser propinarles un buen martillazo.
  • No publique información importante en línea. Este paso es práctico y no debería precisar mucha explicación. No publique información privada, delicada o muy importante en línea, tampoco en sus cuentas de las redes sociales. En general, también es buena idea definir sus cuentas en las redes sociales como «privadas» para restringir quién puede ver el contenido de su cuenta en las redes sociales.
  • Contrate servicios de protección contra usurpación de identidad y seguimiento de crédito. Considere usar servicios de protección contra usurpación de identidad y seguimiento de crédito, que le ayudarán a evitar usurpaciones de identidad y le avisarán en caso de que sucedan.  
  • Utilice servicios de pago seguro. Paypal es un gran ejemplo de un servicio de pago seguro, ya que no necesita facilitar la información de su tarjeta de crédito para realizar un pago. Además, le ayuda a realizar pagos seguros usando sus cuentas y sin tener que introducir ninguna información confidencial.

2018: El año del tsunami de infracciones de datos

Debido a la gran cantidad de datos que albergan, las empresas y grandes organizaciones son objetivos muy atractivos para los ciberdelincuentes que intentan robar datos.

En la entrada del blog Malwarebytes Lab 2018: El año del tsunami de infracciones de datos, el autor Logan Strain señala que se produjeron más filtraciones de datos en 2017 que en 2018. Sin embargo, las filtraciones de datos de 2018 fueron más masivas y entre las víctimas se incluyeron algunas de las mayores empresas tecnológicas, comercios minoristas y proveedores de hostelería más importantes, como Facebook, Under Armour, Quora y Panera Bread.7

Debido a la gran cantidad de datos que albergan, las corporaciones y empresas son objetivos atractivos para los ciberdelincuentes que intentan robar grandes cantidades de datos privados. Según el estudio de 2018, Cost of a Data Breach del Instituto Ponemon, una infracción de datos pasa desapercibida durante un promedio de 197 días. El estudio afirma que el coste medio total para una compañía de una infracción de datos es de 3,86 millones de USD, un aumento del 6,4 por ciento con respecto a 2017. El coste medio total por cada registro perdido o robado también aumentó en un 4,8 por ciento hasta una media aproximada de 148 USD por registro.8

La cantidad de datos perdida se incrementa porque las infracciones de datos son muy difíciles de detectar, a menudo pasan desapercibidas y una vez detectadas, requieren 69 días adicionales para reparar los daños y recuperar las pérdidas.

Infracciones y exposiciones de datos y ciberataques de Facebook

Facebook experimentó varias infracciones y exposiciones de datos y ciberataques que se hicieron públicos durante 2018 y 2019. Las exposiciones de datos de Facebook están relacionadas con datos almacenados en línea y públicamente sin una contraseña. Estas exposiciones no implican necesariamente una intención maliciosa, como una infracción de datos o un ciberataque, sino que están relacionadas con un error humano y representan un problema de seguridad.

La primera infracción de datos

¿Cuándo se produjo la infracción? Entre 2013 y 2015

¿Cuándo se descubrió? Se desconoce

¿Cuándo se hizo pública? La infracción se hizo pública el 17 de marzo de 2018 en informes de The New York Times y The Guardian.

¿Qué se robó?

  • Datos del perfil de usuario de Facebook
  • Preferencias e intereses de los usuarios de Facebook

Aunque inicialmente se dijo que Cambridge Analytica había accedido a 50 millones de perfiles de Facebook, varios informes confirmaron más tarde que la cifra en realidad se acercaba más a los 87 millones de perfiles.

¿Cómo se produjo la infracción de datos? Una vulnerabilidad en la interfaz de programación de aplicaciones (API) permitió a desarrolladores externos obtener los datos. Cambridge Analytica aprovechó esta deficiencia y pudo robar datos de los usuarios de la aplicación de Facebook, así como de todas las personas en la red de amigos de esos usuarios en Facebook.

Un tecnicismo. Técnicamente, este evento no es una infracción de datos, sino que se trata de un uso indebido de los datos del usuario.

La segunda infracción de datos

¿Cuándo se produjo la infracción? La segunda infracción tuvo lugar entre julio de 2017 y finales de septiembre de 2018.

¿Cuándo se descubrió? La infracción fue descubierta el 25 de septiembre de 2018.

¿Cuándo se hizo pública? La infracción se hizo pública el 28 de septiembre de 2018.

¿Qué se robó?

  • Nombres
  • Números de teléfono
  • Direcciones de correo electrónico
  • Otra información personal

¿Cuántos datos fueron robados? Facebook informó inicialmente de que la infracción había expuesto la información de unos 50 millones de perfiles, cifra que después se revisó a 30 millones de usuarios, de los cuales en 14 millones se había accedido a sus respectivos nombres de usuario e historial de búsqueda de Facebook.

¿Cómo se produjo la infracción de datos? Usando una deficiencia en el código de la funcionalidad «ver como» de Facebook, los piratas informáticos robaron las credenciales de acceso de las cuentas de los usuarios y pudieron apoderarse de ellas.

¿Qué sucedió con los datos? Cambridge Analytica utilizó los datos de estos perfiles para ayudar a identificar a los votantes indecisos en las elecciones presidenciales de EE. UU. de 2016.9

El ataque de la lista desagradable de Instagram

¿Cuándo se produjo el ataque? Se desconoce

¿Cuándo se descubrió? Durante marzo y abril de 2019

¿Cuándo se hizo público? El 8 de abril de 2019

¿Qué se robó?

  • Información de inicio de sesión de Instagram:
    • Nombres de usuario y contraseñas
    • Direcciones de correo electrónico
    • Números de teléfono

¿Cómo ocurrió este ataque? Notificado por primera vez en Reddit, las cuentas de Instagram comprometidas enviarían mensajes a las cuentas no comprometidas que seguían, indicándoles que estaban incluidas en una «lista desagradable» o algo similar, e incluyendo un enlace malicioso. Este enlace malicioso, mediante un ataque de suplantación de identidad, dirigía al usuario a una página de Instagram clonada o falsa y le solicitaba que iniciara sesión.

¿Cuántos datos fueron robados? Se desconoce la cantidad de información de usuarios de Instagram robada como resultado de este ataque.10

Exposición de datos en archivo de texto plano con contraseñas de Instagram

¿Cuándo ocurrió esta exposición de datos? Se desconoce

¿Cuándo se descubrió? Durante marzo y abril de 2019

¿Cuándo se hizo pública? El 18 de abril de 2019

What may have been exposed? Millones de contraseñas de Instagram

¿Cómo ocurrió esta exposición de datos? Después de los ataques de la lista desagradable de Instagram, Facebook confirmó más problemas de seguridad con las contraseñas, y señaló que millones de contraseñas de cuentas de Instagram se almacenaban en un archivo de texto plano. Aunque Facebook aseguró que «nuestra investigación ha determinado que no se ha abusado internamente ni accedido de manera inapropiada a estas contraseñas almacenadas»11, se animó a los usuarios cuya información estaba en el archivo de texto plano a realizar un restablecimiento de contraseña.

Exposición de los datos en bases de datos no seguras de Facebook

¿Cuándo ocurrió esta exposición de datos? Se desconoce

¿Cuándo se descubrió? Se desconoce

¿Cuándo se hizo pública esta exposición de datos? El 4 septiembre 2019

¿Qué pudo haber quedado expuesto?

  • Números de teléfono vinculados con 419 millones de cuentas de usuario en diversas bases de datos y regiones geográficas, como:
    • 133 millones de registros de usuarios de Facebook en EE. UU.
    • 18 millones de registros de usuarios en el Reino Unido
    • Más de 50 millones de registros de usuarios en Vietnam
  • Además de las ID de usuario y los números de teléfono de Facebook, se incluyó información sobre el nombre de usuario, el género y el país de ubicación de cada cuenta.

¿Cómo ocurrió esta exposición de datos? Las bases de datos no seguras en varios países contenían ID de cuentas de Facebook, números de teléfono y otra información de los usuarios.12

Recursos

  1. Data BreachTechopedia, 5 de septiembre de 2018.
  2. What is a data breachNorton, 10 de marzo de 2020.
  3. Data Breaches 101: How They Happen, What Gets Stolen, and Where It All GoesTrend Micro, 10 de agosto de 2018.
  4. Data Breach, Malwarebytes.
  5. Andy Greenberg, Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key FobWired, 10 de septiembre de 2018.
  6. Koen Van Impe, Don’t Dwell On It: How to Detect a Breach on Your Network More EfficientlySecurityIntelligence, 22 de octubre de 2018.
  7. Logan Strain, 2018: The year of the data breach tsunamiMalwarebytes Labs, 4 de abril de 2019.
  8. Ponemon Institute’s 2018 Cost of a Data Breach Study: Global OverviewPonemon Institute, julio de 2018.
  9. Eitan Katz, The 20 Biggest Data Breaches of 2018, Dashlane blog, 2 de enero de 2019.
  10. Davey Winder, Hackers Are Using Instagram 'Nasty List' To Steal Passwords -- Here's What You Need To KnowForbes, 14 de abril de 2019.
  11. Keeping Passwords SecureFacebook, 21 de marzo de 2019.
  12. Davey Winder, Unsecured Facebook Databases Leak Data Of 419 Million UsersForbes, 5 de septiembre de 2019.