Una mirada a las estadísticas de violación de datos en 2020

20 ha demostrado ser un año difícil desde todos los puntos de vista. Con la crisis sanitaria provocada por la pandemia de COVID-19 que perturbó la economía mundial y paralizó muchos sectores, es posible que la ciberseguridad fuera lo último en lo que pensara nadie. Sin embargo, muchos actores maliciosos aprovecharon el caos para sembrar el caos y sacar provecho de la relajación de los esfuerzos de ciberseguridad. Como consecuencia, 2020 ha sido un año estelar en cuanto a violaciones de datos y multas reglamentarias.

La adopción apresurada de políticas generalizadas de trabajo a distancia en todos los sectores empresariales creó grandes lagunas en materia de ciberseguridad que se tradujeron en un aumento de los incidentes de seguridad. Según el informe de la empresa de ciberseguridad Malwarebytes Enduring from Home: El impacto de COVID-19 en la seguridad de las empresas, los trabajadores remotos se convirtieron en la fuente de casi el 20% de los incidentes de ciberseguridad en 2020. Entre las empresas que respondieron a su encuesta, el 24% también se enfrentó a gastos inesperados relacionados directamente con ciberataques y brechas que se produjeron debido al trabajo desde casa.

El informe también mostró una tendencia preocupante entre los trabajadores remotos a utilizar sus dispositivos personales en lugar de los emitidos por la empresa. El 27,7% de los encuestados dijo que utilizaba sus dispositivos personales más que los dispositivos proporcionados por su lugar de trabajo, y otro 31,2% admitió que a veces utilizaba dispositivos personales para trabajar. Sólo el 39,1% utilizaba estrictamente sólo los dispositivos proporcionados por el trabajo para desempeñar sus funciones.

Algunas de las principales preocupaciones de las empresas a la hora de trabajar a distancia estaban relacionadas con que los dispositivos estuvieran más expuestos en casa, donde personas no autorizadas podrían tener acceso a ellos, la dificultad de gestionar los dispositivos que utilizan los recursos de trabajo a distancia, las TI en la sombra y la disminución de la eficacia del soporte informático realizado a distancia. Todo ello en una situación en la que sólo el 61% de las empresas proporcionó a los empleados dispositivos emitidos por el trabajo y el 45% no realizó análisis de seguridad y privacidad en línea de las herramientas de software que implementaron para la transición al trabajo desde casa.

Principales causas de las filtraciones de datos

Según el informe 2020 de IBM y el Instituto Ponemon sobre el coste de una filtración de datos, en el que se entrevistó a 3200 personas que trabajaban para 524 organizaciones de 17 países y regiones, el 52% de todas las filtraciones de datos fueron causadas por personas externas malintencionadas, otro 25% por fallos del sistema y el 23% por errores humanos. La información personal identificable de los clientes (PII), que constituyó el 80% de todas las violaciones de datos, fue el tipo de registro que más a menudo se perdió o fue robado. Esto no es de extrañar, ya que la información de identificación personal es el tipo de datos más valioso debido a su sensibilidad. En consecuencia, también es el tipo de datos más protegido por la normativa de protección de datos.

Las credenciales comprometidas y la mala configuración de la nube fueron responsables del 19% de las filtraciones de datos maliciosas, y las vulnerabilidades del software de terceros representaron otro 16%. El error humano tampoco fue la única forma en que los empleados contribuyeron a las violaciones de datos. Los empleados malintencionados fueron la causa principal del 7% de las violaciones de datos, y los ataques de ingeniería social y phishing dirigidos directamente a los empleados representaron otro 17%.

Los empleados también se mostraron más negligentes en algunos sectores que en otros. A la cabeza de la lista se encuentra el sector del entretenimiento, en el que el 34% de las violaciones de datos fueron causadas por empleados descuidados, seguido por los sectores público y de productos de consumo, en los que los errores humanos representaron el 28% de las violaciones de datos. En el sector de la sanidad, a pesar de las estrictas regulaciones, la negligencia de los empleados fue responsable del 27% de todas las violaciones de datos. En el otro extremo del espectro, en el sector del transporte, sólo el 13% de las filtraciones de datos se debieron a errores humanos, mientras que en el sector minorista y tecnológico representaron el 17%.

Las multas de la GDPR siguen aumentando

Mientras que la aplicación de algunas normativas de protección de datos, como la HIPAA en EE.UU., se ha relajado debido a la pandemia, las agencias europeas de protección de datos han continuado su trabajo sin obstáculos. Este año se ha producido un número récord de multas por incumplimiento del Reglamento General de Protección de Datos de la UE. Hasta la fecha, se han impuesto 281 multas por un importe superior a 162 millones de euros.

Google ha sido la más afectada, ya que el tribunal supremo de Francia desestimó su recurso contra la multa de 50 millones de euros impuesta por la Autoridad de Protección de Datos CNIL y la Autoridad de Datos de Suecia le impuso otra multa de 7 millones de euros por no respetar el derecho al olvido de las personas.

En octubre de 2020, la Autoridad de Protección de Datos de Hamburgo (Alemania) impuso la segunda mayor multa jamás impuesta por el RGPD, de aproximadamente 35 millones de euros, a la empresa de venta de ropa H&M por grabar reuniones con empleados en las que se revelaba información sensible y luego compartirlas internamente entre los directivos.

British Airways fue multada con 22 millones de euros por no haber evitado una filtración de datos que afectó a 400.000 clientes debido a las deficientes medidas de ciberseguridad. Por su parte, Marriott recibió una multa de 20,4 millones de euros por la espectacular violación de datos que afectó a 83 millones de registros de huéspedes y que fue consecuencia de su falta de diligencia debida tras adquirir el Grupo Starwood, que fue el origen del incidente.

En conclusión

Mientras las empresas se enfrentan a las dificultades que plantea la pandemia del COVID-19, es esencial que no descuiden la ciberseguridad. Los actores maliciosos siempre buscan oportunidades para sacar provecho y este año no ha sido diferente. Al mismo tiempo, si bien las autoridades de protección de datos se han mostrado más indulgentes debido a las circunstancias actuales, no se han contenido a la hora de aplicar sanciones llamativas cuando se ha detectado un incumplimiento grave de los requisitos de protección de datos.

Todo esto demuestra que la ciberseguridad, que hasta hace unos años se consideraba una idea tardía por parte de muchas organizaciones, es ahora una parte crucial de las operaciones empresariales y ya no habrá un momento en el que sea aceptable prescindir de ella.