a medida que la ola de violaciones de datos continúa colapsando en las empresas, echemos un vistazo a algunas de las violaciones de datos más grandes y dañinas registradas. Siga leyendo para conocer un recorrido histórico por las infracciones a lo largo del tiempo, así como los recursos para prevenir las infracciones de datos.
TechTarget define una violación de datos como » un incidente en el que datos confidenciales, protegidos o confidenciales han sido potencialmente vistos, robados o utilizados por una persona no autorizada para hacerlo., Las violaciones de datos pueden involucrar información de tarjetas de pago (PCI), información de salud personal (PHI), información de identificación personal (PII), secretos comerciales o propiedad intelectual.»Pero, ¿cuánto tiempo han sido las violaciones de datos una preocupación para las empresas y los consumidores, y qué tipo de impacto han tenido las violaciones de datos a lo largo de la historia?
el origen de las violaciones de datos
las violaciones de datos han ganado una atención generalizada a medida que las empresas de todos los tamaños dependen cada vez más de los datos digitales, la computación en la nube y la movilidad de la fuerza laboral., Con datos empresariales confidenciales almacenados en máquinas locales, bases de datos empresariales y servidores en la nube, violar los datos de una empresa se ha vuelto tan simple, o tan complejo, como obtener acceso a redes restringidas.
Las violaciones de datos no comenzaron cuando las empresas comenzaron a almacenar sus datos protegidos digitalmente. De hecho, las violaciones de datos han existido durante el tiempo que los individuos y las empresas han mantenido registros y almacenado información privada., Antes de que la informática se convirtiera en algo común, una violación de datos podría ser algo tan simple como ver el archivo médico de una persona sin autorización o encontrar documentos confidenciales que no se eliminaron adecuadamente. Sin embargo, las violaciones de datos divulgadas públicamente aumentaron en frecuencia en la década de 1980, y en la década de 1990 y principios de la década de 2000, la conciencia pública sobre el potencial de violaciones de datos comenzó a aumentar.
Las leyes y regulaciones como HIPAA o el estándar de seguridad de datos PCI se crean para proporcionar pautas para las empresas y organizaciones que manejan ciertos tipos de información confidencial del consumidor., Estas regulaciones proporcionan un marco para las salvaguardias, el almacenamiento y las prácticas de uso requeridas para el manejo de información confidencial, pero estas reglas no existen en todas las industrias, ni impiden definitivamente que se produzcan violaciones de datos.
La mayoría de la información sobre violaciones de datos se centra en el período de tiempo desde 2005 hasta hoy. Esto se debe en gran medida al avance de la tecnología y la proliferación de datos electrónicos en todo el mundo, lo que hace que las violaciones de datos sean una preocupación principal tanto para las empresas como para los consumidores., Las filtraciones de datos de hoy en día pueden afectar a cientos de miles, a menudo millones, de consumidores individuales, e incluso más registros individuales, todo desde un solo ataque a una empresa.
4 tipos comunes de violaciones de datos
cuando las grandes organizaciones «pierden» o exponen accidentalmente datos, a menudo es a través de piratería, negligencia o ambos. Sin embargo, hay varios otros tipos de pérdida de datos y/o corrupción que se clasificarían como una «violación.»Echemos un vistazo a cuatro tipos adicionales de brechas.
Ransomware
Ransomware es el nombre del software malicioso que obtiene acceso y bloquea el acceso a datos vitales (es decir, archivos, sistemas). Estos ataques se dirigen más comúnmente a las empresas. Los archivos y / o sistemas están bloqueados y se exige una cierta tarifa (la mayoría de las veces en forma de Bitcoin u otras criptomonedas).
Malware
El Malware es cualquier software diseñado para dañar archivos y/o sistemas informáticos., Irónicamente, el malware a menudo se disfraza como una advertencia contra el software malicioso en un intento de convencer a los usuarios a descargar los mismos tipos de software mencionados en el mensaje de «advertencia».
Phishing
El Phishing ocurre cuando alguien o algo imita a una entidad confiable y de buena reputación para recopilar datos confidenciales (a menudo datos bancarios o altamente personales). Estos ataques no son exclusivos de Internet., Los métodos comunes para las estafas de phishing pueden incluir:
- Una ventana emergente en su navegador
- Un correo electrónico con un enlace
- Una persona en el teléfono que afirma ser un representante de una empresa de renombre
denegación de Servicio (DoS)
una violación de denegación de servicio (DoS) esencialmente elimina el acceso a sitios web y páginas web. Cuando esto sucede a gran escala, se conoce como denegación de servicio distribuido (DDoS). Estos ataques a gran escala pueden interrumpir una gran parte de los sitios en línea en ciertas áreas., Uno de los ataques DDoS más grandes registrados es el ataque de 2016 a Dyn, que hizo que una parte considerable del acceso a Internet del Este de los Estados Unidos fuera prácticamente inutilizable durante varias horas. El ataque DDoS más grande y reciente ocurrió en GitHub en febrero de 2018.
¿cuántas violaciones de datos se producen?
La Cámara de Compensación de derechos de privacidad, que informa sobre violaciones de datos que afectan a los consumidores, mantiene una cronología de violaciones de datos y violaciones de seguridad que se remontan a 2005., Las violaciones de datos reportadas por Privacy Rights Clearinghouse incluyen violaciones en las que la información comprometida «incluye elementos de datos útiles para los ladrones de identidad, como números de Seguro Social, números de Cuenta y números de licencia de conducir.»
sin embargo, algunas violaciones que no comprometen este tipo de información sensible también se informan con el fin de proporcionar una visión amplia de la variedad y frecuencia de las violaciones de datos. Además, las violaciones de datos reportadas aquí incluyen solo aquellas reportadas en los Estados Unidos, no incidentes en otros países.,
la mayoría de las cuentas históricas documentan violaciones desde 2005 en adelante
mientras que las violaciones de datos ciertamente ocurrieron antes de 2005, la mayoría de las violaciones de datos más grandes registradas en la historia se reportan en 2005 o más allá. Esto se puede atribuir al hecho de que el volumen mundial de datos ha crecido exponencialmente año tras año, dando a los ciberdelincuentes una mayor oportunidad de exponer volúmenes masivos de datos en una sola violación.
considere estas proyecciones de un informe de 2012 de CSC:
- Para 2020, Más de un tercio de todos los datos vivirán o pasarán a través de la nube.
- En 2020, se estima que la producción de datos es 44 veces mayor que en 2009; los expertos estiman un aumento del 4,300 por ciento en la generación anual de datos para 2020.
- mientras que los individuos son responsables de la mayoría de la creación de datos (70 por ciento), el 80 por ciento de todos los datos son almacenados por las empresas.
solo en 2005, el Centro de información sobre derechos de privacidad informó de 136 violaciones de datos., Más de 4,500 violaciones de datos se han hecho públicas desde 2005, con más de 816 millones de Registros Individuales violados. Debido a que el Centro de intercambio de información sobre derechos de privacidad informa sobre infracciones en las que se desconoce el número de Registros violados y no es una compilación completa de todos los datos de infracciones, es probable que el total real de Registros violados como resultado de violaciones de datos sea sustancialmente mayor. Por ejemplo, el informe de Investigaciones de violación de datos de Verizon de 2015 cubrió más de 2,100 violaciones de datos en las que se expusieron más de 700 millones de Registros solo para el año 2014.,
las violaciones de datos han aumentado en número e impacto
varios expertos y otros medios de comunicación han intentado nombrar las violaciones de datos más grandes de la historia. Según Statista, que informa sobre el número de violaciones de datos y registros expuestos en los Estados Unidos desde 2005, el número de ataques cibernéticos está en una tendencia al alza. En 2005, se reportaron 157 violaciones de datos en los Estados Unidos, con 66.9 millones de Registros expuestos. En 2014, se reportaron 783 violaciones de datos, con al menos 85.61 millones de registros totales expuestos, lo que representa un aumento de casi el 500 por ciento desde 2005., Ese número se duplicó con creces en tres años, hasta alcanzar las 1.579 infracciones denunciadas en 2017. Y esos son los números de Statista, que son algo conservadores en comparación con el DBIR de Verizon u otros informes de violación de datos estándar de la industria.
La tendencia no está aumentando constantemente, sin embargo. En 2009, por ejemplo, el número total de violaciones de datos reportadas en los EE.UU. cayó a 498, de 656 en 2008. Dicho esto, el número total de Registros Individuales expuestos aumentó bruscamente, de 35.,7 millones en 2008 a 222,5 millones en 2009. Estas cifras indican que, si bien se produjeron menos violaciones, las violaciones individuales fueron mayores, lo que dio lugar a un mayor número de Registros expuestos por violación.
también hubo una disminución en el número de violaciones de datos reportadas entre 2010 y 2011, con 662 violaciones de datos reportadas en 2010, y 419 violaciones de datos reportadas en 2011., Desde 2011, sin embargo, el número de violaciones de datos reportadas en los Estados Unidos ha aumentado constantemente:
- 614 violaciones de datos reportadas en 2013
- 783 violaciones de datos reportadas en 2014
- 1,093 violaciones de datos reportadas en 2016
- 1,579 violaciones de datos reportadas en 2017
Forbes informa que en los últimos 10 años, ha habido más de 300 violaciones de datos que resultaron en el robo de 100,000 o más registros. Y esas son solo algunas de las violaciones de datos que se reportaron públicamente.,
la mayor violación de datos en la historia
la mayor violación de datos en la historia involucró indirectamente a Experian, una de las tres principales agencias de informes de crédito. Experian adquirió una compañía llamada Court Ventures, que recopila y agrega información de Registros Públicos, en marzo de 2012. En el momento de la adquisición, Court Ventures tenía un contrato con una compañía llamada U. S. Info Search. El contrato permitió a los clientes de U. S. Info Search acceder a los datos de la compañía para encontrar las direcciones de las personas que les ayudarían a determinar qué registros judiciales revisar.,
Court Ventures vendió información a una serie de terceros, incluido un «servicio de fraude Vietnamita», que luego brindó a sus propios clientes la oportunidad de buscar información personal de estadounidenses, incluida información financiera y números de Seguro Social, que luego se utilizó para el robo de identidad en muchos casos.
Como Experian explica, » después de la adquisición de Experian de Court Ventures, el Servicio Secreto de los Estados Unidos nos notificó que Court Ventures había estado y seguía revendiendo datos de una base de datos de búsqueda de información de los Estados Unidos a un tercero, posiblemente involucrado en actividades ilegales., El sospechoso en este caso se hizo pasar por propietario de un negocio legítimo y obtuvo acceso a los datos de búsqueda de información de Estados Unidos a través de Court Ventures antes del momento en que Experian adquirió la compañía.»Experian sostiene que no se violó ninguna base de datos de Experian; las bases de datos de U. S. Info Search eran la fuente de la información del consumidor.
algunas fuentes de noticias citan 200 millones de Registros violados en este incidente, que continuó durante más de 10 meses después de que Experian adquiriera Court Ventures, aunque DataBreaches.,net informa que 200 millones es la cifra que representa el número total de registros almacenados en la base de datos que se violaron. El número real de Registros expuestos, según Experian, es desconocido, pero se cree que es mucho menor.
otros ejemplos importantes de violación de datos
mientras que el incidente Experian / Court Ventures se cita a menudo como la mayor violación de datos en la historia, sin duda hay muchas otras violaciones de datos que han ganado un reconocimiento generalizado como tener un impacto sustancial, o al menos, una amenaza de impacto potencialmente significativo, en los consumidores.,
en 2008 y 2009, Heartland Payment Systems sufrió una violación de datos que resultó en el compromiso de 130 millones de Registros. Los datos de Heartland Payment Systems, un procesador de pagos con sede en Nueva Jersey, fueron violados a través de malware que se plantó en la red de Heartland, registrando datos de tarjetas de crédito a medida que llegaban de los minoristas, informa Tom’s Guide. Estos datos, obtenidos a través de los servicios de procesamiento de pagos de Heartland para más de 250,000 empresas, fueron expuestos a los ciberdelincuentes. Esta violación de datos es considerada como la estafa de tarjeta de crédito más grande de la historia.
Slate.,com visualiza las brechas de datos más grandes de la historia desde 2005 en una infografía que ilustra si las brechas fueron el resultado de hacks, publicación accidental, trabajos internos, computadoras perdidas o robadas, medios perdidos o robados, mala seguridad, virus o causas desconocidas.
la mayoría de las violaciones más grandes registradas resultaron de ataques de hacking, mientras que una de las primeras violaciones de datos reportadas, impactando AOL y comprometiendo 92 millones de registros en 2005, fue reportada como un trabajo interno. Otra violación de AOL en 2006 resultó de la publicación accidental de datos confidenciales; esta violación comprometió 20 millones de Registros.
una violación de datos que afecta a las Fuerzas Armadas de los Estados Unidos es otra excepción notable a la regla, con 76 millones de registros comprometidos en 2009 como resultado de la pérdida o robo de medios., Otras violaciones de datos importantes notables no discutidas anteriormente incluyen:
- TK / TJ Maxx: 94 millones de registros comprometidos en 2007
- Sony PlayStation Network: 77 millones de registros comprometidos en 2010
- Sony Online Entertainment: 24.,14
- Home Depot: 56 millones de registros comprometidos en 2014
- JP Morgan Chase: 76 millones de registros comprometidos en 2014
- Anthem: 80 millones de registros comprometidos en 2015
- Yahoo: mil millones de registros comprometidos en 2016
- Deep Root Analytics: 198 millones de registros de Votantes en 2017
estas violaciones son llevadas a cabo por piratas informáticos, lo que indica que las violaciones de datos están cada vez más extendidas, y tienen un impacto mucho mayor, comprometiendo millones de registros que contienen datos confidenciales de consumidores, empresas o usuarios.,
incluso con las empresas más grandes del mundo sufriendo violaciones masivas de datos, las empresas modernas requieren un enfoque integral y completo para la protección y seguridad de datos. Los enfoques reactivos de ayer simplemente no lo cortarán en el panorama de amenazas moderno. Si desea obtener más información sobre las violaciones de datos, lea nuestra lista de las 10 principales violaciones de datos de fabricación en el siglo XXI
seguro de violación de datos
de acuerdo con la investigación de 2018, el costo promedio por registro perdido en una violación de datos es de $148. El costo total promedio de una violación es de 3 3.86 millones., Incluso una pequeña empresa con 1,000 registros perdidos podría ver costos de decenas de miles.
con el fin de mitigar el riesgo que conlleva la pérdida de Datos, muchas empresas ahora están comprando un seguro de violación de datos.
tipos de seguro de violación de datos
seguro de primera parte
Hay muchas consecuencias diferentes que ocurren como resultado de una violación de datos, cada una con su propio costo., Desde el envío de notificaciones hasta la recuperación de datos, el tiempo y el dinero se gastarán en cantidades que podrían aplastar cualquier negocio.
El seguro de primera parte cubre estos gastos, incluidos:
- notificar a todas las partes afectadas
- costos de investigar los detalles de la violación
- enviar consultas de todas las partes afectadas
- Herramientas para ayudar a las partes afectadas (por ejemplo, informes de crédito)
seguro de terceros
principalmente utilizado por contratistas y profesionales de TI, el seguro de terceros cubre a aquellos que trabajan con empresas que podrían ser pirateadas., Empresas y profesionales contratados para realizar tareas técnicas (instalación de hardware, software, etc.) puede ser objeto de demandas en caso de que la Parte Contratante tenga una violación de datos. Los gastos cubiertos pueden incluir cosas como los costos de abogado/corte y acuerdos.
recursos de Defensa y prevención de la violación de datos
con el número cada vez mayor de amenazas de seguridad para empresas, pequeñas empresas y seguridad personal, la defensa y prevención de la violación de datos ha avanzado en consecuencia., Soluciones modernas que ofrecen una gran protección y un enfoque más proactivo de la seguridad para garantizar la seguridad de la información confidencial. Los siguientes recursos ofrecen información adicional sobre el avance de la protección de datos y consejos valiosos para prevenir violaciones de datos.
Los miembros del Comité de energía y Comercio de la Cámara de Representantes de los Estados Unidos han presentado un proyecto de ley que aborda la creciente amenaza del delito cibernético para los consumidores., «La Ley de seguridad de datos y Notificación de violaciones es una solución bipartidista para abordar el creciente problema de los delitos cibernéticos y proteger la información vulnerable de los delincuentes. La legislación establece un régimen de seguridad nacional para la protección de datos y la notificación de violaciones.»
el informe anual de Investigaciones de violación de datos de Verizon se ha convertido en uno de los favoritos de la industria de la seguridad por sus evaluaciones de miles de violaciones de datos que investiga con la ayuda del Servicio Secreto de los Estados Unidos y varias organizaciones de seguridad asociadas., Cada año, el DBIR se propone analizar las principales tendencias en las violaciones de datos, las víctimas que se dirigen, los patrones de ataque y más.
DataLossDB es un proyecto de investigación de código abierto y mantenido por la comunidad que cubre violaciones de datos divulgadas públicamente en todo el mundo. El sitio proporciona detalles sobre incidentes de pérdida de datos, así como análisis de tendencias históricas de violación de datos.
IT Business Edge proporciona una presentación de diapositivas que ilustra 8 formas de prevenir las filtraciones de datos, incluidos consejos como crear conciencia de seguridad para el usuario final, realizar evaluaciones de vulnerabilidad periódicas y otras tácticas útiles.,
Data Breach Today es un recurso multimedia de noticias y una fuente sólida de información sobre las últimas violaciones de datos, su impacto y estrategias para evitar que las empresas sean víctimas de los ciberdelincuentes.
Data Breach Watch es otro recurso que informa sobre las violaciones de datos descubiertas, las noticias y las tendencias que afectan tanto a los consumidores como a las empresas en cada vertical.
The Global Privacy & Security Compliance Law Blog es un excelente recurso para empresas que se enfrentan a regulaciones de seguridad y requisitos de cumplimiento estrictos y en constante cambio.,
The Hill toma una mirada crítica a las prácticas de prevención de violaciones de datos a la luz de las estadísticas alarmantes sobre el número de violaciones de datos y sus consecuencias posteriores en 2014. Como se señala en este artículo, el número de violaciones de datos que involucraron 100 millones de registros de clientes o más se duplicó en 2014. De hecho, mil millones de registros de datos se perdieron o fueron robados en 2014, un aumento del 71 por ciento con respecto a 2013. «Es hora de que los ejecutivos y los profesionales de la seguridad de la información acepten el hecho de que sus empresas serán violadas y empiecen a pensar fuera de la caja cuando se trata de la seguridad de los datos., Negar esta verdad es no aceptar la realidad.»
Este artículo del New York Times discute estrategias para minimizar el riesgo de una violación de datos a la luz de las principales violaciones que afectan a algunas de las compañías más grandes del mundo en la historia reciente. Una sugerencia, por ejemplo, es minimizar o eliminar el almacenamiento innecesario de datos. «Las empresas también deben pensar cuidadosamente qué datos están recopilando y almacenando., Al mantener mucha información confidencial, se colocan a sí mismos y a sus clientes en un riesgo considerable – y en algunos casos innecesariamente mayor – que si hubieran eliminado los datos o nunca los hubieran recopilado. Para tomar un ejemplo sorprendente, los expertos en seguridad dicen que no había absolutamente ninguna razón para que Target almacenara los números de identificación personal de cuatro dígitos, o PIN, de las tarjetas de débito de sus clientes.»
Tom’s It Pro informa sobre nuevas herramientas y tecnologías para prevenir violaciones de datos tras la SecureWorld Expo 2014.,
mientras que ninguna compañía quiere sufrir una violación de datos, los proveedores de atención médica y sus socios comerciales pueden perder aún más por una violación de datos, con sanciones bajo HIPAA por proteger inadecuadamente la información de salud personal. El CIO analiza los riesgos de una violación de datos en la industria de la salud, ofreciendo 12 consejos para prevenir una violación de datos de salud.
según este artículo de TechTarget, » la Asunción de incumplimiento es la nueva norma.,»El artículo continúa describiendo cómo este cambio crítico en el pensamiento se está utilizando para crear políticas y protocolos de protección de violación de datos más estrictos y completos.
como señalan muchas de estas fuentes, 2014 fue un año récord de violaciones de datos, renovando el enfoque en la necesidad de mejores métodos tanto para prevenir como para responder a la (inevitable) violación de datos. Este seminario web de 60 minutos de Bank Info Security analiza «el panorama cambiante de las violaciones de datos & protección del consumidor en 2015.»El webinar completo estará disponible bajo demanda pronto.,
la propia Experian fue sometida a los peligros de las secuelas de una violación de datos, y ha publicado su quinto pronóstico anual de la industria de la violación de datos para 2018. El informe proporciona una visión general de las tendencias de violación de datos y las perspectivas para 2018, al tiempo que enfatiza la necesidad de que las empresas tengan un plan de respuesta a la violación de datos.
Holland & Knight echa un vistazo a «cómo las recientes violaciones de datos están cambiando la cara de la ciberseguridad para el Sector privado.,»
en Digital Guardian cubrimos regularmente el tema de las violaciones de datos y proporcionamos información sobre cómo prevenir y responder a una violación de datos. En este resumen de expertos, pedimos a 30 expertos en seguridad de datos que compartan el siguiente paso más importante que debe tomar después de una violación de datos. En otro Resumen, pedimos a 27 expertos en seguridad de Datos sus ideas sobre las formas más rentables en que las startups pueden protegerse de las filtraciones de datos. Para ayudar a sus empleados con la conciencia cibernética, también creamos un Kit de conciencia de ciberseguridad., Asegúrese de seguir nuestro blog para obtener actualizaciones sobre la información, la investigación y los debates más recientes sobre seguridad de los datos, y visite nuestra sección de recursos para obtener informes de analistas, estudios de casos, hojas de datos y otros recursos sobre la prevención de la violación de datos y la seguridad de los datos.
etiquetas: violaciones de datos