Violación de datos

De Wikipedia, la enciclopedia libre
(Redirigido desde «Escape de datos»)

Una violación de datos, también conocido como filtración o escape de datos (del inglés "data breach") es una infracción de la seguridad, en la que datos sensibles, protegidos o confidenciales son copiados, transmitidos, vistos, robados o utilizados por una persona no autorizada para hacerlo.[1]​ Otros términos son divulgación involuntaria de información, fuga de datos, fuga de información y derrame de datos. Los incidentes van desde los ataques concertados de individuos que piratean en beneficio personal o con malicia (black hats), el crimen organizado, los activistas políticos o los gobiernos nacionales, hasta la seguridad de sistemas mal configurados o la eliminación descuidada de equipos informáticos o soportes de almacenamiento de datos usados. La información filtrada puede abarcar desde asuntos que comprometen la seguridad nacional hasta información sobre acciones que un gobierno o funcionario considera vergonzosas y quiere ocultar. Una violación deliberada de datos por parte de una persona con conocimiento de la información, normalmente con fines políticos, se describe más a menudo como una "filtración".[2]

Las violaciones de datos pueden afectar a la información financiera, como los datos de las tarjetas de crédito y débito, los datos bancarios, carpeta de salud personal, la información de identificación personal, los secretos comerciales de las empresas o la propiedad intelectual. Las violaciones de datos pueden afectar a datos no estructurados sobreexpuestos y vulnerables: archivos, documentos e información sensible.[3]

Las violaciones de datos pueden ser bastante costosas para las organizaciones, con costes directos (reparación, investigación, etc.) e indirectos (daños a la reputación, proporcionar ciberseguridad a las víctimas de los datos comprometidos, etc.).

Según la organización de consumidores sin ánimo de lucro Privacy Rights Clearinghouse, un total de 227.052.199 registros individuales que contenían información personal sensible se vieron implicados en violaciones de seguridad en Estados Unidos entre enero de 2005 y mayo de 2008, excluyendo los incidentes en los que aparentemente no se expusieron datos sensibles.[4]

Muchas jurisdicciones han aprobado leyes de notificación de violaciones de datos, que exigen que una empresa que ha sido objeto de una violación de datos informe a los clientes y tome otras medidas para remediar los posibles daños.

Definición[editar]

Una violación de datos puede incluir incidentes como el robo o la pérdida de medios digitales como cintas de ordenador, discos duros u ordenadores portátiles con información sin cifrar, la publicación de dicha información en la World Wide Web sin las debidas precauciones de seguridad de la información, la transferencia de dicha información a un sistema que no es completamente abierto pero que no está acreditado adecuada o formalmente para la seguridad, como el correo electrónico sin cifrar, o la transferencia de dicha información a los sistemas de información de un organismo posiblemente hostil, como una empresa de la competencia o una nación extranjera, donde puede estar expuesta a técnicas de descifrado más intensivas.[5]

La norma ISO/IEC 27040 define una violación de datos como: el compromiso de la seguridad que conduce a la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos protegidos transmitidos, almacenados o procesados de otro modo.[6]

Consecuencias[editar]

Aunque estos incidentes suponen el riesgo de robo de identidad u otras consecuencias graves, en la mayoría de los casos no se producen daños duraderos; o bien la brecha de seguridad se remedia antes de que personas sin escrúpulos accedan a la información, o bien el ladrón sólo está interesado en el hardware robado, no en los datos que contiene. No obstante, cuando estos incidentes se hacen públicos, es habitual que la parte infractora intente mitigar los daños proporcionando a la víctima la suscripción a una agencia de información crediticia, por ejemplo, nuevas tarjetas de crédito u otros instrumentos. En el caso de Target, la filtración de 2013 le costó una importante caída de los beneficios, que se calcula que descendieron un 40% en el cuarto trimestre del año.[7]​ A finales de 2015, Target publicó un informe en el que afirmaba haber sufrido una pérdida total de 290 millones de dólares por tasas relacionadas con la filtración de datos.[8]

Las filtraciones de datos en el ámbito de la salud tienen consecuencias graves, poniendo en riesgo la información sensible de los pacientes. Desde 2005 hasta 2019, 249 millones de personas se vieron afectadas por este tipo de filtraciones. En 2019, se produjeron 505 filtraciones de datos en el sector de la salud, exponiendo 41.2 millones de registros. El impacto financiero es considerable, ya que las filtraciones en el ámbito de la salud tienen un costo promedio de $6.45 millones, más alto que las filtraciones en otras industrias según un informe de IBM.[9]

Según la ONG "Privacy Rights Clearinghouse" más de 200 millones registros de datos personales se filtraron en violaciones de datos sólo en los Estados Unidos entre enero de 2005 y mayo de 2008[10]

La filtración de Yahoo revelada en 2016 podría resultar una de las más costosas hasta la fecha. Esto podría reducir el precio de su adquisición de 1000 millones de dólares por Verizon.[11]​ Más tarde, Verizon anunció que había renegociado los términos con Yahoo, acordando reducir el precio final de 4800 a 4.480 millones de dólares.[12]​ Según DNV GL, un organismo internacional de certificación y sociedad de clasificación con sede en Noruega, la ciberdelincuencia cuesta a las empresas energéticas y de servicios públicos una media de 12,8 millones de dólares anuales en pérdidas de negocio y daños a equipos.[13]​ Las filtraciones de datos costaron a las organizaciones sanitarias 6200 millones de dólares entre 2014 y 2015, según un estudio de Ponemon.[14]​ Según los estudios, los ataques informáticos y los incidentes informáticos son los ataques más comunes para filtrar datos médicos.[15]

Sabedoras de cómo las filtraciones de datos pueden perturbar el negocio, muchas empresas contratan ciberseguros, pero las aseguradoras suben las primas y dificultan su inclusión en una póliza. IBM dice que el coste medio de una violación de datos en 2023 fue de unos 4,4 millones de dólares,[16][17]​ y gran parte de ese coste recae en las compañías de seguros que tienen que gastar en pagos para reparar los daños de los ciberataques.

Con el volumen de datos creciendo exponencialmente en la era digital y las violaciones de datos ocurriendo con más frecuencia que nunca, evitar que la información sensible se filtre a partes no autorizadas se está convirtiendo en una de las preocupaciones de seguridad empresarial más acuciantes.[18]​ Para proteger los datos y las finanzas, las empresas a menudo tienen que incurrir en costes adicionales para tomar medidas preventivas contra posibles violaciones de datos.[19]

Véase también[editar]

Referencias[editar]

  1. «Wayback Machine». web.archive.org. Archivado desde el original el 11 de noviembre de 2020. Consultado el 26 de mayo de 2022. 
  2. «Home : Oxford English Dictionary». www.oed.com (en inglés). Consultado el 26 de mayo de 2022. 
  3. Faitelson 4/26/16, Yaki (26 de abril de 2016). «Xconomy: Panama Papers Leak: The New Normal?». Xconomy (en inglés estadounidense). Consultado el 26 de mayo de 2022. 
  4. «Data Breaches | Privacy Rights Clearinghouse». privacyrights.org. Consultado el 26 de mayo de 2022. 
  5. «Frequently Asked Questions on Incidents and Spills | National Archives». web.archive.org. 17 de abril de 2019. Archivado desde el original el 17 de abril de 2019. Consultado el 26 de mayo de 2022. 
  6. www.iso.org https://www.iso.org/obp/ui/es/#iso:std:iso-iec:27040:ed-1:v1:en |url= sin título (ayuda). Consultado el 26 de mayo de 2022. 
  7. Harris, Elizabeth A. (26 de febrero de 2014). «Data Breach Hurts Profit at Target». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 26 de mayo de 2022. 
  8. Manworren, Nathan; Letwat, Joshua; Daily, Olivia (1 de mayo de 2016). «Why you should care about the Target data breach». Business Horizons (en inglés) 59 (3): 257-266. ISSN 0007-6813. doi:10.1016/j.bushor.2016.01.002. Consultado el 26 de mayo de 2022. 
  9. Seh, Adil Hussain; Zarour, Mohammad; Alenezi, Mamdouh; Sarkar, Amal Krishna; Agrawal, Alka; Kumar, Rajeev; Ahmad Khan, Raees (2020-06). «Healthcare Data Breaches: Insights and Implications». Healthcare (en inglés) 8 (2): 133. ISSN 2227-9032. PMC 7349636. PMID 32414183. doi:10.3390/healthcare8020133. Consultado el 26 de enero de 2024. 
  10. Chronology of Data Breaches"
  11. «Report: Verizon wants $1 billion discount after Yahoo privacy concerns». techcrunch.com. Consultado el 29 de enero de 2024. 
  12. «Corporate Directors’ and Officers’ Cybersecurity Standard of Care: The Yahoo Data Breach». papers.ssrn.com. Consultado el 29 de enero de 2024. 
  13. «Oil and gas industry joins forces in fight against cybercrime». www.hydrocarbonprocessing.com. Consultado el 29 de enero de 2024. 
  14. «Data breaches cost healthcare industry $6.2B — 4 points». www.beckersasc.com. Consultado el 29 de enero de 2024. 
  15. «Healthcare Data Breaches: Insights and Implications». www.ncbi.nlm.nih.gov. Consultado el 29 de enero de 2024. 
  16. «Cost of a Data Breach Report 2023». www.ibm.com. Consultado el 29 de enero de 2024. 
  17. «Cyber insurance prices increase as more companies experience breaches; what experts are saying». www.cbs17.com. Consultado el 29 de enero de 2024. 
  18. «Enterprise data breach: causes, challenges, prevention, and future directions». wires.onlinelibrary.wiley.com. Consultado el 29 de enero de 2024. 
  19. «Tax consequences of data breaches and identity theft». www.journalofaccountancy.com. Consultado el 29 de enero de 2024. 

Enlaces externos[editar]

Obtenido de «https://es.wikipedia.org/w/index.php?title=Violación_de_datos&oldid=157839147»