Tue, Oct 5, 2021

2021 Data Breach Outlook - Los sectores tradicionalmente menos afectados están ahora en el punto de mira

Kroll ha observado un incremento del 140% en las notificaciones de filtraciones de datos personales desde 2019 a 2020.

Los sectores más afectados en 2019, como es el caso de salud, educación y servicios financieros, han seguido sufriendo de forma intensa incidentes de seguridad en 2020 y también en los meses transcurridos de 2021. Sin embargo, los mayores incrementos porcentuales se han producido en sectores que, de manera general, no habían sido afectados en 2019, lo que sugiere que los ciberataques se han extendido y profundizado a la vez durante la pandemia, una tendencia que se mantiene durante este periodo de recuperación.

Kroll atribuye el actual aumento de las notificaciones de filtración de datos personales a cuatro tendencias: la adopción del teletrabajo, que ha expuesto a empleados y empresas a una mayor vulnerabilidad frente a la ciberdelincuencia; la evolución del ransomware hacia nuevas formas de extorsión digital; el creciente impacto de los ataques a las cadenas de suministro; y la combinación de una normativa más estricta en materia de protección de datos y una mayor concienciación sobre los derechos de privacidad. Estos factores afectan a todas las empresas, incluso las de sectores que, históricamente, han conseguido no ser afectados por los ciberataques.

En este artículo resumimos los factores que impulsan los ciberataques en seis de estos sectores: alimentación y bebidas, suministros básicos, construcción, producción audiovisual, agricultura y ocio. Seguidamente describiremos las medidas que las empresas pueden adoptar para reducir el riesgo de que se produzca una filtración de datos personales y responder ante cualquier posible incidente.

Crece el número de sectores vulnerables a las filtraciones de datos personales

Los datos de Kroll para el año 2020 muestran un crecimiento medio del 125% en las notificaciones de filtrados de datos personales relacionadas con sectores que experimentaron cinco o más brechas de seguridad en 2019. Siguen aumentando los casos entre estos mismos sectores, tradicionalmente más regulados, a medida que avanza 2021.

Por el contrario, los otros seis sectores — alimentación y bebidas, suministros básicos, construcción, producción audiovisual, agricultura y ocio —, en los que se produjeron cuatro o menos filtraciones de datos en 2019 según datos de Kroll, experimentaron un incremento medio interanual del 545% en 2020. Y este gran aumento del número de casos en sectores que hasta ahora se han salvado de estos ataques se mantiene en el primer trimestre de 2021.

 

“La tendencia al alza que Kroll ha identificado en los ataques a sectores que, anteriormente, habían despertado un menor interés entre los ciberdelincuentes hará especialmente importante para esas empresas el desarrollo y la mejora de sus capacidades de detección de incidentes y respuesta. Se trata de un área en la que se puede hacer mucho para evitar o reducir impactos significativos en la organización con un nivel moderado de preparación.”– Luke Dembosky, Partner, Debevoise & Plimpton

 
Aumento de filtraciones de datos personales por sectores

Inesperadamente, algunos sectores sufrieron un incremento extraordinario de filtraciones de datos en 2020 frente a los ataques experimentados en 2019, como es el caso de alimentación y bebidas, con un aumento del 1300%, y de construcción, en el que crecieron los incidentes comunicados un 800%. Sin embargo, hay que contextualizar estas cifras, por sorprendentes que puedan resultar. Los sectores habitualmente más perjudicados sufrieron muchas más filtraciones de datos personales que los seis sectores que estamos examinando aquí, de manera que en 2020, el promedio de incidentes en los sectores tradicionalmente más perjudicados fue de 104, mientras que la media fue de 12 entre el grupo de los seis, históricamente menos afectados, analizados aquí.

Los sectores económicos sujetos a una mayor carga regulatoria y que constituyen el principal blanco de la ciberdelincuencia —como el de servicios financieros y el sanitario— son también los mejor preparados para gestionar las brechas de seguridad y de datos personales. Por el contrario, los sectores históricamente menos afectados son también los menos preparados, por lo que no sorprende que durante la pandemia de COVID-19 experimentaran un aumento extraordinario del número de incidentes en términos interanuales.

2021 Data Breach Outlook

Factores impulsores de filtraciones de datos por sectores

Kroll observó las siguientes tendencias en los distintos sectores económicos durante la pandemia:

La adopción del teletrabajo ha expuesto a empleados y empresas a una mayor vulnerabilidad frente a la ciberdelincuencia.

En la mayoría de los sectores se produjo un aumento de las actividades de “spear phishing” por correo electrónico relacionadas con la COVID-19, así como un aumento de la actividad maliciosa contra plataformas utilizadas para teletrabajar, como el software VPN, la infraestructura de acceso remoto y soluciones en la nube como Microsoft 365.

Evolución del ransomware hacia nuevas formas de extorsión digital

La crisis económica ha provocado un aumento de los ataques de ransomware, con la finalidad de extraer datos sensibles con fines de extorsión y cuyos autores tratan incluso de contactar con periodistas, clientes y vendedores para presionar a las víctimas para que paguen.

Creciente impacto de los ataques a las cadenas de suministro

Los grupos dedicados a la ciberdelincuencia han demostrado un nivel considerable de madurez operativa, que les permite no sólo desarrollar una tasa alta de vulnerabilidades “zero-day”, sino, también, explotar rápidamente vulnerabilidades de seguridad antes de que puedan aplicarse parches. En los últimos meses hemos observado un volumen significativo de ataques dirigidos contra grandes repositorios de transferencia de archivos, plataformas de correo electrónico y proveedores de software para actividades de crowdfunding, con graves consecuencias para miles de organizaciones que utilizan sus soluciones.

Una normativa más estricta en materia de protección de datos y una mayor concienciación sobre los derechos de privacidad

Por último, las empresas están cada vez más dispuestas a comunicar las filtraciones de datos porque han aprendido —como resultado de una normativa más estricta en materia de protección y una mayor concienciación de la sociedad sobre los derechos de privacidad— que una respuesta adecuada a estos incidentes puede reducir la cuantía de las sanciones y el daño a su reputación.

Factores impulsores de filtraciones de datos por sectores

Entre los seis sectores que registraron el menor número violaciones filtraciones de datos personales en 2019 — alimentación y bebidas, suministros básicos, construcción, producción audiovisual, agricultura y ocio— apreciamos un incremento del 545% en la cifra de notificaciones de 2019 a 2020. En la siguiente discusión, examinaremos estos sectores uno por uno para determinar las causas de este aumento.

Alimentación y bebidas
La industria de la alimentación y las bebidas registró un aumento del 1300% en el número de casos de filtración de datos personales en 2020 respecto a 2019, y el volumen de incidentes se ha incrementado ligeramente más a partir de abril 2021. Una importante cadena de restaurantes de Estados Unidos, por ejemplo, sufrió un caso de acceso no autorizado a sus sistemas y redes internos, que obligó a sus responsables a notificar a decenas de miles de clientes.

Para dar respuesta al aumento de la demanda causado por la pandemia, muchas empresas del sector alimentario tuvieron que intensificar su ritmo de producción, a menudo bajo mucha presión. Y, lo que es más importante, numerosas empresas se pasaron al comercio electrónico B2C, un cambio que, por su parte, ha provocado una mayor recogida y utilización de datos de consumidores y tarjetas de crédito. Las páginas de comercio electrónico son un objetivo claro para los ciberdelincuentes y, según International Lawyers Network, muchas organizaciones del sector de alimentación y bebidas “no están suficientemente protegidas”.

Suministros básicos
El sector de suministros básicos (luz, agua y gas) experimentó un incremento del 400% en filtraciones de datos personales en 2020 respecto a 2019, y en abril de 2021 el número de incidentes ya superaba las cifras de 2020 en un 25%. Un ejemplo es el caso de una empresa distribuidora de electricidad estadounidense, que tuvo que comunicar a miles de sus clientes que un ciberataque había dejado expuestos datos sensibles en los sistemas afectados.

Las empresas de suministros básicos son vulnerables a las ciberamenazas por tres motivos, como señala McKinsey: la mayor diversificación de los actores que dirigen ataques a este sector, incluidas naciones hostiles, ciberdelincuentes y “hacktivistas”; el “número creciente de objetivos potenciales de ataque, debido a la complejidad de estas organizaciones y su extensión geográfica”; y la “singular interdependencia entre las infraestructuras físicas y digitales, que expone a las empresas a los nuevos exploits”.

De acuerdo con la American Public Power Association, la pandemia de COVID-19 ha creado mayores oportunidades para los ciberataques. Un estudio del World Economic Forum señala que “los ciberdelincuentes tratarán de aprovechar las prisas por utilizar sistemas a distancia, la falta de personal en algunos sistemas y la introducción de nuevas formas de trabajo”.

Construcción
En el sector de la construcción se produjo en 2020 un aumento del 800% de las violaciones de datos personales con respecto a 2019, y el ritmo de crecimiento se ha mantenido estable hasta abril de 2021. En un caso relevante, una gran compañía constructora norteamericana tuvo que comunicar a cientos de miles de clientes la existencia un incidente causado por el robo de un portátil del que se derivó el acceso no autorizado al correo electrónico.  

 

“Como muchos otros, el sector de la construcción priorizó la continuidad de las operaciones al comienzo de la pandemia y varios de mis clientes encontraron grandes dificultades a la hora de configurar el acceso remoto a sus sistemas a suficiente escala, de manera que algunos tuvieron que restringir el acceso de sus empleados y colaboradores a determinadas horas del día.”– Eoin Ó Murchú, Director Asociado, Blackrock Expert Services Group, A Kroll Business

 

Las constructoras y bufetes de arquitectos han impulsado mucho la innovación en el campo del teletrabajo debido a la distribución geográfica de los proyectos de construcción. Sin embargo, cuando “el personal de oficina comenzó, en su inmensa mayoría, a desempeñar sus funciones por medio del teletrabajo, la realidad es que los protocolos de seguridad se quedaron muy a la zaga.” Cada equipo, así como las redes inalámbricas utilizadas en las oficinas, los despachos domésticos o, incluso, las cafeterías, eran un punto de entrada a los datos de la compañía.  El sector de la construcción exige además un alto nivel de colaboración entre las diferentes empresas, de forma que existe una dependencia en cuanto a los protocolos comunes y métodos de cifrado.

Asimismo, los proyectos de construcción son vulnerables a las amenazas dirigidas específicamente al Internet de las Cosas (IOT). Por ejemplo, los hackers pueden acceder desde sensores inalámbricos instalados en lugares remotos o a través de terceros proveedores.

Producción audiovisual
El sector de la producción audiovisual registró un aumento del 33% de las violaciones de datos personales respecto a 2019, y en abril de 2021 el nivel de incidentes ya igualaba el de todo el año 2020. Así sucedió, por ejemplo, en una empresa internacional de producciones audiovisuales, que se vio obligada a notificar a miles de empleados después de que una brecha de seguridad interrumpió el acceso a su red corporativa y dejó expuesta información personal.

Los principales blancos de esta industria son, sin embargo, las pequeñas compañías especializadas en posproducción y efectos visuales (VFX), que trabajan con un contenido extremadamente valioso. Estas organizaciones “no suelen contar con personal informático a tiempo completo, y no hablemos de expertos en seguridad de contenidos”, señala el M&E Journal, mientras que los grandes estudios cinematográficos disfrutan por lo general de “una buena financiación y un volumen elevado de recursos”. Por ello, se están dirigiendo actualmente los ataques a estas empresas de valor alto, pero más vulnerables dentro de la cadena de producción.

Agricultura
El sector agrícola experimentó un aumento del 600% de brechas de datos personales en 2020 con respecto a 2019, y este aumento se ha mantenido estable hasta abril de 2021. Kroll pudo comprobarlo, por ejemplo, a través del caso de un importante distribuidor de maquinaria agrícola de Estados Unidos, que tuvo conocimiento de un posible acceso no autorizado a su red y tuvo que notificarlo a decenas de miles de clientes.

La agricultura ha llevado a cabo un proceso significativo de transformación digital, al igual que muchos otros sectores, con la consiguiente exposición a nuevas vulnerabilidades. Tecnologías como aplicaciones móviles, sensores inteligentes, computación en la nube y drones dependen todas de Internet, lo que expone a las explotaciones agrícolas a gran número de riesgos asociados a las APIs.

Ocio
La industria del ocio registró un incremento del 200% en las filtraciones de datos personales en 2020 respecto a 2019, y este incremento se ha mantenido estable hasta abril de 2021. Un ejemplo de este crecimiento es el de un club de campo de Estados Unidos, que se vio obligado a notificar a miles de miembros después de que sus datos personales quedaran expuestos como consecuencia de una serie de actividades fraudulentas.

Según el  Center for the Study of Sports Law de la Universidad de Villanova, Pennsylvania, las organizaciones deportivas son normalmente objeto de tres tipos de ciberataques: el fraude a través de cuentas de correo electrónico de empresas (business email compromise o BEC); las actividades delictivas no directamente dependientes de Internet, pero que han conseguido un mayor impacto gracias al medio digital (cyber-enabled fraud); y el secuestro o bloqueo de sistemas por un rescate (ransomware). El 70% de las organizaciones deportivas británicas ha sufrido al menos uno de estos tipos de ataque.

Recomendaciones

Kroll percibe una correlación entre el aumento del número de incidentes que están sufriendo sectores habitualmente menos afectados por las brechas de seguridad  y el hecho, señalado como conclusión clave de nuestro informe State of Incident Response 2021, de que el 43% de las organizaciones que entrevistamos y, de manera específica, más de la mitad de los responsables del área jurídica, siguen considerando que su organización carece de los medios necesarios para notificar rápidamente cualquier brecha que se produzca, a pesar de la amplia difusión ya alcanzado por las brechas de seguridad y las filtraciones de datos y el reconocimiento generalizado que cualquiera puede ser víctima de un ataque de este tipo.

Nuestra esperanza es que, dando a conocer esta realidad, ayudaremos a las organizaciones a comprender con mayor precisión la importancia de buscar soluciones y de disponer de un plan de actuación. Ante el aumento significativo de las notificaciones de filtraciones de datos personales sufridas en 2020, recomendamos encarecidamente a las organizaciones que tomen medidas proactivas para poder dar responder eficazmente en caso de cualquier incidente relacionado con la filtración de datos personales. A largo plazo, la prevención ayudará a reducir los potenciales impactos regulatorios y daños reputacionales, e incluso podría limitar el riesgo de posibles demandas colectivas.

Para ayudarle a prepararse mejor ante una posible filtraciónde datos personales, le ofrecemos cinco recomendaciones:

Negociar y contratar a los proveedores de servicios más cualificados para que ayuden con la respuesta a cualquier incidente.

Evitar verse obligado a negociar bajo la presión de una crisis. Buscar asesoramiento en materia de análisis forense digital, respuesta a incidentes, notificación de incidentes, comunicación de crisis y consecuencias jurídicas antes de que se produzca un incidente. Compruebe que los proveedores externos que contrate están aprobados por su póliza de ciberseguro y que puedan operar en todas las regiones en las que su organización pueda mantener datos de clientes, empleados u otros interesados críticos (en este sentido, podría resultar útil buscar a colaboradores globales).

Realizar ejercicios de simulación con su equipo directivo y sus proveedores de servicios de respuesta a incidentes para prepararse juntos para lo inevitable.

La mayoría de las organizaciones cuenta ya con un plan de respuesta a incidentes o Incident Response Plan (IRP), pero cuando se produce una situación de riesgo, el IRP suele descartarse, olvidarse o no se seguirse adecuadamente. Es fundamental llevar a cabo simulacros periódicos con los equipos jurídicos y de seguridad, así como con proveedores externos para entrenar la respuesta y aumentar la velocidad de reacción a los incidentes. Los ejercicios teóricos de este tipo ayudan también a comprobar que los proveedores contratados están de verdad a su lado, además de asegurar todos los implicados se conocen bien y pueden trabajar juntos con facilidad.

Proporcionar formación, adiestramiento y asistencia técnica a los empleados.

Debe garantizarse la aplicación uniforme de las mismas normas de seguridad de datos con independencia del lugar en que se apliquen, dotando a los empleados que trabajen en un contexto digital con políticas y procedimientos claros para la implantación en los dispositivos móviles utilizados por colaboradores de software de seguridad y autenticación apropiada, y para su debida actualización, así como la formación y la asistencia técnica necesarias.

Educar a los empleados acerca de la correcta gestión y protección de datos sensibles. Que sigan produciéndose la pérdida y el robo de ordenadores portátiles es claramente ilustrativo de que las políticas corporativas diseñadas para proteger los datos solo funcionan cuando los empleados cumplen las normas.

Entender donde se conservan los datos en su organización, no sólo para poder protegerlos y defenderlos, sino también para acceder rápidamente en caso de cualquier posible incidente con el fin de acelerar el cumplimiento del deber de notificación.

Diversas normativas, como el RGPD en Europa y la CCPA en EEUU, exigen a las organizaciones realizar ejercicios de mapeo de datos. Con esta práctica ayudará también a su organización a elaborar un plan de “adelgazamiento” de datos que reduzca el número de lugares en que se conserven datos y la cantidad de información recopilada.

2021 Data Breach Outlook

No dependa del cifrado como única línea de defensa.

El cifrado de datos en tránsito y en reposo es una buena práctica, pero utilizado en solitario puede adormecer a las empresas en una falsa sensación de seguridad. Si bien la mayoría de las legislaciones nacionales exigen únicamente notificar en caso de incidente de seguridad que comprometa datos personales no cifrados, los hackers saben romper, y rompen, los códigos de cifrado.

Reflexiones finales

El volumen y la sofisticación de los ciberataques continúan en aumento, a pesar del rigor regulatorio al que se someta a cada sector económico. Ahora que la mayor parte de las organizaciones reciben más de 100 alertas de amenaza cada día y que se ha reducido la visibilidad de los equipos finales debido a la adopción del teletrabajo, la capacidad de detectar con rapidez y responder con eficacia a las ciberamenazas constituye hoy un reto difícil de superar por las organizaciones por sí solas.

Se recomienda firmemente a las organizaciones que evalúen su capacidad de respuesta a incidentes y de notificación de incidentes y consideren la adopción de una solución 24x7 de detección y respuesta gestionadas que permita ampliar sus capacidades de seguridad antes de producirse cualquier filtrado de datos. Las inversiones en capacidad de detección y respuesta generan el mayor retorno en materia de seguridad, ya que las organizaciones pueden anticiparse a los ataques más graves y acortar así cualquier interrupción de la actividad.



Cyber Risk

Gestión integral de los riesgos de ciberseguridad.

Expert Services

Análisis pericial independiente, ratificación, asesoramiento e investigaciones en relación con disputas y proyectos complejos.

Prueba Electrónica

Prestamos servicios de gestión integral de pruebas electrónicas en múltiples ámbitos.