Violación de datos
Una violación de datos, también conocido como filtración o escape de datos (del inglés "data breach") es una infracción de la seguridad, en la que datos sensibles, protegidos o confidenciales son copiados, transmitidos, vistos, robados o utilizados por una persona no autorizada para hacerlo.[1] Otros términos son divulgación involuntaria de información, fuga de datos, fuga de información y derrame de datos. Los incidentes van desde los ataques concertados de individuos que piratean en beneficio personal o con malicia (black hats), el crimen organizado, los activistas políticos o los gobiernos nacionales, hasta la seguridad de sistemas mal configurados o la eliminación descuidada de equipos informáticos o soportes de almacenamiento de datos usados. La información filtrada puede abarcar desde asuntos que comprometen la seguridad nacional hasta información sobre acciones que un gobierno o funcionario considera vergonzosas y quiere ocultar. Una violación deliberada de datos por parte de una persona con conocimiento de la información, normalmente con fines políticos, se describe más a menudo como una "filtración".[2]
Las violaciones de datos pueden afectar a la información financiera, como los datos de las tarjetas de crédito y débito, los datos bancarios, carpeta de salud personal, la información de identificación personal, los secretos comerciales de las empresas o la propiedad intelectual. Las violaciones de datos pueden afectar a datos no estructurados sobreexpuestos y vulnerables: archivos, documentos e información sensible.[3]
Las violaciones de datos pueden ser bastante costosas para las organizaciones, con costes directos (reparación, investigación, etc.) e indirectos (daños a la reputación, proporcionar ciberseguridad a las víctimas de los datos comprometidos, etc.).
Según la organización de consumidores sin ánimo de lucro Privacy Rights Clearinghouse, un total de 227.052.199 registros individuales que contenían información personal sensible se vieron implicados en violaciones de seguridad en Estados Unidos entre enero de 2005 y mayo de 2008, excluyendo los incidentes en los que aparentemente no se expusieron datos sensibles.[4]
Muchas jurisdicciones han aprobado leyes de notificación de violaciones de datos, que exigen que una empresa que ha sido objeto de una violación de datos informe a los clientes y tome otras medidas para remediar los posibles daños.
Definición
Una violación de datos puede incluir incidentes como el robo o la pérdida de medios digitales como cintas de ordenador, discos duros u ordenadores portátiles con información sin cifrar, la publicación de dicha información en la World Wide Web sin las debidas precauciones de seguridad de la información, la transferencia de dicha información a un sistema que no es completamente abierto pero que no está acreditado adecuada o formalmente para la seguridad, como el correo electrónico sin cifrar, o la transferencia de dicha información a los sistemas de información de un organismo posiblemente hostil, como una empresa de la competencia o una nación extranjera, donde puede estar expuesta a técnicas de descifrado más intensivas.[5]
La norma ISO/IEC 27040 define una violación de datos como: el compromiso de la seguridad que conduce a la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos protegidos transmitidos, almacenados o procesados de otro modo.[6]
Consecuencias
Aunque estos incidentes suponen el riesgo de robo de identidad u otras consecuencias graves, en la mayoría de los casos no se producen daños duraderos; o bien la brecha de seguridad se remedia antes de que personas sin escrúpulos accedan a la información, o bien el ladrón sólo está interesado en el hardware robado, no en los datos que contiene. No obstante, cuando estos incidentes se hacen públicos, es habitual que la parte infractora intente mitigar los daños proporcionando a la víctima la suscripción a una agencia de información crediticia, por ejemplo, nuevas tarjetas de crédito u otros instrumentos. En el caso de Target, la filtración de 2013 le costó una importante caída de los beneficios, que se calcula que descendieron un 40% en el cuarto trimestre del año.[7] A finales de 2015, Target publicó un informe en el que afirmaba haber sufrido una pérdida total de 290 millones de dólares por tasas relacionadas con la filtración de datos.[8]
Según la ONG "Privacy Rights Clearinghouse" más de 200 millones registros de datos personales se filtraron en violaciones de datos sólo en los Estados Unidos entre enero de 2005 y mayo de 2008[9]
Véase también
Referencias
- «Wayback Machine». web.archive.org. Archivado desde el original el 11 de noviembre de 2020. Consultado el 26 de mayo de 2022.
- «Home : Oxford English Dictionary». www.oed.com (en inglés). Consultado el 26 de mayo de 2022.
- Faitelson 4/26/16, Yaki (26 de abril de 2016). «Xconomy: Panama Papers Leak: The New Normal?». Xconomy (en inglés estadounidense). Consultado el 26 de mayo de 2022.
- «Data Breaches | Privacy Rights Clearinghouse». privacyrights.org. Consultado el 26 de mayo de 2022.
- «Frequently Asked Questions on Incidents and Spills | National Archives». web.archive.org. 17 de abril de 2019. Archivado desde el original el 17 de abril de 2019. Consultado el 26 de mayo de 2022.
- www.iso.org https://www.iso.org/obp/ui/es/#iso:std:iso-iec:27040:ed-1:v1:en
|url=
sin título (ayuda). Consultado el 26 de mayo de 2022. - Harris, Elizabeth A. (26 de febrero de 2014). «Data Breach Hurts Profit at Target». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 26 de mayo de 2022.
- Manworren, Nathan; Letwat, Joshua; Daily, Olivia (1 de mayo de 2016). «Why you should care about the Target data breach». Business Horizons (en inglés) 59 (3): 257-266. ISSN 0007-6813. doi:10.1016/j.bushor.2016.01.002. Consultado el 26 de mayo de 2022.
- Chronology of Data Breaches"
Enlaces externos
- "Data Loss Database", proyecto que documenta problemas de pérdida de datos a nivel global.
- World's Biggest Data Breaches