Dicen que quien domina los datos domina el mundo. También dicen que el conocimiento es poder. Digámoslo como queramos. Una cosa es cierta: la información es hoy el bien más preciado.
¿Te has preguntado alguna vez por qué la mayoría de los servicios hoy en día, sobre todo en línea, son técnicamente gratuitos? Porque nosotros no somos los clientes, somos el producto.
Confiamos a plataformas de redes sociales, tiendas en línea y otros innumerables sitios web abundante información personal, y nunca están satisfechos. Y, a pesar de que la información sensible es, bueno, sensible, rara vez son tan cuidadosos con ella como deberían. Ahí es donde entran en juego los fallos criptográficos.
También conocido como exposición de datos sensibles, un fallo criptográfico es una de las mayores amenazas a la seguridad a las que se enfrentan las empresas, grandes y pequeñas, hoy en día. Pero antes de averiguar cómo podría ocurrir, vamos a averiguar qué es un fallo criptográfico, ¿de acuerdo?
Fallos Criptográficos: Significado y Ejemplos
Sin bombardearte con terminología de alta tecnología, un fallo criptográfico es un fallo de seguridad que se produce cuando una entidad de terceros (aplicaciones, páginas web, diferentes sitios web) expone datos sensibles. Para ser exactos, es cuando esa entidad lo hace sin una intención específica detrás. Ya sea por negligencia, incompetencia o descuido, un fallo criptográfico puede tener consecuencias personales y empresariales catastróficas.
A veces se debe a una protección inadecuada de la base de datos. Otras veces, se debe a errores de configuración al poner en marcha nuevas instancias de almacenes de datos. A veces, la exposición de datos sensibles se debe a un uso inadecuado de los sistemas de datos.
Software defects. Weak encryption. No encryption. An accidental upload to an incorrect database. There are many ways in which companies can and do occasionally expose themselves and leak confidential information.
But let’s take a step back. What’s the problem with these types of failures, and how can they be avoided? Let’s take a look.
¿Qué es un Fallo Criptográfico?
Originalmente llamado exposición de datos sensibles, un fallo criptográfico se produce cuando un sistema hace que los datos sensibles sean accesibles a fisgones potencialmente snoopers maliciosos. También ocurre cuando se produce un incidente de seguridad que permite el borrado accidental/ilegal, la destrucción, la alteración o la divulgación injustificada de información sensible.
En general, los fallos criptográficos se dividen en tres categorías:
- Violación de la confidencialidad. Es lo que ocurre cuando un tercero puede acceder a datos confidenciales o cuando una organización revela dichos datos por accidente.
- Violación de la integridad. Ésta describe una situación en la que se alteran datos confidenciales, una vez más, sin autorización y/o intención detrás.
- Violación de la disponibilidad. Pertenecen a esta categoría las situaciones en las que se destruyen datos sensibles o se pierde el acceso a ellos. La categoría cubre tanto la pérdida de datos permanente como la temporal.
Llegados a este punto, es posible que empiece a preguntarse: “Pero, ¿es lo mismo datos sensibles que datos personales? ¿O hay alguna diferencia entre ambos?”. Una pregunta razonable, y también de la que hablaremos enseguida.
Datos Personales Frente a Datos Sensibles
En resumen, los datos personales abarcan cualquier información relacionada con individuos físicas (léase: сonscientes) identificadas/identificables. Los datos no personales, por su parte, incluyen trozos y fragmentos de información que no tienen relación con gente identificables o que no son exclusivos de un solo individuo.
Los datos sensibles, mientras tanto, cubre cualquier información que revele o pueda revelar a las personas:
- Material sanitario, biométrico y genético en otras palabras
- Orientación sexual, vida sexual o cualquier otro aspecto de este tipo
- Enlaces a organizaciones religiosas, políticas y/o filosóficas
- Vínculos con organizaciones religiosas, políticas o filosóficas
- Creencias religiosas y/o políticas
- Afiliación a sindicatos
- Y más.
“Entonces, ¿un fallo criptográfico es sólo otro término para la violación de datos?”, puede que se pregunte. También es una pregunta razonable. Pero la respuesta es no, no del todo. Aunque los dos comparten algunas similitudes, también hay una clara diferencia entre ellos.
Fallo Criptográfico Frente a Violación de Datos
Para ir al grano, una violación de datos describe un incidente de seguridad en el que intrusos son capaces de acceder a información confidencial sin autorización.
En este caso, los atacantes apuntan es encontrar información de identificación personal o cualquier otro dato que pueda proporcionar beneficios económicos, comprometer identidades o venderse en la dark web. En otras palabras, buscan obtener datos que puedan clasificarse como valiosos. El objetivo puede ser robar, modificar o destruir esos datos.
Un fallo criptográfico, por otro lado, es lo que ocurre cuando dejas datos libres (en un servidor o en una base de datos) para que cualquiera pueda verlos. Mar a menudo que no, los fallos criptográficos se producen cuando dejas detalles de configuración no seguro en línea. Pero eso no es todo.
Qué Conduce a los Fallos Criptográficos
Los fallos criptográficos se producen porque las organizaciones no manejan cierta información como deberían. A veces, se pueden encontrar datos sensibles en documentos de texto sin formato que se dejan desatendidos.
Por supuesto, cuando los sitios no activan la seguridad HTTPS y no protegen la conexión mediante SSL, las páginas web y las aplicaciones que almacenan información sensible siempre serán vulnerables.
Como sabes, los ataques de inyección SQL son técnicas de inyección de código que permiten a los hackers interferir en las consultas que las aplicaciones realizan a sus respectivas bases de datos. Puedes utilizar esta técnica para ‘apropiados’ de los datos de la base de datos infectada a través del backend.
Además, cuando se almacenan contraseñas con hash sin sal (es decir, cuando no están totalmente protegidas por criptografía, lo que facilita su desencriptación), las contraseñas también pueden quedar expuestas. Por otro lado, las contraseñas con hash y sal se convierten en rompecabezas de palabras durante su almacenamiento, rompecabezas que sólo el servidor en el que se almacenan sabe interpretar. Pero cuando las organizaciones utilizan hashing de segunda categoría, los hackers pueden leer fácilmente estas contraseñas durante un fallo criptográfico.
En esa nota, veamos algunos ejemplos de fallos criptográficos.
Ejemplos de Fallos Criptográficos
Los fallos criptográficos han provocado la caída de innumerables sitios web y aplicaciones. Las víctimas son demasiadas para contarlas, pero estas son las más destacadas entre ellas:
La Debacle de Exactis
Hace menos de 4 años, una empresa muy pequeña (<10 empleados) de marketing y agregación de datos llamada Exactis expuso accidentalmente su base de datos, que contenía alrededor de 340 millones de registros individuales. Ya fuera por experiencia, negligencia o ignorancia, los responsables habían puesto la base de datos en un servidor de acceso público. Esto significa que cualquiera (es decir, cualquiera que supiera dónde buscar) podía acceder a esos datos.
Los registros expuestos incluían nombres, números de teléfono, correos electrónicos y otros datos sensibles de millones de ciudadanos estadounidenses. Y como esta información estaba destinado a fines de marketing muy específicos, era mucho más detallada y personal de lo que la gente suele exponer en una violación de datos cotidiana.
El Incidente de Facebook
Sí, es el Facebook del que estamos hablando. En el dulce, pre-COVID 2019, se reveló que más de 540 millones de registros relacionados con los usuarios de Facebook fueron filtrados accidentalmente por dos desarrolladores de aplicaciones de Facebook de terceros.
Estas aplicaciones, sin ninguna intención maliciosa, publicaron los registros a la vista de todos en el servicio en la nube de Amazon. Los registros expuestos incluían nombres de cuentas, ID, amigos, fotos, registros de ubicación y contraseñas de usuarios de Facebook.
Por desgracia, no fue la primera ni la última vez que Facebook expuso información sensible. Un mes antes, Facebook encontró que las contraseñas de acerca de 600 millones de usuarios se habían almacenado internamente en texto plano durante meses. Unos meses antes de eso, el mismo libro de caras reveló que los datos de millones de usuarios habían sido recopilados por la empresa de ciencia de datos Cambridge Analytica.
Cómo Prevenir un Fallo Criptográfico
Catalogar los datos. Para proteger los datos de los clientes, las organizaciones deberían, más, deberían asegurarse de que vigilan de cerca todos los datos que almacenan en los sistemas. Además, deben realizar auditorías periódicas. De este modo, siempre podrán hacer un seguimiento de los propietarios, las ubicaciones, la seguridad, así como las medidas de gobernanza que se habilitan sobre los datos almacenados.
Evaluar los riesgos. Para asegurarse de que pueden proteger los datos, las organizaciones necesitan saber a qué riesgos pueden enfrentarse los datos almacenados y asignar sus presupuestos y recursos para mitigar estos riesgos en consecuencia. Cuanto más valiosos son los datos, cuanto mayor sea la posibilidad de que pueda incurrir en daño. Incluso las cantidades más pequeñas de datos sensibles pueden tener consecuencias tremendas para los sujetos de datos.
Garantizar una seguridad apropiado. Para asegurarse de que son evitar de evitar un fallo criptográfico y limitar el impacto de los fallos criptográficos que podría tener en los sujetos de datos asociados, las organizaciones tienen que instalar suficientes controles de seguridad.
Tomar medidas inmediatas. Para garantizar una respuesta inmediata a un fallo criptográfico, las organizaciones deben poner en marcha mecanismos eficaces de respuesta a las brechas.
Aunque las organizaciones de gran tamaño tienen más probabilidades de ser víctimas de la exposición de datos sensibles, los particulares también pueden ser vulnerables a ellas. La buena noticia es que existen múltiples medidas de seguridad que se pueden adoptar para evitarlo:
- Asegúrese de que cada cuenta en línea que gestiona incluye una contraseña única y lo suficientemente compleja. Por supuesto, puede resultar difícil hacer un seguimiento de un flujo aparentemente interminable de estas contraseñas, por lo que te recomendamos que utilices un gestor de cuentas.
- Vigila de cerca tus cuentas financieras (incluyendo el presupuesto y las aplicaciones bancarias). Comprueba estas cuentas con la mayor frecuencia posible para detectar lo antes posible cualquier actividad inusual o desconocida. Algunas empresas proporcionar alertas de actividad (normalmente por texto y/o correo electrónico). No te equivocarás si las utilizas.
- Vigile también de cerca su informe de crédito. Siempre que lo hagas con la frecuencia suficiente, podrás averiguar si alguien intenta abrir nuevas tarjetas de crédito/débito o cualquier otra cuenta a tu nombre. De hecho, tiene derecho a un informe crediticio gratuito al año de cada una de las principales agencias de información crediticia.
- Tome medidas inmediatas. No muy diferente a las grandes organizaciones, la gente corriente también puede beneficiarse de tomar medidas inmediatas en caso de exposición de datos confidenciales. Cuando detecte una actividad sospechosa, póngase en contacto con la parte implicada (normalmente una entidad financiera) de inmediato. Lo mismo se aplica a las situaciones en las que alguien roba su información en una violación de datos.
- Utiliza sólo URL seguras. Es mucho menos probable que expongas datos sensibles cuando visitas sitios web conocidos en los que puedes confiar. En general, estos sitios empiezan por https://, siendo la “s” la parte clave. Esto es doblemente importante cuando introduces información financiera (número de tarjeta de crédito, código de validación, etc.).
- Emplee software de seguridad de alto nivel. Equipado con un paquete de software robusto que cubra malware y virus, deberías ser capaz de resistir la mayoría de las amenazas, incluida la exposición de datos.
- Infórmese sobre los servicios de supervisión de crédito y robo de identidad. El lío que pueden causar las identidades robadas puede tardar meses en arreglarse. Teniendo esto en cuenta, le recomendamos que se informe sobre los servicios de protección frente al robo de identidad y de control de crédito. Con ellos, serás menos vulnerable a las filtraciones de datos y a los fallos criptográficos.
Todas las cosas consideradas
Los fallos criptográficos ocupan el puesto número 2 en los 10 principales riesgos de seguridad de las aplicaciones web de OWASP, así que no son ninguna broma. Empresas grandes y pequeñas han sido víctimas de la exposición de datos sensibles. Y el hecho de que el culpable de estos fallos sea la propia negligencia de las empresas no hace que duela menos. Dicho esto, suponiendo si aprendes de los errores de los demás y pecas de precavido, es muy probable que puedas evitar este escollo.