¡Atención, Data leak!: en busca de los datos perdidos

Hace años que venimos escuchando de forma habitual hablar de “fugas de datos” tanto en los medios de comunicación como en nuestro entorno profesional o incluso personal. El concepto realmente cubre varios escenarios distintos, pero, en términos generales, podemos decir que las consecuencias son similares y que las grandes lecciones aprendidas son comunes.

En este artículo vamos a explicar qué tipo de situaciones pueden provocar estas fugas, su impacto multidimensional y algunas mejores prácticas que nos pueden ayudar a evitar estas crisis.

Al margen de la doctrina y de definiciones teóricas, en este sector solemos utilizar de la misma forma las expresiones “data leak” o “data breach” para referirnos a determinadas situaciones donde, por diversos motivos, una cantidad importante de datos (pueden ser cientos de gigabytes o incluso terabytes) pertenecientes a una organización terminan fuera de su control en tanto a privacidad como a ubicación (los datos son accesibles bien de forma directa en Internet, bien por producirse una subasta, bien por estar expuestos en sitios de Internet de acceso restringido pero sin ninguna relación con la organización original). Este tipo de situaciones se suelen denominar, de forma simplificada como “fugas de datos”.

Como ejemplo, el organismo INCIBE define esta situación como: “la pérdida de la confidencialidad, de forma que información privilegiada sea accedida por personal no autorizado.”

Veamos primero las tres grandes tipologías de escenarios donde se producen fugas de datos y luego comentaremos las consecuencias que en todos los casos se producen en este tipo de situaciones.

El primer escenario: Negligencia

Desde hace años, el uso generalizado de servicios de almacenamiento de datos en la nube para organizaciones ha producido una concentración inmensa de información de forma de millones de ficheros clasificados en miles y miles de carpetas en proveedores internacionales de servicios de este tipo (los famosos “OneDrive” o carpetas en “Sharepoint” o “Teams” son ya parte de la rutina de muchas personas).

Este tipo de servicios combinados con aplicaciones ofimáticas de última generación optimizan de forma clara y sencilla el tratamiento y compartición dentro de los grupos de trabajo, pero a la vez generan (involuntariamente) una sensación de seguridad global que siendo cierta en términos generales no incluye la clasificación de la información (etiquetado digital de su documento contiene información pública, interna, clasificada o secreta).

En algunos entornos, esta clasificación se puede producir de forma automática (por ejemplo, si el sistema detecta datos de cuentas bancarias o números de tarjetas de crédito, se clasifica el documento como confidencial sin pedir confirmación) pero no es el escenario más habitual.

Un ejemplo habitual en muchas empresas es el de sistemas herméticos que contienen información muy sensible tanto financiera como de recursos humanos y a los que “nadie no debido” puede acceder y por otra parte decenas de ficheros (casi siempre hojas de cálculo) con resúmenes de esa información especialmente preparada para reuniones internas y toma de decisión que, lamentablemente, no se suele clasificar ni tratar de forma específica más allá de guardarlos en carpetas compartidas de uso restringido.

No siendo éste el único caso desde luego es el más representativo cuando por error compartimos una carpeta con un cliente, auditor o proveedor utilizando servicios de almacenamiento en línea, pero las medidas de control no son las adecuadas y/o la información no está correctamente clasificada. En ese caso, los ficheros (quizás decenas o cientos, quizás miles) quedarán expuestos en Internet y la probabilidad que terminen en venta en la Dark web o compartidos en bloque en cualquier lugar son altas.

En estos casos y más allá de las consecuencias generales que veremos al final del artículo, en estos casos concretos, la organización suele terminar siendo consciente del problema, no siendo extraño que se tomen medidas disciplinarias contra personas concretas, la mayoría de las acciones suelen ir más orientadas a desplegar o reforzar el uso de plataformas específicas como las denominadas DLP (Data Loss Prevention) o de forma más amplia, SASE (Secure Access Service Edge).

La ausencia de la debida clasificación de información en este tipo de situaciones (tu responsable te pide revisar las subidas salariales de tu equipo utilizando una hoja de cálculo que se comparte por email) inhibe que otras medidas automáticas de protección (como las funciones tipo DLP) tengan que utilizar técnicas diversas (como búsqueda de patrones en ficheros utilizando técnicas de machine learning) para intentar mantener su nivel de eficacia.

El segundo escenario: Actor interno (insider)

Otro caso menos probable a nivel estadístico, pero más letal a nivel de impacto es el relacionado con empleados (o personal interno cualquiera) que de forma deliberada actúan en contra de los intereses de la empresa. En el argot se suele emplear la expresión “insider”.

Empleados desleales, extorsionados por terceros o personas con conflictos laborales pueden seguir este perfil de comportamiento y generar daños muy importantes a las organizaciones cuando, de forma calculada, exponen o roban (y comparten/venden después) datos al exterior (buscando siempre maximizar el daño reputacional o por propiedad intelectual, entre otros) provocando de nuevo una fuga de datos.

En este caso aplican la mayoría de los comentarios del escenario anterior, tanto por la posible poca eficacia de plataformas tipo DLP/SASE, como de la ausencia de control estricto de la clasificación de información.

Caso de poder atribuirse la acción a personas concretas, en este caso, las consecuencias suelen ser de tipo penal pues pueden aplicar algunos tipos como el artículo 197 del código penal en España. Caso de no ser empleados directos de la organización pueden aplicar penalizaciones, cancelación de contratos de servicios, etc.

Este tipo de fugas no siempre son conocidas por el público e incluso por la propia organización, aunque en ocasiones se han dado de casos de extorsión a cambio de no publicar o vender los datos (caso de información financiera sensible de recursos humanos o propiedad intelectual, por ejemplo).

Cyber Security

'Insiders' en Ciberseguridad: “Atrápame si puedes”

25 de abril de 2022

El tercer escenario: Incidentes de seguridad

Es el escenario más conocido y el más habitual, sobre todo en los casos de incidentes apoyados en el uso de ransomware (donde se cifran datos del cliente y se exige un rescate a cambio de un mecanismo de cifrado), el actor compromete la infraestructura de la organización, accede a ciertos volúmenes de datos (no siempre sensibles, la mayoría de las veces buscan volumen en ataques que duran pocos días) y antes de cifrarlos, los exfiltran fuera del perímetro de la organización. No siendo esta práctica común a todos los actores, si es habitual en muchos de ellos, ofreciendo un segundo factor de presión para el pago del rescate.

Una vez, el actor malicioso ha exfiltrado un cierto volumen de datos (las técnicas para hacerlo son diversas y caen fuera del objetivo de este artículo) normalmente pasarán unos días (quizás semanas) antes de que vuelva a tener noticias de ellos. Las formas de hacer estos datos públicos obedecen casi siempre a alguno de estos casos:

• Publicación previa en algún tipo de “blog” (hay varios “Happy blog” famosos por parte de estos actores) de la futura compartición de ficheros. Busca elevar la presión a la víctima, buscando de nuevo el pago del rescate.
  • Si lo anuncian antes, suelen cumplirlo y pasado un tiempo se suelen compartir (en otra página, normalmente en TOR para evitar la acción policial o judicial) los datos robados, una muestra o la totalidad, pero en entregas sucesivas.
    — Si en algún caso, el actor publica los datos en páginas web de la “Internet superficial”, la organización víctima o el cuerpo policial encargado del caso suelen tener posibilidades de realizar un “takedown” del contenido contactando con los propietarios legítimos del portal web correspondiente.
• En otros casos, con o sin preaviso en algún blog, los datos exfiltrados aparecen en alguna página de TOR bien en modo “subasta” (acceso restringido pero la víctima puede ver el objeto subastado como tercera medida de presión), bien en modo acceso público (antes comentado).

En todos estos casos, datos de nuestra organización (de cualquier tipo) pueden terminar fuera de control en Internet.

CYBER SECURITY

El papel del “Threat Hunting” como acelerante en la respuesta a incidentes ransomware

8 de febrero de 2023

Impacto general de las fugas de información

Pensando en los casos más generales, se deben tener en cuentan algunas consecuencias directas de fugas de datos en organizaciones.

• Consecuencias legales (la más popular pero no necesariamente la más sancionadora es la línea de GDPR/LOPD).
  • Aplican a los casos donde se tenga certeza o alta probabilidad de que en esos ficheros existan datos personales de ciudadanos de la UE.
    — En otras regiones, pueden ser de aplicación regulaciones similares a GDPR pero de uso local o regional (en lo concerniente a sus ciudadanos)
    — En todos estos casos existe un régimen sancionador que puede ser de aplicación (incluyendo sanciones económicas y la inhabilitación para ejercer función pública en casos donde aplique).
  • Suelen ser necesarias herramientas automáticas para analizar cientos de Gigabytes o incluso Terabytes de una fuga, tratando de caracterizar el tipo de datos que tenemos en su interior (lo que centrará el argumentario de la agencia de protección de datos para decidir sobre la sanción, según se ha comentado en el punto anterior).
  • Problemas contractuales o relativos a NDA: En muchos casos, estas fugas de datos contienen información confidencial sobre compañías privadas, auditorías o propiedad intelectual sensible. Este tipo de situaciones suele estar asociado a contratos confidenciales cubiertos por un acuerdo de tipo NDA (Non disclosure agreement) que caso no ser respetados puede conllevar sanciones económicas importantes, cancelación de contratos, etc.
• Daño reputacional: En el entorno de las fugas de datos, es obvio que muchas personas visitan TOR (o lo monitorizan con herramientas automáticas) y obtienen beneficios de estas situaciones: bien comentándolo en redes sociales (se posicionan como expertos), bien avisando a terceros (a comisión, casi siempre), descargando los datos y comerciando con ellos, etc. En todos esos casos, la situación acabará en los medios y depende del caso quizás en prensa y TV (con un deterioro de imagen de marca muy importante). Por ello:
  • Algunas organizaciones se han visto tentadas de pagar el rescate de un incidente ransomware (o por extorsión de un actor interno “insider”), por ejemplo, solo por evitar esta situación aun teniendo un buen plan de recuperación: el daño reputacional severo y la revelación de secretos, pérdida de confianza de sus principales clientes, etc., puede ser suficiente motivación.
  • Mas allá de la información sensible que una fuga de datos pueda contener, mucha otra información (incluso ficheros personales de los propios usuarios en cualquier nivel de la organización) puede terminar descargada en cualquier lugar y por cualquier particular o colectivo lo que debe ser tenido en cuenta de nuevo, quizás, para tomar medidas en comunicación, interponer acciones judiciales con terceros, tomar acciones disciplinarias con empleados claramente incompetentes, etc.
    — En algunos casos anecdóticos ha sido mas “popular” el contenido de los ficheros personales de los usuarios que la propia fuga de datos.
• Un caso mixto que sucede en ocasiones es aquel en el que la fuga de datos incluye datos de terceras organizaciones luego la fuga relativa a una empresa A impacta negativamente en otras (B, C, D, etc.) lo que de nuevo nos lleva a problemas serios de los dos tipos anteriores.

Conclusión

El resumen del artículo es bien claro: ninguna organización está libre de riesgos de estas situaciones y por tanto cualquiera de ellas puede verse frente a una fuga de datos importante y con eco en prensa y TV.

Es frecuente que no se tenga certeza total del contenido de la filtración hasta que el actor la comparte y puede ser descargada para ser analizada. En función del caso, los problemas reputacionales o los legales serán los más preocupantes.

Una situación muy compleja en cualquier caso y un riesgo importante que todos debemos mitigar. No lo olvidemos.