En el informe «Panorama de la pérdida de datos 2024«, elaborado por Proofpoint -compañía líder en ciberseguridad con soluciones basadas en cloud para salvaguardar datos y detener amenazas dirigidas- se aborda el estado actual de la prevención de la pérdida de datos (DLP) y las amenazas internas en 12 países y 17 sectores.
Para la investigación, se encuestaron a 600 profesionales de la seguridad sobre el estado actual de la protección de la pérdida de datos en todo el mundo, información que se complementó con datos de la plataforma Proofpoint Information Protection para transmitir la magnitud de los retos a los que se enfrentan las organizaciones a la hora de abordar la pérdida de datos y las amenazas internas.
La mayoría de los analistas coinciden en señalar que las personas son una variable fundamental en la seguridad de los datos, pues a pesar de las vulnerabilidades del sistema, errores de configuración y ataques de día cero, son los usuarios los principales responsables de la pérdida de datos.
«La causa subyacente en estos casos puede ser un simple descuido, credenciales robadas por un ciberdelincuente o, en ejemplos extremos, una empleado malicioso que se aprovecha de un acceso privilegiado para robar datos valiosos y propiedad intelectual», especifica el documento.
Como macrofactores que complican la situación y afectan a organizaciones de todos los tamaños citan los cambios en los flujos de trabajo en la nube, el trabajo híbrido -que ha multiplicado el número de entornos en los que se consumen datos confidenciales- las tareas rutinarias y datos confidenciales que son absorbidos por la inteligencia artificial (IA) generativa y el «ingenio» de los ciberdelincuentes, que innovan constantemente para aprovechar cualquier fallo de vigilancia y utilizan tecnologías emergentes para mejorar sus técnicas.
Usuarios «negligentes», causantes de la pérdida de datos
Entre los hallazgos más relevantes del informe de Proofpoint destacan:
- 8 de cada 10 organizaciones encuestadas sufrió al menos un incidente de pérdida de datos en el último año, lo que pone de manifiesto la extensión del problema.
- El promedio de incidentes por organización fue ligeramente superior a 15, lo que se traduce en un incidente al mes.
- Más del 70 % de los encuestados culparon a «usuarios negligentes» (incluidos empleados en general, trabajadores de TI y contratistas/proveedores) de las pérdidas de datos, por acciones como enviar mensajes al destinatario equivocado, visitar sitios de phishing, instalar software no autorizado, compartir públicamente archivos confidenciales, enviar por por correo electrónico datos de identificación personal (PII) a una cuenta de correo personal, exposiciones involuntarias de sistemas o datos.
- Entre las causas técnicas de las pérdidas de datos, los encuestados citaron sistemas comprometidos (48 %) y mal configurados (45 %), mientras que la falta de tiempo y recursos añade un importante elemento humano a estos problemas.
Proofpoint fue más allá y examinó en detalle el factor humano de la pérdida de datos y concluyó que solo un grupo reducido de usuarios son responsables de las alertas de DLP.
«De hecho, en la mayoría de las organizaciones, únicamente el 1 % de los usuarios es responsable del 88 % de las alertas. Aunque esto podría implicar que el riesgo está contenido, la realidad no es tan simple. En un lugar de trabajo actual, en el que los empleados se incorporan, abandonan y cambian de trabajo con regularidad, y en el que las circunstancias cambian constantemente, es probable que la identidad de este 1 % cambie de un mes a otro. Y el 12 % restante de las alertas sigue entrañando un riesgo importante, sobre todo porque los usuarios internos pueden planificar el robo de datos con tranquilidad y extraer documentos importantes periódicamente para evitar ser detectados. Por lo tanto, aunque tranquiliza el hecho de que el objetivo sea reducido, los equipos de seguridad deben permanecer alerta para anticiparse a este grupo de usuarios de riesgo», recomiendan.
¿Cuáles son los usuarios con mayor riesgo de pérdida de datos?
El 63 % de los participantes de la encuesta señaló a los empleados con acceso a datos confidenciales, como los profesionales de recursos humanos, los equipos financieros y el personal de atención al cliente como los usuarios con mayor riesgo de pérdida de datos, debido a su acceso a datos valiosos, como los de identificación personal (PII) y financieros o, en el caso de los empleados de recursos humanos, registros de nóminas, rendimiento y bajas médicas.
«La función de un empleado también puede convertirlo en un objetivo atractivo para atacantes externos, con la esperanza de robar sus credenciales con mensaje de correo electrónico de phishing o sobornarlos para que compartan propiedad intelectual», indica el informe.
Por otra parte, las alertas detectadas por Proofpoint Information Protection indicaron que, en los endpoints, casi la mitad de las alertas se generaron por la copia de archivos a dispositivos USB o su subida a la web, mientras que en la nube los incidentes son más variados, incluyendo múltiples operaciones de subida y acceso a archivos entre los cinco tipos más comunes.
Blanco propicio para los atacantes
Casi el 38% de los encuestados refirió que la proliferación de aplicaciones en la nube/SaaS complica sus programas de DLP. En un contexto en el que muchas empresas están adoptando ampliamente soluciones en la nube debido al auge del trabajo híbrido y la transformación digital, estos almacenes de datos son un blanco propicio para los atacantes.
Proofpoint confirmó el riesgo para los inquilinos cloud con los datos de amenazas que registró su plataforma, ya que entre enero y septiembre de 2023, el 96 % de los inquilinos cloud supervisados sufrieron ataques por fuerza bruta.
«En un ataque por fuerza bruta, los ciberdelincuentes intentan obtener acceso adivinando la contraseña o por otros medios automatizados. Y lo que es más preocupante, durante el mismo período, el 96 % de los inquilinos también fueron objeto de ataques de precisión, como intentos de phishing dirigido. Y muchos de estos ataques más sofisticados tuvieron éxito, ya que el 54 % de los inquilinos sufrieron al menos una vulneración, frente al 20 % que lo lograron mediante métodos de fuerza bruta», reseñan.
Mejorar programas DLP, el gran desafío
Aunque más del 90% de los participantes de la encuesta de Proofpoint comentaron que sus organizaciones invierten actualmente en soluciones de DLP, solo 41 % estaba totalmente de acuerdo en que sus inversiones eran adecuadas.
Tampoco es un dato menor que 43% de los encuestados admitan necesitan mejoras en su programa de DLP. Entretanto, otro 70 % menciona la visibilidad de los datos confidenciales, el comportamiento de los usuarios y las amenazas externas como la capacidad más importante de su programa de DLP.
«La visibilidad a través de múltiples canales es lo que proporciona a los equipos de seguridad el contexto que necesitan para responder adecuadamente a un usuario negligente, malicioso o comprometido», destaca Proofpoint.
Como áreas claves para una futura mejor, coinciden en que esto pasa por una integración más estrecha con el ecosistema de TI/seguridad y la necesidad de personal más cualificado.
Los encuestados que consideran que tienen sus programas «maduros» expresaron un creciente deseo de contar con herramientas basadas en inteligencia artificial. Ante la actual falta de profesionales de seguridad altamente calificados, la inteligencia artificial tiene el potencial de mejorar el rendimiento y la eficacia de los analistas, al tiempo que reduce el riesgo de agotamiento.
¿Qué procesos deben incorporar los equipos de seguridad?
En las conclusiones del informe Panorama de la pérdida de datos 2024«, elaborado por Proofpoint, se enlistan una serie de recomendaciones para los procesos que deben incorporar los equipos de seguridad en sus programas DLP, tanto si son maduros como si están en desarrollo o son emergentes. Entre ellas, se encuentran:
- Supervisar a las personas con acceso a datos confidenciales o con privilegios de administrador.
- Establecer un proceso de revisión de la seguridad para los empleados que abandonan la empresa.
- Aplicar reglas de política de DLP para los métodos habituales de filtración de datos, como el correo electrónico, la copia de archivos a dispositivos USB, la subida de archivos a la web, la sincronización de archivos en la nube
y el intercambio generalizado de archivos en la nube. - Identificar y proteger sus activos más importantes y los datos críticos para la empresa mediante la clasificación de datos.
- Revisar periódicamente su programa de DLP, teniendo en cuenta que la adopción de la IA generativa y otros avances probablemente cambien el comportamiento de los usuarios.
