Dado que la mayoría de los ataques cibernéticos reportados a la Oficina del Comisionado de Información (ICO) del Reino Unido provienen de errores de seguridad básicos y comunes, el regulador ha dicho que otros estarían en mejores condiciones de aprender y que las posturas de seguridad de todos podrían comenzar a mejorar si las víctimas se sintieran empoderadas para ser más transparente sobre sus experiencias.
La ICO dijo que se le informaron más de 3.000 infracciones en 2023, de las cuales el 22% afectó a organizaciones de la industria de servicios financieros, y los sectores minorista y educativo representaron el 18% y el 11% de los informes, respectivamente.
En el Aprendiendo de los errores de los demás En el informe, la ICO ha recopilado consejos prácticos para ayudar a las organizaciones a comprender mejor las fallas de seguridad comunes y tomar medidas simples para mejorar su propia seguridad y evitar violaciones antes de que puedan ocurrir.
“La gente necesita sentirse segura de que las organizaciones están haciendo todo lo posible para mantener segura su información personal”, dijo Stephen Bonner, comisionado adjunto de supervisión regulatoria de ICO.
“Aunque los ciberataques son cada vez más sofisticados, descubrimos que muchas organizaciones no responden en consecuencia y siguen descuidando los fundamentos mismos de la ciberseguridad.
“Como regulador de protección de datos, queremos apoyar y empoderar a las organizaciones para que hagan esto bien”, dijo. “Si bien no existe una solución única para prevenir los ciberataques, no hay absolutamente ninguna excusa para no contar con los controles fundamentales. Estos son esenciales para proteger la información personal de las personas y tomaremos medidas, incluidas multas, contra las organizaciones que aún no estén tomando medidas simples para proteger sus sistemas.
“Si sufre un ataque cibernético, siempre fomentamos la transparencia, ya que sus errores podrían ayudar a otra organización a evitar una infracción similar”, dijo Bonner.
Cinco causas de incumplimientos
El informe se centra en las cinco causas principales de las infracciones reportadas a la ICO, y para los profesionales cibernéticos experimentados, la lista no debería contener sorpresas:
- Correos electrónicos de phishing, en los que se engaña a los usuarios para que compartan credenciales, información personal o descarguen malware o ransomware;
- Ataques de fuerza bruta, en los que actores malintencionados utilizan prueba y error para adivinar combinaciones débiles de nombre de usuario y contraseña;
- Denegación de servicio, donde las operaciones normales de la red o del sistema se ralentizan o se detienen al sobrecargarse con tráfico malicioso;
- Errores de usuario, donde las configuraciones han sido mal configuradas, mal implementadas, no mantenidas o dejadas en forma predeterminada;
- Ataques a la cadena de suministro, donde los productos, servicios o tecnología utilizados en una organización se ven comprometidos y se utilizan para infiltrarse en sus sistemas.
El informe presenta más detalles sobre cómo se producen dichos ataques, las consideraciones clave necesarias para mitigar el riesgo y cómo podría evolucionar el panorama en el futuro. También contiene una serie de estudios de casos extraídos de las actividades regulatorias de la ICO.
Eleanor Fairford, subdirectora de gestión de incidentes del NCSC, dijo: “A medida que más organizaciones informan sobre incidentes cibernéticos, es cada vez más crucial contar con defensas en línea sólidas para reducir el riesgo de ser víctima y proteger la información personal.
“El NCSC se compromete a ayudar a las organizaciones a aumentar su resiliencia cibernética e instamos a los líderes a hacer uso de la amplia gama de orientación práctica y servicios gratuitos disponibles en el sitio web del NCSC. Si sucediera lo peor, alentamos a denunciar los incidentes a las autoridades para acceder al apoyo de expertos y ayudar a romper el ciclo de la delincuencia”.