Incidente que permite el acceso no autorizado a información de aplicaciones, dispositivos o redes dejando al descubierto datos sensibles de los usuarios. Suele afectar a datos de carácter personal produciendo daños sobre los derechos de las víctimas.
Las brechas de datos a veces se producen por errores humanos y otras veces porque un ciberdelincuente hackea las medidas de seguridad establecidas. Pueden afectar a datos ya sea por la destrucción, pérdida, alteración, comunicación o acceso no autorizado.
En una brecha de datos se produce una intromisión de manera similar a como ocurre en el mundo físico. Por ejemplo, la sustracción de información o de bienes, igual que si ese criminal sustrajese unos papeles o un dispositivo de un domicilio en lugar de hacerlo en el dispositivo electrónico.
Las brechas cuestan a las organizaciones enormes cantidades de dinero cada año. En 2020 tuvieron un coste medio de casi 4 millones de dólares en 2020 y se tardó una media de 280 días en contenerla (Cost of a Data Breach Report, Ponemon Institute).
Para saber si la cuenta de email o un dispositivo móvil han sido afectados por brechas de datos se puede usar la herramienta HaveIbeenpwned. También es aconsejable crear alertas de Google con los datos que deseamos proteger para que nos llegue un aviso si se publican en Internet. Otra práctica recomendable es revisar las webs que recopilan información sobre grandes filtraciones de datos cuando se producen. Si una víctima descubre qué datos han sido comprometidos, deberá modificar las contraseñas de las cuentas y sospechar especialmente de los correos electrónicos o SMS que haya recibido.
Una de las brechas de datos más graves y recientes fue la que sufrió Facebook en la que se filtraron datos personales de más de 500 millones de usuarios de la red social, de los cuales 11 millones eran de nacionalidad española. Estos datos incluían datos como nombres, apellidos, direcciones, fechas de nacimiento, números de teléfono o direcciones de correo electrónico. Se produjo debido a una vulnerabilidad de seguridad en la base de datos que fue vendida en el mercado negro hasta que tiempo después se descubrió.
Otros casos sonados sucedieron tras el de Facebook, como fueron los de Microsoft, CapitalOne, Marriott, Zoom y un largo etcétera. Sin embargo, quizá el más conocido sea el caso de Equifax, uno de los mayores de la historia. En esta filtración quedaron expuestos datos de más de 200 millones de usuarios. Se produjo por una vulnerabilidad que, debido a un error humano, no se comunicó. La empresa declaró que esta brecha ya les ha supuesto más de 1.500 millones de dólares en gastos entre sanciones, indemnizaciones, medidas de seguridad, costes legales, etc.
Se calcula que en 2020 se notificaron cerca de 4.000 brechas de datos en las que quedaron expuestos más de 37 billones de registros de datos, un 141% más que en 2019. Los datos robados son tan valiosos porque pueden venderse en el mercado negro, usarse para diseñar campañas de ingeniería social personalizadas o para ataques de suplantación de identidad.
Una empresa en España que sufra una brecha de datos en la que se exfiltren datos de carácter personal deberá notificarlo a la Agencia Española de Protección de Datos en un plazo de 72 horas rellenando un formulario de notificación de brechas de seguridad.
