¿Cómo pueden aprender las empresas de las brechas de seguridad?
ha habido ya un gran número de grandes empresas que han sido víctimas de problemas de seguridad con sus datos. Entre otras LinkedIn, O2 y Yahoo!. ¿Qué pueden aprender el resto de empresas de estos problemas?
En septiembre Yahoo! hizo público que había sido objeto de una de las mayores brechas de datos de la historia, con al menos 500 millones de cuentas comprometidas. A principios de año, 427 millones de contraseñas de MySpace también fueron robadas y puestas a la venta, y una semana después también fueron puestas a la venta 164 millones de datos de usuarios de LinkedIn.
Los métodos de infiltraciónen estas webs fueron diferentes, pero el factor común entre ellos fue que los atacantes utilizaron credenciales robadas y válidas para obtener acceso al sistema y los consumidores se vieron afectados, con la exposición de sus credenciales y la puesta a la venta de sus datos.
De acuerdo con un informe de investigación acerca de violaciones de datos de Verizon, el 63% de las brechas de datos confirmadas tienen que ver con el uso de credenciales débiles, por defecto o robadas.
Sí las organizaciones no toman medidas para salvaguardar sus recursos y sus datos, también se están poniendo en riesgo. Las empresas necesitan tomar nota de lo que ha estado sucediendo a otras organizaciones para actuar rápidamente y minimizar el riesgo de ser la siguiente víctima.
Poniendo soluciones a la in-seguridad de los datos
Las brechas de datos sufridas por Yahoo! o LinkedIn tardaron meses en descubrirse. Resulta sorprendente darse cuenta de que los atacantes tuvieron el tiempo suficiente para infiltrarse a través de los distintos sitios web y poder acceder a una variedad de datos de consumo e información.
El problema es que, una vez que un conjunto de credenciales ha sido comprometido por un ataque, los hackers las prueban en varios sitios, de forma manual o automática, maximizando el conocimiento de los usuarios y teniendo la oportunidad de usar las credenciales legítimas o recién creadas para pasar de un sistema a otro, como método de reconocimiento, mientras avanzan en su propósito de robar los datos más valiosos.