INFORME DE 2022 DE

FORGEROCK CONSUMER
IDENTITY BREACH
El Acceso no Autorizado Sigue Siendo Una
de las Principales Amenazas: Es Hora de
que las Contraseñas Robadas Dejen de
Tener Valor para Lanzar Nuevos Ataques
Tabla de Contenido
Resumen Ejecutivo   3
Acerca de este Informe  4
Acerca de las Violaciones de Datos  4
Cómo se Compara 2021 con los Años Anteriores   5
Principales Resultados en Estados Unidos   6
Las Violaciones de Datos Aumentan en Número y Coste  7
Tipos de Ataques y Datos  8
Número de Violaciones por Sector en 2021  10
El Papel del Gobierno en la Protección de los Consumidores  11
Tipos de Datos Comprometidos   12
La Seguridad de los Datos del Reino Unido en Foco  13
La Seguridad de los Datos de Alemania en Foco  14
La Seguridad de los Datos de Australia en Foco  15
La Seguridad de los Datos de Singapur en Foco  17
Conclusión  18

2022 ForgeRock Consumer Identity Breach Report 2

Resumen Ejecutivo
En 2021, los consumidores se acostumbraron a comprar,
comer, viajar, aprender y cuidar de su salud de forma cada
vez más digital. Desafortunadamente, los datos personales
que impulsan estas experiencias fueron puestos en
mayor riesgo que nunca por un bucle perfeccionado de
uso de datos previamente violados para impulsar nuevas
violaciones y ampliar su impacto.
Los registros de datos que contienen nombres de usuario
y contraseñas son las “semillas” perfectas para perpetrar
nuevas violaciones y dos mil millones de registros de este
tipo se vieron comprometidos en 2021, un aumento del
35 % respecto a 2020. Conseguir un acceso no autorizado
es el rey de los vectores de ataque. Esto permite a los
delincuentes utilizar credenciales previamente robadas
para comprometer de nuevo las cuentas y obtener aún
más datos. El acceso no autorizado fue una vez más el
principal vector en 2021, representando la mitad de todos
los métodos de violación.
Siga leyendo para obtener información detallada y datos
sobre las violaciones que afectarán a los consumidores en
2021 y comparaciones interanuales con las violaciones que
afectaron a los consumidores en EE. UU. en 2020. También
compartimos las conclusiones de otras regiones principales,
como Australia, Alemania, el Reino Unido (RU) y Singapur.
Aprenderá exactamente por qué las organizaciones
necesitan adoptar una solución integral de gestión de
identidades y accesos (IAM) para ayudar a prevenir las
violaciones de datos, proteger sus marcas y preservar las
relaciones con los clientes.
Eve Maler
Jefe de Tecnología de ForgeRock

El nuevo negocio en línea resultó ser un entorno más

costoso para muchos sectores industriales. Las empresas
experimentaron un aumento de cuatro veces en las
violaciones causadas por problemas de seguridad con sus
proveedores externos. La industria de la salud y el comercio
minorista han sido los puntos más importantes. La
industria de la salud fue testigo de casi una cuarta parte de
todas las violaciones, y los datos sanitarios comprometidos
tan valiosos para los malos actores en la web oscura
supusieron un coste por registro casi un 30 % mayor para la
empresa, con 614 dólares. La industria minorista también
sufrió un impacto masivo de las violaciones, con la toma de
cuentas (ATO) y el fraude contribuyendo a que el coste
medio de una sola violación aumentara casi un 63 %, hasta Eve Maler es la CTO de ForgeRock . Ella es una
los 3,27 millones de dólares. estratega, innovadora y comunicadora mundialmente
reconocida en materia de identidad digital,
¿Qué podemos aprender de la situación? Las medidas de seguridad, privacidad y consentimiento, con una
seguridad clásicas utilizadas por muchas empresas en EE. pasión por el fomento de ecosistemas exitosos y el
UU. — y los regímenes normativos que las exigen —no empoderamiento individual. Tiene más de 20 años de
han frenado la marea de compromisos, y la avalancha ha experiencia innovando y liderando estándares como
llegado. La protección basada en contraseñas ha fallado SAML y User Managed Access (UMA) y también ha sido
prodigiosamente. Y muchos enfoques que refuerzan la analista de seguridad y riesgos de Forrester Research
seguridad, como la autenticación multifactor , también . Dirige el equipo de ForgeRock Labs que investiga
están creando problemas de usabilidad y dando lugar y crea prototipos de enfoques innovadores para
a nuevos tipos de amenazas. Asimismo, erigir barreras resolver los problemas de identidad de los clientes,
para el acceso a los recursos por parte de los empleados además de impulsar el liderazgo de ForgeRock en
a menudo no ha hecho más que ralentizar el negocio. materia de estándares industriales.
Cuando los ataques aumentan, los métodos de prevención
y mitigación también deben hacerlo, aprovechando las
capas de inteligencia para aplicar los controles de acceso
adecuados en el momento oportuno.

2022 ForgeRock Consumer Identity Breach Report 3

Acerca de este Informe
Este informe se basa en datos procedentes de diversas fuentes. Los principales son el Identity Theft Resource Center1 de
2021, con datos sobre varios miles de violaciones2 , y el informe Ponemon de IBM sobre el coste de las violaciones de datos.
Otras investigaciones sobre las mayores violaciones de 2021 fueron las de TechCrunch3 y Forrester Research4 , así como las de
UpGuard5 e IdentityForce6 . Esta investigación permitió obtener información actualizada sobre los vectores de ataque, el número
de registros afectados y los sectores más afectados.

Nota: Es posible que las sumas y los porcentajes calculados en los gráficos no sumen exactamente, ya que puede haber algún
redondeo.

About Data Breaches

Nuestro informe se centra en las violaciones confirmadas
en las que se han expuesto y/o robado datos
confidenciales. Una violación confirmada puede referirse a
un solo registro robado — y tal violación debe ser analizada
y remediada para determinar la fuente —,­­­ pero como la
mayoría de las violaciones tienen un objetivo financiero, los
atacantes apuntan a grandes cachés de datos que pueden
retener para pedir un rescate o vender en la web oscura.
Nuestro informe distingue entre el número de violaciones y
el número de registros violados. Como todos sabemos, las
instituciones con las que interactuamos en línea — nuestros
proveedores de servicios sanitarios, organismos públicos,
comercios minoristas, instituciones financieras —­ guardan
en sus bases de datos una gran cantidad de datos sensibles
sobre nosotros. Algunas de las mayores violaciones de este
siglo, según CSO Online7 , implican cientos de millones —
o miles de millones — de registros. Los costes asociados
a las violaciones son asombrosos e incluyen las multas
reglamentarias, los costes de personal para la detección y
reparación, la notificación, la pérdida de negocio, etc.
Es importante saber cómo pueden producirse estas
violaciones. Algunos se deben a las vulnerabilidades que
los atacantes son capaces de explotar en el software o en
los sistemas operativos obsoletos. Pero la mayoría de los
ataques se basan en los usuarios finales. En el informe
se observa que la mayoría de las violaciones se producen
como resultado de un acceso no autorizado, que está
directamente relacionado con la identidad del usuario. Ya
sea mediante ataques de fuerza bruta, suplantación de
identidad, pulverización de contraseñas u otros métodos
de ataque, el acceso no autorizado a una sola cuenta puede
conducir a un acceso desenfrenado a la red, permitiendo a
los atacantes buscar y robar datos valiosos, como registros
de clientes, propiedad intelectual o información financiera.
También es importante saber cómo se pueden prevenir las
violaciones, y a lo largo del informe, hemos proporcionado
secciones de “mejores prácticas” para describir cómo añadir
capas de seguridad que puedan frustrar los métodos de
ataque cada vez más sofisticados.

2022 ForgeRock Consumer Identity Breach Report 4

 Registros Violados
(Miles de Millones)

Cómo se compara
2021 con los años
5
5,0MM
4,7MM
4

anteriores
3
3,42MM

2 2,8MM

Como este es nuestro cuarto informe anual sobre

2018 2019 2020 2021 violaciones, ahora podemos ver cómo cambian las
tendencias. No siempre es posible determinar por
qué determinados sectores o zonas geográficas
presentan una tendencia al alza o a la baja, pero es
útil evaluar los datos basándose en lo que sí
sabemos:
Coste Medio de Una Violación en EE. UU.
(Millones de Dólares)

10
• Miles de millones de registros están siendo
9
expuestos o robados cada año
$9,5M
8
$8,64M
7
$8,19M • El coste de una violación de datos en EE UU
6
ha aumentado cada año, y se ha duplicado
5
entre 2018 y 2021
4

3
• El acceso no autorizado sigue siendo la
$3,86M
2
principal causa de las violaciones y su
1
tendencia es al alza cada año

2018 2019 2020 2021

Porcentaje de violaciones debidas a un

acceso no autorizado

50%

45%
50%

40% 45%

35% 39%
30% 34%
25%

20%

15%

10%

5%

2018 2019 2020 2021

2022 ForgeRock Consumer Identity Breach Report 5

Principales Resultados en Estados
Unidos

297 % >2 mil

millones
Aumento del número de violaciones debidas
a terceros/cadena de suministro
Casi 500 violaciones en 2021 fueron causadas por
problemas de seguridad asociados a proveedores Nombres de usuario/contraseñas violadas
terceros, frente a solo 126 en 2020.

Los registros comprometidos que contienen nombre de

usuario/contraseña aumentaron un 35 % en 2021, hasta
superar los dos mil millones. Casi la mitad de los registros
vulnerados incluían algún tipo de credencial de acceso.

50 %
Registros violados por acceso no autorizado
$614
Coste por registro de la industria de la salud

Por cuarto año consecutivo, el acceso no autorizado fue la La industria de la salud sigue siendo el mayor objetivo de
principal causa de las violaciones: el 50 % de todos los las violaciones con un 24 % y el coste medio por registro
registros violados, frente al 45 % de 2020. aumentó considerablemente, pasando de 474 dólares en
2020 a 614 dólares en 2021.

$9,5M
Coste Medio de la Violación en EE. UU.
63 %
Aumento de los costes de violación del
comercio minorista
El coste medio de una violación en EE. UU. seguía siendo El coste medio de una violación del comercio minorista
el más alto del mundo, con 9,5 millones de dólares, un saltó de 2,01 millones de dólares en 2020 a 3,27 millones
16 % más que los 8,2 millones de dólares de 2020. en 2021.

2022 ForgeRock Consumer Identity Breach Report 6

Aumentan las violaciones de
datos, en número y en coste
Total de registros comprometidos
El número total de registros comprometidos aumentó un LAS MEJORES PRÁCTICAS:
37 % y son cada vez más ricos en datos: El 99 %
contenía nombre/dirección, el 59 % el número de la Reduzca el Coste de las
Seguridad Social (SSN), el 53 % la fecha de nacimiento
(DOB), el 34 % la información sanitaria protegida (PHI) y el Violaciones con la IA
28 % la información de pago o bancaria.

Las organizaciones pueden reducir el coste de las

violaciones en casi un 80 %13 utilizando la inteligencia
2021 4,7MM
artificial (IA) para identificar y contener rápidamente
el acceso no autorizado. Las soluciones de gestión de
identidades y accesos (IAM) infundidas con IA pueden
2020 3,42MM ayudarle:

1. Evite la violación - Aproveche la IA y el

Coste Medio de Una Violación aprendizaje automático (ML), el reconocimiento
avanzado de patrones y el análisis del
El coste medio de una violación en EE. UU. aumentó un comportamiento para detener a los agentes
16 %. El coste es mayor para las organizaciones con maliciosos conocidos en tiempo real, en el punto
trabajadores a distancia. Está claro que la tendencia al de autenticación del usuario.
trabajo a distancia ha llegado para quedarse; más del
50 % de los trabajadores estadounidenses trabajan ahora a 2. Prevenga la exfiltración de datos - Asegúrese
distancia, al menos a tiempo parcial.8 de que los puestos de acceso correctos, los
derechos y las políticas están en su lugar dentro
de su organización para proteger contra el
2021 con trabajadores a distancia $10,57M acceso no autorizado o sobre provisión. Puede
utilizar la IA y el ML junto con la gobernanza de
identidad para identificar los accesos de alto
riesgo o innecesarios (como puestos incorrectos
2021 $9,5M o duplicados, derechos sobreaprovisionados ,
etc.) y automatizar la revocación de estos tipos de
acceso de alto riesgo.
2020 con trabajadores a
distancia
$8,64M

de un millón de registros, registraron un aumento del

2020 $8,2M coste del 4 %, de una media de 50 millones de por
violación en 2020 a 52 millones de dólares en 2021.9
Encontramos 54 mega violaciones — menos que el año
Las megaviolaciones , es decir, pasado — lo que significa que muchas más empresas
aquellas en las que se ven pequeñas (500 empleados o menos) fueron violadas. Las
organizaciones más pequeñas ya no pueden permitirse
comprometidos más de un millón el lujo de convencerse de que no serán objetivo de los
de registros, cuestan más que la ciberdelincuentes.
violación media Los costes de las violaciones incluyen la detección y la
escalada, la notificación, la pérdida de negocio y la
Las mayores violaciones, que afectan a más de 50 millones respuesta posterior a la violación. El coste y la dificultad
de registros, costaron una media de 401 millones de para recuperarse de los daños a la reputación son
dólares, e incluso las violaciones relativamente pequeñas, difíciles de cuantificar, pero no por ello son menos reales

2022 ForgeRock Consumer Identity Breach Report 7

para las organizaciones que se encuentran en los titulares por razones negativas.

También hay que tener en cuenta los costes futuros. Un factor es la expectativa de mayores multas relacionadas con la ley
de privacidad del Reglamento General de Protección de Datos (RGPD) de la UE, que aumentó en 2021. El número de multas
aumentó, al igual que su cuantía, hasta los 1,1 mil millones de euros en 2021, frente a los 158,5 millones de euros de 2020.10 Las
demandas judiciales también seguirán influyendo en el aumento de los costes. El acuerdo de la demanda colectiva por violación
de datos de Equifax de 1,4 mil millones de dólares de 425 millones de dólares fue confirmado en junio de 202111 — y dos
demandas colectivas contra T Mobile se están litigando en nombre de más de 50 millones de clientes afectados.12 La mayoría de
estas demandas alegan que la organización no protegió los datos sensibles de los clientes y empleados.

Ataque y tipos de datos RANSOMWARE/MALWARE

0,6 %
NUBE NO SEGURA OTRO
El acceso no autorizado fue una vez más el método de
1,7 % 1,1 %
ataque más común, representando el 50 % de los registros
violados. Los ataques a la cadena de suministro suelen
implicar el compromiso de sistemas obsoletos. Las
PHISHING
organizaciones deben asegurarse de que sus proveedores
24 %
disponen de sistemas seguros y actualizados, para no ser
víctimas de ataques como el de Accellion , un proveedor
de software con sede en EE. UU. cuyo programa de
intercambio de archivos, de 20 años de antigüedad, fue el
objetivo de los ciberdelincuentes.14
Registros por
Acceso no Autorizado Vulnerabilidad

El acceso no autorizado es el vector de ataque responsable

de la mitad de los registros violados el año pasado.
Los individuos pueden obtener acceso no autorizado
a datos, redes, aplicaciones o dispositivos debido a
contraseñas débiles, credenciales compartidas o cuentas
comprometidas.

Ataques a Terceros y a la Cadena de TERCEROS/CADENAS

DE SUMINISTRO ACCESO NO
Suministro 22 % AUTORIZADO
50 %

Los ataques a terceros y a la cadena de suministro

representaron el 22 % de los registros violados. El
ransomware y el phishing continuaron su aparentemente
inexorable ascenso en cuanto al número de registros
vulnerados, el primero de ellos “a niveles que no habíamos
visto en más de una década”,15 según el Servicio de
Impuestos Internos de EE. UU. (IRS). Este aumento estuvo
en parte relacionado con las numerosas estafas de COVID
y las promesas fraudulentas de pagos de estímulo. El
phishing fue responsable del 24 % de los registros violados
(frente a menos del 1 % en 2020).
Redes Sociales
que las empresas utilizan cada vez más las redessociales
para conectar con los clientes, se enfrentan a dos tipos
de riesgos. En primer lugar, corren el riesgo de que los
delincuentes se dirijan a sus empleados y empresas
haciéndose pasar por la marca para robar credenciales. En
segundo lugar, los estafadores suelen tratar de infiltrarse
en las redes sociales de la empresa utilizando conexiones
mutuas y conocidos para desarrollar una falsa sensación
de seguridad. Dada la gran cantidad de información que se
puede obtener, no es de extrañar que más del 40 % de los
registros violados procedan del sector de las redes sociales,
frente al 25 % de 2020.

Las redes sociales se están convirtiendo rápidamente Comercio Minorista

en un punto débil en la seguridad. Cuando las personas
comparten información en sus propias cuentas de redes Las ventas de e-commerce crecieron un 50 % durante la
sociales, facilitan que los ciberdelincuentes encuentren pandemia, según la División de Indicadores de Comercio
datos que ayuden a violar a las empresas. Y a medida Minorista del Departamento de Comercio de EE. UU.16 Al

2022 ForgeRock Consumer Identity Breach Report 8

 SERVICIOS
GOBERNANZA FINANCIEROS
mismo tiempo, las violaciones de datos en el comercio 1%
FABRICACIÓN 1% INDUSTRIA
minorista se hicieron más frecuentes, y más costosas. El 2% DE LA SALUD
comercio minorista representó más de una cuarta parte de 1%
todos los registros violados en 2021. Mientras que el coste SERVICIOS
medio de una violación en el comercio minorista en 2020 PROFESIONALES
fue de 2,01 millones de dólares, se disparó a 3,27 millones 3%
de dólares en 2021, un aumento del 6317 TECNOLOGÍA
4%
El mayor objetivo era la información de los clientes, como
los datos de las tarjetas de crédito y los pagos, además de
la información personal. Como los sitios de e commerce
OTRO
y aplicaciones se esfuerzan cada vez más por ofrecer una
24 %
experiencia de usuario sin esfuerzo, a menudo omiten
Registros Violados
características de seguridad como la autenticación de
dos factores (2FA). Y cuando las cantidades masivas de
por la Industria
información personal que recogen los sitios de venta
minorista están mal protegidas, se crean las condiciones
perfectas para que se produzcan violaciones y el
consiguiente fraude.

Industria de la salud
REDES
La industria de la salud representó menos del 1 % de SOCIALES
todos los registros violados, pero esos registros contenían COMERCIO 41 %
MINORISTA
información valiosa, como el nombre, la dirección, el
24 %
número de seguro social, la fecha de nacimiento y, en dos
tercios de las violaciones, información real del historial
médico. Armados con estos datos, los ciberdelincuentes
tienen acceso a información sobre los problemas médicos
del paciente, diagnósticos, tratamientos y mucho más.
LAS MEJORES PRÁCTICAS:
Reduzca el Riesgo
con la MFA
Vulnerabilidades por Industria
La autenticación multifactor (MFA) es una arma
principal que las organizaciones esgrimen para
Sería un error suponer que todas las industrias se
aumentar la seguridad. Aunque los consumidores
vieron afectadas por igual. Algunas industrias eran
se están acostumbrando a la MFA, exigirles que
mucho más vulnerables a un tipo de ataque que
respondan a una solicitud de MFA (como un código
otras.
de acceso único) después de cada intento de inicio de
sesión crea experiencias de usuario torpes y molestas
• El comercio minorista experimentó el 99 % de los
que conducen a más problemas.
registros violados debido a ataques de terceros.

Los atacantes se aprovechan el cansancio de los

• Las redes sociales fueron el objetivo del 85 %
consumidores por la MFA mediante tácticas como
de los registros violados debido a un acceso no
el “bombardeo de avisos de 18 , que envía múltiples
autorizado.
avisos con la esperanza de que el usuario acabe
aceptando uno de ellos, concediendo el acceso a la
• La industria de la salud representó el 70 % de
cuenta al atacante. Una buena MFA requiere métodos
todos los registros violados por los ataques de
fuertes a prueba de phishing, como la autenticación sin
ransomware.
contraseña, y una solución IAM que tenga suficiente
inteligencia para saber cómo y cuándo requerir una
• La industria de los servicios financieros vio el 10 %
autenticación adicional. La aplicación de la IA, el
de todos los registros vulnerados por ataques de
aprendizaje automático y el reconocimiento avanzado
ransomware, pero experimentó el 22 % de todos
de patrones proporciona estas capacidades para
los ataques de phishing y el 19 % de los ataques
facilitar el acceso a los usuarios legítimos y bloquear a
de acceso no autorizado.
los atacantes.

2022 ForgeRock Consumer Identity Breach Report 9

Número de Violaciones
por Industria en 2021
INDUSTRIA DE
En la sección anterior se examinaron los registros OTRO LA SALUD
violados por industria. Ahora la atención se centra en 16 % 24 %
elnúmero de violaciones, independientemente del
número de registros involucrados en cada violación. Se
trata de una métrica importante, ya que cualquier TECNOLOGÍA
violación, incluso una que afecte a relativamente pocos 3%
registros, debe ser tratada con rapidez y firmeza por la
organización afectada. Cada uno de ellos requiere los
mismos requisitos de descubrimiento, mitigación y GOBERNANZA

presentación de informes, independientemente del

3%
número. Los datos muestran que, por cuarto año
consecutivo, la industria de la salud fue el principal SIN FINES

objetivo. Es el país que ha experimentado el mayor

DE LUCRO Violaciones
5% por Industria
número de violaciones, 467, lo que representa el 24 %
de todas las violaciones. El segundo sector más
atacado fue el de los servicios financieros, con un 14 %,
COMERCIO
seguido del sector manufacturero, con un 11 %, el de la MINORISTA
educación, con un 10 %, y el del comercio minorista, 6%
con un 6 %
SERVICIOS

Comercio Minorista SERVICIOS

BANCARIOS/FINA
NCIEROS
PROFESIONALES
14 %
El comercio minorista experimentó un ligero repunte
8%
EDUCACIÓN FABRICACIÓN
en el número de violaciones, el 6 % en 2021 frente al
10 % 11 %
5 % en 2020, aunque representó el 26 % de todos los
registros comprometidos (frente al 16 % en 2020 y un
mero 2 % en 2019).

Redes Sociales
Las redes sociales representaron menos del 1
% de lasviolaciones en 2021 y, sin embargo, debido al
gran número de registros implicados, el sector pagó el
34 % del total de 744 mil millones de dólares en costes
de violaciones.

Industria de la salud
La industria de la salud representó el 24
% de las violaciones. Además de ser el objetivo más
popular, fue la industria más costosa por registro. El
coste por registro para recuperarse de una violación
en la industria de la salud aumentó de 474 dólares en
2020 a 614 dólares en 2021, de lejos el más alto de
cualquier sector.

2022 ForgeRock Consumer Identity Breach Report 10

El Papel del
Gobierno en la
Protección de los
Consumidores
Las organizaciones necesitan reducir la fuga de clientes
después de una violación, que representa el 38 % del coste
de recuperación.20 Al proporcionar una notificación
oportuna, es más probable que los consumidores se
queden con una empresa.21 Desafortunadamente, a pesar
de las regulaciones gubernamentales en todo el mundo
que requieren una rápida notificación a las partes
afectadas, el tiempo típico desde la identificación de la
violación hasta la notificación al cliente es de 90 días. Sin
embargo, más del 60 % de los consumidores quieren que
las organizaciones les notifiquen inmediatamente y tomen
medidas para garantizar que no se produzca una violación
similar en el futuro.22
EE. UU. está tomando medidas para aumentar la
transparencia: El presidente Biden firmó la Ley de
Información de Incidentes Cibernéticos para
Infraestructuras Críticas de 2022 con requisitos obligatorios
para informar al gobierno federal en un plazo de 72 horas
si se produce cualquier incidente sustancial de
ciberseguridad, incluido el acceso no autorizado.
Implementado en 2018, el RGPD ha sido eficaz para que las
organizaciones presten atención a la ley de protección de
datos y su cumplimiento. Las multas se multiplicaron por
siete en 2021 con respecto al año anterior.23
El Gobierno Federal australiano ha prometido destinar 1,67
mil millones de dólares australianos a la ciberseguridad en
diez años y ha aumentado su inversión en tecnología. Estas
medidas se han tomado para ofrecer un mayor apoyo a las
empresas que deseen invertir en tecnologías digitales y
crear mayores vías de inversión en ciberseguridad.
Singapur también ha puesto en marcha nuevos marcos y
normativas. El Reglamento de Protección de Datos
Personales de 2021 se ha modificado para aclarar qué
constituye un daño significativo para la notificación de
violaciones de datos, y qué medidas deben tomarse para
evitar el mal uso de los datos personales.
2022 ForgeRock Consumer Identity Breach Report
LAS MEJORES PRÁCTICAS:
Reduzca la
Superficie de
Ataque con Zero
Trust
Para frenar la oleada de violaciones, todas las
organizaciones deberían aplicar un enfoque Zero
Trust, en el que se elimine toda confianza implícita
(como estar en la red) y se evalúe el acceso de forma
dinámica y continua. En un modelo Zero Trust, las
organizaciones operan bajo el supuesto de que
sus redes y servicios, independientemente de su
ubicación, ya están comprometidos, y que cada
usuario y recurso debe ser autenticado y autorizado
mediante la evaluación de múltiples señales en el
tiempo. Esta evaluación continua debilita la capacidad
de los atacantes para infiltrarse en su red y moverse
lateralmente, ya que revoca instantáneamente
cualquier “confianza” concedida, no dando a los
atacantes ningún lugar a donde ir.
Las mejores prácticas de IAM, como la MFA y la
gestión de accesos, la autenticación y la autorización
impulsadas por la IA, son factores fundamentales
para lograr el Zero Trust. Si usted, como la mayoría
de las organizaciones, opera un entorno de TI híbrido,
elija una solución de IAM que pueda proporcionar
visibilidad completa y capacidades de identidad
avanzadas a través de sistemas heredados y en la
nube.19
Sobre la base de las conclusiones de este informe y de la
simple realidad de que las violaciones de datos no están
disminuyendo, ni mucho menos, queda mucho por hacer.
El gobierno y la industria deben trabajar juntos para crear
protecciones más fuertes para los datos de los
consumidores y garantizar la transparencia en caso de una
violación.
11
 2020
33 % 2021
60 %
2020
8%
2021
45 %
Tipos de Datos
Comprometidos
Nombre de
DOB y SSN usuario/ Hemos visto un enorme aumento en la cantidad de
contraseña información personal identificable (PII) valiosa contenida en
los registros violados en 2021.

Un 60 % de todos los registros violados incluían el SSN, el

DOB, o ambos, lo que supone un fuerte aumento respecto
2021 2020 al 33 % observado en 2020. En 2020, se vulneraron 1,5 mil
6% 2020 26 % millones de registros que contenían credenciales de acceso.
2021
12 % 99 % La cifra aumentó a más de 2,1 mil millones de registros en
2021.

Los nombres de usuario, las contraseñas y cualquier cosa

Pago, CC, que pueda servir como identificador único (o que pueda
Nombre y
Cuenta combinarse fácilmente con otros datos para formar uno)
Dirección
Bancaria
podrían impulsar directamente nuevas violaciones. Esto
es especialmente cierto si los datos constituyen un hecho
visiblemente verdadero sobre alguien (lo que significa que
es un mal secreto) o son reutilizados/reutilizables (como lo
son a menudo las contraseñas, lo que las convierte también
2020 2020
en malos secretos). Los datos personales pueden utilizarse
26 % 15 %
2021 2021 en ataques de ingeniería social para abrir una puerta que
15 % 34 % permita compartir credenciales u otros datos valiosos. Los
ciberdelincuentes pueden cometer fraudes utilizando datos
mal protegidos: por ejemplo, la información personal sobre
la salud combinada con otra información personal puede
Nombre/Tel
impulsar el fraude a los seguros
éfono/Corre PHI
o Electrónico
Las únicas categorías que disminuyeron en 2021 fueron la
información de pago/tarjeta de crédito/bancaria, donde el
número de registros violados se redujo en un 47 %, y los
que contenían nombre/teléfono/correo electrónico bajaron
del 26 % al 15 %.

LAS MEJORES PRÁCTICAS:

Creación de una seguridad sólida y un

recorrido de usuario fluido
Las organizaciones están en un aprieto: tienen que ofrecer una experiencia en línea fluida (esperada por el 60
% de los usuarios ), así como seguridad (una prioridad máxima para el 55 % de los 24 Sin embargo, el mismo informe que reveló
estos datos mostró que los consumidores abandonarán una transacción si tienen que esperar más de 30 segundos.

Para proporcionar una experiencia de usuario de baja fricción con una fuerte seguridad, las empresas deben orquestar
experiencias de inicio de sesión seguras y personalizadas utilizando una plataforma de IAM infundida con IA, que detecta la
actividad inesperada y bloquea el acceso inapropiado utilizando técnicas de precisión que preservan el acceso y las experiencias
en líne a para los usuarios legítimos.

2022 ForgeRock Consumer Identity Breach Report 12

La Seguridad de los Datos del Reino
Unido en Foco
Una acelerada transformación digital
nacional en 2021 provocada por la
continua interrupción de la COVID ha
mantenido al Reino Unido en alerta
máxima por la actividad de los
hackers
El Reino Unido no es ajeno a las ciberamenazas . Los
ataques reportados en 2021 han continuado al mismo ritmo
que en 2020, cuando un enorme cambio digital causado por
la pandemia vio un aumento sin precedentes de la actividad
maliciosa en línea.
Las principales marcas están desplegando recursos para
realizar evaluaciones preventivas del problema:
Tesco, por ejemplo, realizó una
25
“prueba de resistencia” a los
ciberataques y descubrió que una
violación podría costar a la empresa
Como consecuencia del nivel de amenaza constante y de
los activos en juego, más empresas británicas están
tratando la ciberseguridad como una cuestión prioritaria
dentro de las discusiones de la alta dirección: la Encuesta
del Gobierno del Reino Unido sobre violaciones de la
ciberseguridad de 2022 26 descubrió que el 82 % de las
empresas lo hicieron en 2021, en comparación con el 77 %
en 2020.
La industria de la salud combaten
tanto las amenazas médicas como las
cibernéticas, ya que los sistemas
de TI se convierten en un objetivo
principal de los ciberataques
El panorama de amenazas al que se enfrentan las empresas
en el Reino Unido es complejo. Análisis de los datos del
regulador independiente de datos del Reino Unido, el ICO,
que cubren las violaciones en 21 sectores durante el período
de enero a septiembre de 2021, muestra que el comercio
minorista fue el área más vulnerable, comprendiendo el
20 % de todos los ataques. Este período coincidió con el
tercer lockdown nacional de COVID en el Reino Unido, una
2022 ForgeRock Consumer Identity Breach Report
época de migración masiva a través de Internet, ya que las
tiendas físicas cerraron, a veces temporalmente y otras para
siempre.
Según la Oficina de Estadísticas Nacionales (ONS),
27 el 37 % de las ventas del comercio minorista se realizaron
en línea en enero de 2021, frente a solo el 20 % en la misma
época de 2020. Este aumento obligó a un cambio digital en
todas las funciones empresariales: El 82 % de las empresas
británicas utilizaron cuentas bancarias en línea2021, frente
al 75 % en 2020, mientras que el porcentaje que aceptaba
pagos en línea aumentó del 23 % al 3028 Inevitablemente,
este cambio digital trajo consigo el correspondiente
aumento de los agentes maliciosos que merodean por
los pasillos digitales, así como la vulnerabilidad de los
minoristas, que se esforzaron por adaptarse.
65 de los 10029 responsables de
ciberseguridad encuestados en el sector
de la salud del Reino Unido creen que un
ciberataque a su sistema podría
provocar la pérdida de vidas humanas.
Otros sectores se enfrentaron a desafíos similares.
La industria de la salud, las finanzas y la educación
representaron el 9,4 %, el 12 % y el 11 % de los ataques,
respectivamente. La industria de la salud merece un análisis
más detallado: la pandemia de COVID ha provocado una
enorme tensión organizativa en el Servicio Nacional de
Salud (NHS) del Reino Unido, incluso en el ámbito de las TI,
donde los equipos de ciberseguridad han tenido que
proteger una cantidad sin precedentes de datos sensibles
de lospacientes y del público, además de su cometido BAU.
Lo que está en juego es siempre la ciberseguridad, pero
quizás nunca tanto como en la industria de la salud.
No es de extrañar entonces que los líderes de los sistemas
de atención integrada del NHS recibieran un recordatorio
en septiembre de 2021 por parte de su brazo tecnológico,
NHSX30 , para garantizar que todos los proyectos digitales
fueran “ ciberseguros por diseño”.
El Reino Unido debe estar atento
a los ataques de phishing como
principal vector de amenaza que
pone en riesgo los datos de identidad
13
El Informe Anual del Centro Nacional de Ciberseguridad
31 revela la magnitud del problema: su programa de
defensa ha eliminado 442 campañas de phishing que
utilizaban la marca del NHS y 80 aplicaciones ilegítimas del
El análisis de los tipos de amenazas también revela un
panorama informativo. El tipo de amenaza más común
en 2021 fue el phishing , que representó el 38 % de todos
los incidentes entre enero y septiembre. Una vez más, las
circunstancias dan la explicación: las notificaciones por
texto y correo electrónico se utilizaron ampliamente en
el despliegue nacional de vacunas en el Reino Unido y los
phishers no desaprovecharon esta oportunidad.
aplicaciones ilegítimas del NHS alojadas y disponibles para
su descarga fuera de las tiendas de aplicaciones oficiales.
Por supuesto, el phishing no es exclusivo de la industria de
la salud, y durante el verano de 2021, Ofcom 32 descubrió
que casi 45 millones de personas habían recibido un
mensaje de texto o una llamada fraudulenta, y que el 82 %
de los adultos habían recibido un mensaje sospechoso a
través de un texto.
Principales Conclusiones para el
Reino Unido
La Seguridad de los Datos de Alemania
en Foco
La situación general de la seguridad TI en Alemania estuvo
bajo una presión extrema en 2021. El año se caracterizó por
los ataques a las infraestructuras críticas, a las
infraestructuras públicas y a las cadenas de administración
y suministro. Las autoridades alemanas registraron una
notable expansión de los métodos de extorsión de los
ciberdelincuentes . El número de ciberdelitos registrados en
Alemania aumentó más del 12 % en 2021 con respecto a
2020.33 Los ataques de phishing aumentaron
específicamente un 4034
Con el aumento de la ciberdelincuencia,
el daño potencial de los ataques
de ransomware también creció
rápidamente, pasando de unos 5,3 mil
millones de euros en 2019 a 24,3 mil
millones de euros en 2021, un aumento
asombroso de más del 35035
2022 ForgeRock Consumer Identity Breach Report
A grandes rasgos, el panorama de la ciberseguridad sigue
siendo un desafío en todos los sectores. Los cambios
de comportamiento alimentados por la pandemia han
acelerado las transformaciones digitales de muchas
empresas y han fomentado la continuación de niveles muy
altos de actividad maliciosa. Todos los sectores se han
visto afectados, pero el comercio minorista y la industria
de la salud son las principales áreas de preocupación
en el Reino Unido, debido a la rápida aceleración de las
interacciones en línea con los pacientes como consecuencia
de la pandemia.
La manera en que las empresas respondan será crucial. Es
probable que muchos sectores se enfrenten a un período
de restricción del poder adquisitivo, por lo que las
herramientas de eficiencia y multiplicación del poder
serán fundamentales. Las organizaciones que aprovechan
la IA para aumentar las armas de los equipos de
ciberseguridad mediante la supervisión de las solicitudes de
inicio de sesión en tiempo real y el bloqueo de las solicitudes
maliciosas pueden agilizar los recorridos de los usuarios
legítimos. Las herramientas de IA también permiten a las
empresas mantener una postura de seguridad adecuada
sin necesitar un aumento insostenible de los recursos
humanos.
La Oficina Federal de Seguridad de la Información (BSI)
alemana observó ataques de TI específicos relacionados
con la COVID en la industria de la salud. Entre ellos se
encuentran ataques a la Agencia Europea de Medicamentos
(EMA), a fabricantes de vacunas extranjeros, un ataque
DDoS al portal de vacunación del estado alemán de Turingia
y un ataque de ransomware a un fabricante alemán
de pruebas de antígenos. El ataque a la EMA también
demuestra la creciente importancia de la “vulnerabilidad
humana” como puerta de entrada a los ciberataques.
En este caso específico, se utilizó la autenticación de dos
factores para el acceso del proveedor de servicios al
sistema de la EMA, pero el usuario del cliente atacado había
almacenado ambos factores en el cliente, socavando así el
efecto de seguridad.36
“Big Game Hunting”: El BSI observó que numerosos
grupos de hackers cambiaron su enfoque hacia objetivos
financieramente fuertes en una táctica a menudo llamada
“Big Game Hunting ”. En este esquema de ataque, los
ciberdelincuentes se centran en empresas con datos o
activos de gran valor en sectores como la industria de la
salud, la administración pública o la fabricación. Se
dirigen a empresas que son sensibles al tiempo de
14
inactividad y serán más propensas a pagar un rescate,
independientemente del coste.37
El primer caso decibercatástrofe: Uno de los ataques más
destacados contra las infraestructuras públicas en
2021 incluyó, como era de esperar, el ransomware . La
administración del distrito de Anhalt Bitterfeld (Sajonia
Anhalt) se vio paralizada por un ciberataque hasta el punto
de no poder pagar los beneficios sociales a los ciudadanos
(por ejemplo, ayudas a los estudiantes, beneficios a los
padres y a los hijos) durante más de una semana.
La administración instaló un sistema de infraestructura de
emergencia en un intento de solucionar el ataque. Sin
embargo, incluso meses después, las operaciones regulares
no funcionaban. El ataque dio lugar a la primera declaración
de un caso de cibercatástrofe en Alemania.38
Combinación de ransomware y fuga de datos: Los ataques
con ransomware suelen conllevar el riesgo de una fuga
de datos, que suele ir acompañada de la salida de datos
personales y la correspondiente extorsión por dinero. En
la práctica, los dos resultados son cada vez más difusos,
ya que los ciberdelincuentes tienden a publicar los datos
robados de un ataque de ransomware en plataformas
DarkNet como una segunda dimensión en su esquema
de ataque.39 Esta tendencia se refleja en el número de
sitios de fuga de datos activos mensualmente, donde los
datos robados se ponen a disposición del público y de
otros atacantes para nuevos ciberataques. El número de
estos sitios aumentó casi un 360 %40 Según el Instituto
Hasso Plattner , que ha estado registrando las fugas de
datos de cuentas comprometidas desde 2006, en 2021 se
comprometieron aproximadamente 184,65
millones de cuentas de usuarios. 41
Fuga masiva de datos en las tiendas en línea en Alemania:
Más de un millón de registros de datos de unos 700.000
usuarios de toda Alemania se vieron afectados por una
fuga masiva de datos en 2021. Entre los datos personales
recogidos figuraban direcciones postales, información
sobre pedidos, números de teléfono y, en algunos casos,
datos bancarios. La fuga de datos fue detectada durante la
resolución de problemas por un experto de TI externo en
el verano de 2021, y posteriormente se cerró la brecha en la
protección. Sin embargo, ha estado abierto durante tres
años y ha dejado los datos prácticamente desprotegidos en
Internet durante este tiempo.
2022 ForgeRock Consumer Identity Breach Report
El proveedor de mercados de varios de los principales
minoristas alemanes había concedido, sin saberlo, a todos
sus clientes acceso a toda la base de datos, incluidos
los datos de otros minoristas, lo que significaba que los
minoristas podían ver todos los pedidos de los clientes,
incluidos los de sus competidores. Además, los datos
necesarios para el acceso al servidor se habían almacenado
en texto plano en el software. Así, personas ajenas a la
empresa pudieron descargar la información del sitio web
del proveedor del mercado, y prácticamente cualquiera
podría haber accedido a los datos altamente sensibles de
los usuarios.42
Como en muchos otros países, el coste asociado a una
violación de datos ha aumentado en Alemania en el último
año de 4,45 millones de dólares a 4,89 millones de dólares
(lo que equivale a unos 4,64 millones de euros). En el último
año, se estableció un nuevo récord para las multas del
RGPD emitidas contra las empresas que no se adhirieron a
las políticas de cumplimiento. En toda la UE, las empresas
pagaron aproximadamente mil millones de euros debido a
las violaciones del RGPD, lo que supone un fuerte aumento
en comparación con los poco menos de 170 millones de
euros del año anterior. En Alemania, concretamente, se
impusieron el año pasado multas por un total de unos 50
millones de euros en relación con el RGPD.44
Puntos Principales para Alemania
Los datos alemanes de 2021 indican claramente que el
riesgo de robo de credenciales y de pérdida de datos
sensibles es mayor que nunca. La combinación cada vez
más popular de ataques de ransomware y datos fugados en
sitios de DarkNet hace que la autenticación sin contraseña
con autenticadores móviles, claves de seguridad FIDO2, y
lectores de huellas dactilares o cámaras sea imprescindible
para las empresas y los particulares que quieran reducir
considerablemente la utilidad de las contraseñas robadas.
Un componente adicional para mitigar el riesgo de violación
de datos es la adopción de una estrategia Zero Trust.
La autenticación sin contraseña debería incorporarse
a cualquier estrategia de Zero Trust sin ningún tipo de
compromiso. Estas estrategias incorporan la
geocerca y otros parámetros en las decisiones de
autorización y conceden acceso de solo lectura o invocan
la autenticación adicional de los dispositivos que no son de
confianza.
15
La Seguridad de los Datos de Australia
en Foco
Según el informe sobre violaciones notificables de la Oficina
del Comisionado de Información de Australia 45 del
gobierno australiano, el número total de violaciones
reveladas disminuyó un 15 % en 2021. El país registró 900
violaciones exitosas el año pasado, frente a las 1.057 del
año anterior.
A pesar del descenso, esta cifra sigue siendo superior al
total de violaciones notificadas en 2018, con 812, lo que
supone un aumento del 10 % en los años comprendidos
entre 2018 y 2021.
Las industrias más afectadas por las violaciones de datos
fueron las de la salud, con 168 violaciones reportadas,
seguidas por las finanzas, con 113, y los servicios legales,
contables y de gestión, con 86. La industria de la salud ha
reportado continuamente el mayor número de violaciones
desde el inicio del esquema deviolaciones de datos
notificables (NDB).
Tanto el número de informes de la industria de la salud
como el de finanzas disminuyeron un 29 % (238 en 2020) y
un 27 % (155 en 2020), respectivamente. Por otro lado, los
informes de servicios legales, contables y de gestión
aumentaron un 34 % (64 en 2020), sustituyendo al sector de
la educación a partir de 2020 como la tercera industria más
alcanzada.
Por tercer año, la información de contacto personal
(direcciones de casa, números de teléfono o direcciones
de correo electrónico) siguió siendo la información más
buscada en las violaciones de datos, comprendiendo 803
violaciones reportadas. Le siguen los datos de identidad
con 432, los de salud con 256, los financieros con 376 y
los fiscales con 184. En cuatro de las cinco categorías, el
número de violaciones notificadas disminuyó de un año a
otro, con la mayor disminución del 13 % para los informes
de información de contacto. Los informes de violación
del número de expediente fiscal se mantuvieron igual en
2020 y 2021.
Entre las estafas relacionadas con la COVID observadas en
2021 por la Comisión Australiana de la Competencia y del
Consumidor46 se encontraban las que se hacían pasar por
el gobierno y las de phishing . En la mayoría de los casos,
se trata de mensajes de texto o de correo electrónico
en los que se afirma que se trata de un departamento
gubernamental que solicita datos personales para
confirmar que se puede recibir un pago del gobierno o
porque la persona puede haber estado expuesta a la COVID.
Además, Scamwatch 47 recibió más de 6.000 informes de
estafa en los que se mencionaba el coronavirus, con más de
9.800.000 dólares en pérdidas declaradas.
2022 ForgeRock Consumer Identity Breach Report
Sin embargo, lo que el descenso de las
violaciones puede indicarnos es que
las empresas y los organismos
públicos australianos, junto con los
particulares, están más atentos a la
ciberseguridad.
Desafortunadamente, los australianos de mayor edad
fueron los más propensos a caer en estas estafas.
Aumento de la Inversión
en Ciberseguridad
La disminución de los informes generales sobre violaciones
de datos podría explicarse por el aumento del gasto en
ciberseguridad en 2021. Dado que a lo largo de 2020 se
produjo un aumento de los servicios en línea a medida que
el mundo físico se trasladaba a la red, también se produjo
un aumento de la ciberdelincuencia. Como resultado, en
2021, las empresas comenzaron a aumentar su uso de
sistemas de ciberseguridad, ya que se esperaba que las
empresas australianas gastaran 4,9 mil millones de dólares
australianos en ciberseguridad en 2021.48
El aumento del trabajo a distancia ha empujado a más
empresas en Australia a invertir en soluciones de trabajo
híbrido de terceros, como el acceso a la identidad digital y
las herramientas de colaboración, alojadas en plataformas
más seguras potencialmente a través de la nube, añadiendo
más niveles de seguridad.
Además, el gobierno federal australiano ha invertido más
en minimizar los riesgos de seguridad, desarrollando una
serie de estrategias de ciberseguridad. El más reciente es
el compromiso de destinar 1,67 mil millones de dólares
australianos 49 a la ciberseguridad durante diez años en
2020. El país también ha invertido más en tecnología en
2021, con una inversión de 1,2 mil millones de dólares
australianos en economías digitales 50 y ciberseguridad,
ofreciendo un mayor apoyo a las empresas que deseen
invertir en tecnologías digitales y creando mayores vías de
inversión en ciberseguridad.
A pesar de estas inversiones, es importante señalar que el
número de incidentes sigue siendo elevado en relación con
los días previos a la pandemia, con un aumento del 10 %
respecto a 2018.
16
Estas cifras muestran que todavía falta una pieza
del rompecabezas, y que hay espacio para un mayor
conocimiento en torno a la ciberseguridad y la inversión en
el futuro.
Los errores humanos fueron la causa de 324 violaciones,
frente a las 380 de 2020. Sin embargo, dado que fue la
segunda causa más importante de violaciones, sigue siendo
necesaria una mayor educación en materia de seguridad
y protección de contraseñas, ya que existe una falta de
conocimiento sobre la importancia de la autenticación
multifactor y la generación de contraseñas seguras en
Australia.
La Seguridad de los Datos de Singapur
en Foco
En Singapur se produjo un drástico aumento del 43 % de la
ciberdelincuencia de un año a otro. Según la información
más reciente, el informe Singapore Cyber Landscape de
202051 publicado en julio de 2021,52 muestra más de 16.000
ciberataques reportados. [Nota: Los datos de 2021 no
se publicarán hasta julio de 2022, demasiado tarde para
utilizarlos en este informe]. El mayor contribuyente a estos
ataques fueron las estafas de phishing , con más de 12.000
El siguiente método de ataque líder fue el acceso no
autorizado, que se utilizó en más de 3.600 casos en 2020,
frente a los 1.701 de 2019. La extorsión cibernética fue el
tercer método más común, utilizado en 245 ataques, frente
a los 68 del año anterior.
Singapur vio un aumento significativo
en el ransomware dirigido a los
sectores de la fabricación, el comercio
minorista y la salud, con un total de 89
casos reportados a la CSA en 2020, un
aumento del 154 % con respecto
a los 35 casos reportados en 2019.
Por otro lado, las defecciones de sitios web experimentaron
un fuerte descenso en 2020. Algo menos de 500 sitios web
“. sg ” fueron desfigurados hace un año, un 43 % menos que
los 873 casos de 2019. En 2020 se observaron unas 47.000
URL de phishing únicas, un ligero descenso en comparación
con el máximo histórico de tres años de 47.500 URL
observado en 2019.
2022 ForgeRock Consumer Identity Breach Report
Perspectivas Principales de Australia
Aunque el número total de violaciones de datos
reveladas en Australia se redujo en un 15 % en 2021, las
violaciones siguen siendo frecuentes, y las empresas y el
gobierno deben seguir siendo diligentes en sus esfuerzos
para prevenirlas. Con la tecnología para combatir las
ciberamenazas evolucionando a través de los desarrollos
en IA y el uso de métodos más profundos de autenticación
multifactor , la inversión continua en medidas de
ciberseguridad será crucial para proteger los datos en el
futuro.
En 2020, los organismos gubernamentales de Singapur
más atacados fueron el Ministerio de Educación (MOE),
el Ministerio de Trabajo (MOM) y el Cuerpo de Policía de
Singapur (SPF), mientras que la tecnología, la industria de
servicios bancarios y financieros y las empresas de redes
sociales fueron los principales sectores atacados. Entre
ellos, grandes empresas tecnológicas o de redes sociales y
entidades del sector bancario y financiero.
¿Por qué Es Tan Alto el Riesgo?
A medida que las personas y las empresas siguieron
equilibrando el trabajo desde casa o los acuerdos híbridos,
y las empresas adoptaron tecnologías digitales para
garantizar la continuidad del negocio, estas tendencias
condujeron a más vectores e intentos de ciberataque.
A lo largo de los años, hemos visto cómo varias empresas
con sede en Singapur han sido objetivo de los hackers,
lo que ha dado lugar a una serie de violaciones de datos
que afectan a los datos sensibles de los clientes, desde a
violación de datos de SingHealth en 2018 hasta la estafa
de phishing de OCBC a principios de este año. Hubo varios
intentos de explotar las vulnerabilidades individuales
haciéndose pasar por organismos gubernamentales o de
salud, creando sitios web para el robo de credenciales, la
distribución de malware y la venta fraudulenta de curas y
vacunas falsas.
La COVID también jugó un papel importante. El Ministerio
de Trabajo (MOM)53 destacó tres grandes estafas que
afectaron a los singapurenses en relación con las vacunas
contra la COVID, los resultados de COVID falsos positivos
y las llamadas telefónicas que decían ser del MOM. Los
estafadores buscaban los datos de contacto, la información
personal y los datos bancarios de los individuos; también
17
animaban a descargar los falsos archivos adjuntos de
los correos electrónicos con resultados positivos de los
trabajadores extranjeros.
A medida que los casos de ransomware siguen afectando a
los
particulares y a las empresas de Singapur, las personas y las
organizaciones deben estar atentas a las ciberamenazas , y
no
limitarse a hacer copias de seguridad de los datos y
almacenarlos en línea. Las empresas deben centrarse en la
aplicación de medidas preventivas, como la protección de
su infraestructura mediante la autenticación sin contraseña
para mejorar la experiencia del usuario final.
Se Introducen Nuevos Marcos y
Normativas
Las empresas deben tomar nota de las modificaciones del
Reglamento de Protección de Datos Personales
(Notificación de
Violaciones de Datos) de 2021 y del Reglamento de
Protección de Datos Personales de 2021 que se realizaron
en octubre de 2021. Entre ellas se incluyen pequeñas
aclaraciones sobre lo que constituye un daño significativo
para la notificación obligatoria de las violaciones de datos,
las defensas para el tratamiento incorrecto de los datos
personales, y sobre las formas en que las organizaciones
pueden proporcionar la información de contacto de sus
responsables de la
protección de datos.
En abril de 2022, la Agencia de Ciberseguridad de Singapur
(CSA) puso en marcha un marco de concesión de licencias56
para los proveedores de servicios de ciberseguridad
con el fin de salvaguardar mejor los intereses de los
consumidores.
Perspectivas Principales de Singapur
Singapur tiene uno de los mayores índices de adopción de
Internet.57 En 2020, cerca del 90 % de la población de
Singapur utilizaba Internet. Para 2025, se prevé que la
adopción aumente a más del 93 %. El país también está
trabajando para conseguir una cobertura 5G a nivel
nacional para 2025.
Dado que los servicios digitales siguen siendo adoptados y
creciendo tanto por los particulares como por las empresas,
se espera que los ciberataques sigan aumentando. Sin
embargo, estamos viendo que el gobierno de Singapur está
introduciendo varias medidas ágiles para hacer frente a la
amenaza constante y permanente de estos ataques, con el
fin de ofrecer mejores garantías de seguridad, protección y
privacidad a los consumidores.

Para hacer frente a los desafíos que plantea la

ciberdelincuencia, Singapur anunció en 2021 una
actualización de su estrategia de ciberseguridad54 , en
la que se esbozan planes para adoptar una postura
más proactiva para hacer frente a las ciberamenazas ,
elevar el nivel general de ciberseguridad en todo el país
y avanzar en las normas y estándares internacionales
sobre ciberseguridad. La estrategia actualizada de 2021
llega cinco años después del lanzamiento de la primera
estrategia en 2016, y aborda las amenazas
nuevas y emergentes tras los cambios estratégicos y
tecnológicos.

En febrero de 2022, la Autoridad Monetaria de Singapur

(MAS) también compartió un nuevo marco 55 que
estudiaba el reparto equitativo de las pérdidas ocasionadas
por las estafas. Anunció medidas para reforzar la seguridad
de la banca digital y destacó cómo todas las partes
(organizaciones y personas) tienen la responsabilidad de
estar atentas y tomar medidas de precaución contra las
estafas.

2022 ForgeRock Consumer Identity Breach Report 18

Conclusión
En 2021, el mundo vio una escalada masiva de violaciones
de datos, tanto en número como en gravedad. Los
ciberdelincuentes se aprovecharon de la imparable
tendencia de los consumidores a vivir en línea para obtener
accesos no autorizados utilizando credenciales robadas y
aprovechando los puntos débiles de la autenticación y la
autorización. Utilizando los datos previamente violados,
incluidos los nombres de usuario, las contraseñas, las
fechas de nacimiento y los números de la Seguridad Social,
fueron capaces de aprovechar un rico filón de información
personal adicional que se encuentra en sitios de compras
en línea, redes sociales, salud y otros.
Los consumidores han sido educados para evitar hacer
clic en enlaces sospechosos, para pensar dos veces antes
de abrir un archivo adjunto, y para salvaguardar sus
credenciales sin embargo, la falta de atención y el cansancio
a menudo se interponen en el camino de las buenas
prácticas de seguridad. Cualquier cosa que la gente haga
de memoria es susceptible de ser descuidada. Por eso,
dar a los consumidores más control sobre los métodos de
autenticación y las notificaciones les hace participar más
en el proceso y aumenta su conciencia. La autenticación
multifactor (MFA) es otra forma de aumentar la seguridad
de la autenticación y su uso está aumentando. Pero exigir
la MFA después de cada intento de inicio de sesión crea
una experiencia tediosa, aumenta el riesgo de frustración y
abandono del cliente, e incluso da lugar a un nuevo método
de ataque, el bombardeo de avisos de MFA.
Aunque estos esfuerzos parecen haber dado lugar a
avances en algunos sectores, como el descenso del 75
% en el número de registros del sector de los servicios
financieros violados. — otras industrias, como los servicios
profesionales, se están convirtiendo rápidamente en un
objetivo principal de los ciberdelincuentes . La industria de
la salud sigue siendo un objetivo rico, quizás debido a la
cantidad de información personal contenida en los registros
médicos y de seguros de salud.
Está claro que tenemos que hacer más para atacar los dos
lados del desafío de la identidad: aumentar la seguridad
de los datos de los consumidores y, al mismo tiempo,
ofrecer una experiencia de usuario fluida. Las claves para
garantizar un acceso en línea sin problemas a los usuarios
de confianza y evitar al mismo tiempo el acceso no
autorizado están disponibles hoy en día: inteligencia
artificial (IA), autenticación sin contraseña y un enfoque de
Zero Trust.
Gestión de Accesos Basada en la IA
Garantice un recorrido de usuario sin fricciones: no penalice
a los usuarios legítimos solo porque los ciberdelincuentes
sigan intentando un acceso no autorizado. Detiene los
2022 ForgeRock Consumer Identity Breach Report
accesos fraudulentos antes de que se produzcan utilizando
un sistema de gestión de accesos basado en la IA para
detectar comportamientos anómalos. La funcionalidad de
IA/ML incorporada a la IAM puede proporcionar una rica
visión contextual de los posibles riesgos asociados a los
intentos de acceso sobre la base de cantidades masivas de
datos. Cuando se intenta un acceso fraudulento, se puede
interrumpir, al tiempo que se proporciona a los usuarios
legítimos una experiencia en línea sin problemas.
Autenticación Sin Contraseña
El mundo ha avanzado mucho más allá del punto en el
que una simple contraseña podía proporcionar suficiente
protección. Impulsado por la norma FIDO2 WebAuthn ,
el paso a la autenticación sin contraseña está ganando
impulso; mejora tanto la seguridad como la facilidad de
uso para el acceso en línea, al tiempo que disminuye en
gran medida la utilidad de las credenciales robadas por
los ciberdelincuentes . Los principales actores del sector
Apple, Microsoft y Google han colaborado en la expansión
del estándar FIDO2, anunciando planes para permitir la
autenticación sin contraseña en múltiples dispositivos,
navegadores y plataformas.58
Zero Trust
Las organizaciones prudentes operan bajo el supuesto
de que sus redes ya están comprometidas. Por eso
adoptan un enfoque de Zero Trust, en el que cada
transacción o actividad se evalúa individualmente,
basándose en una evaluación continua de múltiples
señales y no en la ubicación de la red. Una estrategia Zero
Trust debe incluir tanto una solución de IAM
completa como capacidades de gestión de accesos
automatizadas basadas en roles que apliquen el acceso
con menos privilegios. Estos tres enfoques prometen
satisfacer el deseo declarado de los consumidores tanto
de seguridad como de una experiencia en línea fluida.
Se centraron en reducir el número y la gravedad de las
violaciones y en aumentar la confianza de los clientes en
las organizaciones con las que hacen negocios. Gartner
predice lo siguiente: “Para 2025, la adopción de CIAM
con detección de fraude convergente y autenticación sin
contraseña podrá reducir la pérdida de clientes a más de la
mitad”.59
19
1
Identity Theft Resource Center. “2021 Annual Data Breach Report.” IDTheftCenter.org. January 2022. Accessed June 2022.
2
Ponemon Institute and IBM. “Cost of a Data Breach Report 2021.” IBM.com. 5 August 2021. Accessed June 2022.
3
Page, Carly. “The Accellion data breach continues to get messier.” TechCrunch.com. July 8, 2021. Accessed June 2022.
4
Maxim, Merritt. “Okta Lapsus$ Compromise: How to Make Sure You’re Protected.” Forrester.com. March 24, 2022. Accessed June 2022.
5
Tyas Tunggal, Abi. “The 65 Biggest Data Breaches.” UpGuard.com. Updated Jun 26, 2022.
6
Bekker, Eugene. “2021 Data Breaches.” IdentityForce.com. January 11, 2021. Accessed June 2022.
7
Hill, Michael and Swinhoe, Dan. “The 15 biggest data breaches of the 21st century.” CSO Online. 16 July 2021. Accessed June 2022.
8
Verasai, Anna. “Remote Work is Here to Stay: Are You Ready?” TheHRDigest.com. 15 January 2022. Accessed June 2022.
9
Ponemon Institute and IBM. “Cost of a Data Breach Report 2021.” IBM.com. 5 August 2021. Accessed June 2022.
10
Delić, Danka. “Record fines for breaches of EU privacy law in 2022 – over €1.1 billion in just a year.” ProPrivacy.com. 21 January 2022. Accessed June 2022.
11
Bronstad, Amanda. “11th Circuit Upholds $1.4B Class Action Settlement Over Equifax Data Breach.” Law.com. 3 June 2021. Accessed June 2022.
12
Bronstad, Amanda. “T-Mobile Hit with Two Class Actions Over Massive Data Breach.” Law.com. 20 August 2021. Accessed June 2022.
13
Ponemon Institute and IBM. “Cost of a Data Breach Report 2021,” IBM.com. Accessed June 2022.
14
Page, Carly. “The Accellion data breach continues to get messier.” TechCrunch.com. 8 July 2021. Accessed June 2022.
15
Rowan, Lisa. “Stimulus Check Scams Account for Highest Level of Phishing Attempts in More Than a Decade.” Forbes.com. 1 September 2021. Accessed June
2022.
16
United States Census Bureau. “Monthly Retail Trade (PDF).” Census.gov. Accessed June 2022.
17
Ponemon Institute and IBM. “Cost of a Data Breach Report 2021,” IBM.com. Accessed June 2022.
18
Jenkins, Luke; Hawley, Sarah; Najafi, Parnian, Bienstock, Doug. “Suspected Russian Activity Targeting Government and Business Entities Around the Globe.”
Mandiant.com. 6 December 2021. Accessed June 2022.
19
“Digital Identity: The Foundation of Your Zero Trust Strategy.” ForgeRock.com. Accessed June 2022.
20
Ponemon Institute and IBM. “Cost of a Data Breach Report 2021,” IBM.com. Accessed June 2022.
21
Davis, Jessica. “Prompt Notification Reduces Data Breach Fallout, Consumer Impact.” HealthITSecurity.com. 5 September 2019. Accessed June 2022.
22
Ablon, Lillian; Heaton, Paul; Lavery, Diana Catherine; and Romanosky, Sasha. “Consumer Attitudes Toward Data Breach Notifications and Loss of Personal
Information.” 2016. Accessed June 2022.
23
Browne, Ryan. “Fines for breaches of EU privacy law spike sevenfold to $1.2 billion, as Big Tech bears the brunt.” CNBC.com. 17 January 2022. Accessed June
2022.
24
Experian. “2021 Global Identity and Fraud Report.” Experian.com. April 2021. Accessed June 2022.
25
Armstrong, Ashley. “Tesco fears £2.4bn hit from future cyberattack.” TheTimes.co.uk. 14 May 2022. Accessed June 2022.
26
Ell, Maddy and Gallucci, Robbie. “Cyber Security Breaches Survey 2022.” Gov.uk. 30 March 2022. Accessed June 2022.
27
Lewis, Rhys. “Retail sales, Great Britain: January 2022.” ONS.gov.uk. 18 February 2022. Accessed June 2022.
28
Cyber Security Breaches Survey 2022, Op. cit.
29
Coker, James. “81% of UK Healthcare Organizations Hit by Ransomware in Last Year.” Infosecurity-magazine.com. 20 October 2021. Accessed June 2022.
30
NHS. “What Good Looks Like Framework.” NHSX.NHS.uk/. 4 October 2021.Accessed June 2022.
31
National Cyber Security Centre. “Record number of cyber incidents mitigated as NCSC protects vaccine rollout.” NSCS.gov.uk. 17 November 2021. Accessed June
2022.
32
“45 million people targeted by scam calls and texts this summer.” Ofcom.org. 20 October 2021. Accessed June 2022.
33
BKA. „Cybercrime – Bundeslagebild 2021“. BKA.de. 2021. Accessed June 2022.
34
“2022 ThreatLabz Phishing Report” (PDF). Zscaler.com. 2022. Accessed June 2022.
35
BKA 2022, Op. cit. Accessed June 2022.
36
„Die Lage der IT-Sicherheit in Deutschland 2021.“ BSI 2022 (The report covers the time period June 2020 until May 2021.)
37
Ibid
38
Heinrich Böll Stiftung; “Cyberangriff auf Landkreis Anhalt-Bitterfeld 2021 – KommunalWiki.” Accessed June 2022.
39
BSI 2022, Op. cit.
40
BSI 2022, Op. cit.
41
Hasso Plattner Institut (HSI), “Statistics.” Accessed June 2022.
42
Taggesschau. “Massives Datenleck Nutzerdaten jahrelang online.” Accessed June 2022.
43
Ponemon Institute and IBM. “Cost of a Data Breach Report 2021,” Accessed June 2022.
44
Statista 2022, and TÜViT, 2022. Accessd June 2022.
45
Office of the Australian Information Commissioner. “Notifiable Data Breaches Report: January–June 2021.” OAIC.gov.au. 23 August 2021 and “Notifiable Data
Breaches Report: July–December 2021.” OAIC.gov.au. 22 February 2022. Accessed June 2022.
46
Australian Competition & Consumer Commission. “Current COVID-19 (coronavirus) scams” (PDF). ACCC.gov.au. June 2020. Accessed June 2022.
47
Australian Competition & Consumer Commission. “Current COVID-19 (coronavirus) scams.” ACCC.gov.au. Accessed June 2022.
48
Karen, Sasha. “Aussie cyber security spend to hit $4.9B in 2021.” ARNnet.com.au. 22 March 2021. Accessed June 2022.
49
“Australia: Government allocates AUD 1.67 billion for 2020 Cyber Security Strategy.” GlobalTradeAlert.org. 6 August 2020. Accessed June 2022.
50
Bushell-Embling, Dylan. “Govt unveils $1.2bn Digital Economy Strategy.” TechnologyDecisions.com.au. 7 May 2021. Accessed June 2022.
51
CSA Singapore. “Singapore Cyber Landscape 2020.” CSA.gov.sg. 8 July 2021. Accessed June 2022.
52
The Singapore Cyber Landscape report is released in July of each year covering data from the previous year. The report for 2021 will not be available until July 2022,
so this report covers data through December 2020.
53
Ministry of Manpower Singapore. “Advisories on COVID-19.” Mom.gov.sg. 2022. Accessed June 2022.
54
CSA Singapore. “The Singapore Cybersecurity Strategy 2021.” CSA.gov.sg. 5 October 2021. Accessed June 2022.
55
Monetary Authority of Singapore. “A Framework for Equitable Sharing of Losses Arising from Scams.” MAS.gov.sg. 4 February 2022. Accessed June 2022.
56
CSA Singapore. “CSA Kicks Off Licensing Framework for Cybersecurity Service Providers.” CSA.gov.sg. 11 April 2022. Accessed June 2022.
57
DataReportal. Kemp, Simon. “Digital 2022: Singapore.” DataReportal.com. February 2022. Accessed June 2022.
58
Fido Alliance. “Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins.” FidoAlliance.
org. 5 May 2022. Accessed June 2022.
59
Gartner. “Innovation Insight for Customer Identity and Access Management.” Gartner.com. 9 December 2021. Accessed June 2022.

2022 ForgeRock Consumer Identity Breach Report 20

Acerca de ForgeRock

ForgeRock® (NYSE: FORG) es un líder mundial en

identidad digital que ayuda a las personas a acceder de
forma sencilla y segura al mundo conectado. ForgeRock
Identity Platform ofrece soluciones de identidad de nivel
empresarial a escala para clientes, empleados y
dispositivos conectados. Más de 1.300 organizaciones
dependen de la plataforma integral de ForgeRock para
gestionar y asegurar las identidades con orquestación de
identidades, controles de acceso dinámicos, gobernanza
y API en cualquier nube o entorno híbrido. Para más
información, visita : www.forgerock.com.

Síganos

   