Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FORGEROCK CONSUMER
IDENTITY BREACH
El Acceso no Autorizado Sigue Siendo Una
de las Principales Amenazas: Es Hora de
que las Contraseñas Robadas Dejen de
Tener Valor para Lanzar Nuevos Ataques
Tabla de Contenido
Resumen Ejecutivo 3
Acerca de este Informe 4
Acerca de las Violaciones de Datos 4
Cómo se Compara 2021 con los Años Anteriores 5
Principales Resultados en Estados Unidos 6
Las Violaciones de Datos Aumentan en Número y Coste 7
Tipos de Ataques y Datos 8
Número de Violaciones por Sector en 2021 10
El Papel del Gobierno en la Protección de los Consumidores 11
Tipos de Datos Comprometidos 12
La Seguridad de los Datos del Reino Unido en Foco 13
La Seguridad de los Datos de Alemania en Foco 14
La Seguridad de los Datos de Australia en Foco 15
La Seguridad de los Datos de Singapur en Foco 17
Conclusión 18
Nota: Es posible que las sumas y los porcentajes calculados en los gráficos no sumen exactamente, ya que puede haber algún
redondeo.
Cómo se compara
2021 con los años
5
5,0MM
4,7MM
4
anteriores
3
3,42MM
2 2,8MM
10
• Miles de millones de registros están siendo
9
expuestos o robados cada año
$9,5M
8
$8,64M
7
$8,19M • El coste de una violación de datos en EE UU
6
ha aumentado cada año, y se ha duplicado
5
entre 2018 y 2021
4
3
• El acceso no autorizado sigue siendo la
$3,86M
2
principal causa de las violaciones y su
1
tendencia es al alza cada año
50%
45%
50%
40% 45%
35% 39%
30% 34%
25%
20%
15%
10%
5%
50 %
Registros violados por acceso no autorizado
$614
Coste por registro de la industria de la salud
Por cuarto año consecutivo, el acceso no autorizado fue la La industria de la salud sigue siendo el mayor objetivo de
principal causa de las violaciones: el 50 % de todos los las violaciones con un 24 % y el coste medio por registro
registros violados, frente al 45 % de 2020. aumentó considerablemente, pasando de 474 dólares en
2020 a 614 dólares en 2021.
$9,5M
Coste Medio de la Violación en EE. UU.
63 %
Aumento de los costes de violación del
comercio minorista
El coste medio de una violación en EE. UU. seguía siendo El coste medio de una violación del comercio minorista
el más alto del mundo, con 9,5 millones de dólares, un saltó de 2,01 millones de dólares en 2020 a 3,27 millones
16 % más que los 8,2 millones de dólares de 2020. en 2021.
También hay que tener en cuenta los costes futuros. Un factor es la expectativa de mayores multas relacionadas con la ley
de privacidad del Reglamento General de Protección de Datos (RGPD) de la UE, que aumentó en 2021. El número de multas
aumentó, al igual que su cuantía, hasta los 1,1 mil millones de euros en 2021, frente a los 158,5 millones de euros de 2020.10 Las
demandas judiciales también seguirán influyendo en el aumento de los costes. El acuerdo de la demanda colectiva por violación
de datos de Equifax de 1,4 mil millones de dólares de 425 millones de dólares fue confirmado en junio de 202111 — y dos
demandas colectivas contra T Mobile se están litigando en nombre de más de 50 millones de clientes afectados.12 La mayoría de
estas demandas alegan que la organización no protegió los datos sensibles de los clientes y empleados.
Industria de la salud
REDES
La industria de la salud representó menos del 1 % de SOCIALES
todos los registros violados, pero esos registros contenían COMERCIO 41 %
MINORISTA
información valiosa, como el nombre, la dirección, el
24 %
número de seguro social, la fecha de nacimiento y, en dos
tercios de las violaciones, información real del historial
médico. Armados con estos datos, los ciberdelincuentes
tienen acceso a información sobre los problemas médicos
del paciente, diagnósticos, tratamientos y mucho más.
LAS MEJORES PRÁCTICAS:
Reduzca el Riesgo
con la MFA
Vulnerabilidades por Industria
La autenticación multifactor (MFA) es una arma
principal que las organizaciones esgrimen para
Sería un error suponer que todas las industrias se
aumentar la seguridad. Aunque los consumidores
vieron afectadas por igual. Algunas industrias eran
se están acostumbrando a la MFA, exigirles que
mucho más vulnerables a un tipo de ataque que
respondan a una solicitud de MFA (como un código
otras.
de acceso único) después de cada intento de inicio de
sesión crea experiencias de usuario torpes y molestas
• El comercio minorista experimentó el 99 % de los
que conducen a más problemas.
registros violados debido a ataques de terceros.
Redes Sociales
Las redes sociales representaron menos del 1
% de lasviolaciones en 2021 y, sin embargo, debido al
gran número de registros implicados, el sector pagó el
34 % del total de 744 mil millones de dólares en costes
de violaciones.
Industria de la salud
La industria de la salud representó el 24
% de las violaciones. Además de ser el objetivo más
popular, fue la industria más costosa por registro. El
coste por registro para recuperarse de una violación
en la industria de la salud aumentó de 474 dólares en
2020 a 614 dólares en 2021, de lejos el más alto de
cualquier sector.
Para proporcionar una experiencia de usuario de baja fricción con una fuerte seguridad, las empresas deben orquestar
experiencias de inicio de sesión seguras y personalizadas utilizando una plataforma de IAM infundida con IA, que detecta la
actividad inesperada y bloquea el acceso inapropiado utilizando técnicas de precisión que preservan el acceso y las experiencias
en líne a para los usuarios legítimos.
Como consecuencia del nivel de amenaza constante y de Otros sectores se enfrentaron a desafíos similares.
los activos en juego, más empresas británicas están La industria de la salud, las finanzas y la educación
tratando la ciberseguridad como una cuestión prioritaria representaron el 9,4 %, el 12 % y el 11 % de los ataques,
dentro de las discusiones de la alta dirección: la Encuesta respectivamente. La industria de la salud merece un análisis
del Gobierno del Reino Unido sobre violaciones de la más detallado: la pandemia de COVID ha provocado una
ciberseguridad de 2022 26 descubrió que el 82 % de las enorme tensión organizativa en el Servicio Nacional de
empresas lo hicieron en 2021, en comparación con el 77 % Salud (NHS) del Reino Unido, incluso en el ámbito de las TI,
en 2020. donde los equipos de ciberseguridad han tenido que
proteger una cantidad sin precedentes de datos sensibles
La industria de la salud combaten de lospacientes y del público, además de su cometido BAU.
Lo que está en juego es siempre la ciberseguridad, pero
tanto las amenazas médicas como las quizás nunca tanto como en la industria de la salud.
cibernéticas, ya que los sistemas
de TI se convierten en un objetivo No es de extrañar entonces que los líderes de los sistemas
de atención integrada del NHS recibieran un recordatorio
principal de los ciberataques en septiembre de 2021 por parte de su brazo tecnológico,
NHSX30 , para garantizar que todos los proyectos digitales
El panorama de amenazas al que se enfrentan las empresas fueran “ ciberseguros por diseño”.
en el Reino Unido es complejo. Análisis de los datos del
regulador independiente de datos del Reino Unido, el ICO,
que cubren las violaciones en 21 sectores durante el período El Reino Unido debe estar atento
de enero a septiembre de 2021, muestra que el comercio a los ataques de phishing como
minorista fue el área más vulnerable, comprendiendo el principal vector de amenaza que
20 % de todos los ataques. Este período coincidió con el
tercer lockdown nacional de COVID en el Reino Unido, una pone en riesgo los datos de identidad
de ransomware también creció “Big Game Hunting”: El BSI observó que numerosos
rápidamente, pasando de unos 5,3 mil grupos de hackers cambiaron su enfoque hacia objetivos
millones de euros en 2019 a 24,3 mil financieramente fuertes en una táctica a menudo llamada
“Big Game Hunting ”. En este esquema de ataque, los
millones de euros en 2021, un aumento ciberdelincuentes se centran en empresas con datos o
asombroso de más del 35035 activos de gran valor en sectores como la industria de la
salud, la administración pública o la fabricación. Se
dirigen a empresas que son sensibles al tiempo de
Las industrias más afectadas por las violaciones de datos Desafortunadamente, los australianos de mayor edad
fueron las de la salud, con 168 violaciones reportadas, fueron los más propensos a caer en estas estafas.
seguidas por las finanzas, con 113, y los servicios legales,
contables y de gestión, con 86. La industria de la salud ha
reportado continuamente el mayor número de violaciones
Aumento de la Inversión
desde el inicio del esquema deviolaciones de datos en Ciberseguridad
notificables (NDB).
La disminución de los informes generales sobre violaciones
Tanto el número de informes de la industria de la salud de datos podría explicarse por el aumento del gasto en
como el de finanzas disminuyeron un 29 % (238 en 2020) y ciberseguridad en 2021. Dado que a lo largo de 2020 se
un 27 % (155 en 2020), respectivamente. Por otro lado, los produjo un aumento de los servicios en línea a medida que
informes de servicios legales, contables y de gestión el mundo físico se trasladaba a la red, también se produjo
aumentaron un 34 % (64 en 2020), sustituyendo al sector de un aumento de la ciberdelincuencia. Como resultado, en
la educación a partir de 2020 como la tercera industria más 2021, las empresas comenzaron a aumentar su uso de
alcanzada. sistemas de ciberseguridad, ya que se esperaba que las
empresas australianas gastaran 4,9 mil millones de dólares
Por tercer año, la información de contacto personal australianos en ciberseguridad en 2021.48
(direcciones de casa, números de teléfono o direcciones
de correo electrónico) siguió siendo la información más El aumento del trabajo a distancia ha empujado a más
buscada en las violaciones de datos, comprendiendo 803 empresas en Australia a invertir en soluciones de trabajo
violaciones reportadas. Le siguen los datos de identidad híbrido de terceros, como el acceso a la identidad digital y
con 432, los de salud con 256, los financieros con 376 y las herramientas de colaboración, alojadas en plataformas
los fiscales con 184. En cuatro de las cinco categorías, el más seguras potencialmente a través de la nube, añadiendo
número de violaciones notificadas disminuyó de un año a más niveles de seguridad.
otro, con la mayor disminución del 13 % para los informes
de información de contacto. Los informes de violación Además, el gobierno federal australiano ha invertido más
del número de expediente fiscal se mantuvieron igual en en minimizar los riesgos de seguridad, desarrollando una
2020 y 2021. serie de estrategias de ciberseguridad. El más reciente es
el compromiso de destinar 1,67 mil millones de dólares
Entre las estafas relacionadas con la COVID observadas en australianos 49 a la ciberseguridad durante diez años en
2021 por la Comisión Australiana de la Competencia y del 2020. El país también ha invertido más en tecnología en
Consumidor46 se encontraban las que se hacían pasar por 2021, con una inversión de 1,2 mil millones de dólares
el gobierno y las de phishing . En la mayoría de los casos, australianos en economías digitales 50 y ciberseguridad,
se trata de mensajes de texto o de correo electrónico ofreciendo un mayor apoyo a las empresas que deseen
en los que se afirma que se trata de un departamento invertir en tecnologías digitales y creando mayores vías de
gubernamental que solicita datos personales para inversión en ciberseguridad.
confirmar que se puede recibir un pago del gobierno o
porque la persona puede haber estado expuesta a la COVID. A pesar de estas inversiones, es importante señalar que el
Además, Scamwatch 47 recibió más de 6.000 informes de número de incidentes sigue siendo elevado en relación con
estafa en los que se mencionaba el coronavirus, con más de los días previos a la pandemia, con un aumento del 10 %
9.800.000 dólares en pérdidas declaradas. respecto a 2018.
El siguiente método de ataque líder fue el acceso no ¿Por qué Es Tan Alto el Riesgo?
autorizado, que se utilizó en más de 3.600 casos en 2020,
frente a los 1.701 de 2019. La extorsión cibernética fue el A medida que las personas y las empresas siguieron
tercer método más común, utilizado en 245 ataques, frente equilibrando el trabajo desde casa o los acuerdos híbridos,
a los 68 del año anterior. y las empresas adoptaron tecnologías digitales para
garantizar la continuidad del negocio, estas tendencias
condujeron a más vectores e intentos de ciberataque.
Singapur vio un aumento significativo
A lo largo de los años, hemos visto cómo varias empresas
en el ransomware dirigido a los con sede en Singapur han sido objetivo de los hackers,
sectores de la fabricación, el comercio lo que ha dado lugar a una serie de violaciones de datos
minorista y la salud, con un total de 89 que afectan a los datos sensibles de los clientes, desde a
violación de datos de SingHealth en 2018 hasta la estafa
casos reportados a la CSA en 2020, un de phishing de OCBC a principios de este año. Hubo varios
aumento del 154 % con respecto intentos de explotar las vulnerabilidades individuales
a los 35 casos reportados en 2019. haciéndose pasar por organismos gubernamentales o de
salud, creando sitios web para el robo de credenciales, la
distribución de malware y la venta fraudulenta de curas y
vacunas falsas.
Por otro lado, las defecciones de sitios web experimentaron
un fuerte descenso en 2020. Algo menos de 500 sitios web La COVID también jugó un papel importante. El Ministerio
“. sg ” fueron desfigurados hace un año, un 43 % menos que de Trabajo (MOM)53 destacó tres grandes estafas que
los 873 casos de 2019. En 2020 se observaron unas 47.000 afectaron a los singapurenses en relación con las vacunas
URL de phishing únicas, un ligero descenso en comparación contra la COVID, los resultados de COVID falsos positivos
con el máximo histórico de tres años de 47.500 URL y las llamadas telefónicas que decían ser del MOM. Los
observado en 2019. estafadores buscaban los datos de contacto, la información
personal y los datos bancarios de los individuos; también
Síganos