Un informe encargado por Apple esta semana ha destacado una vez más por qué los analistas han recomendado durante mucho tiempo el uso de cifrado de extremo a extremo para proteger datos confidenciales contra robos y usos indebidos.
El informe se basa en un estudio independiente de datos de violaciones reportados públicamente que un profesor del Instituto de Tecnología de Massachusetts realizó para el gigante tecnológico. Demostró que las campañas de ransomware y los ataques a proveedores de tecnología confiables contribuyeron a un fuerte aumento en las violaciones de datos y la cantidad de registros comprometidos en estas violaciones en los últimos dos años.
Miles de millones de registros comprometidos
En 2021 y 2022, las violaciones de datos expusieron la asombrosa cifra de 2.6 millones de registros personales, unos 1.5 millones de ellos solo el año pasado. Es probable que esa cifra sea aún mayor en 2023 si las tendencias de lo que va de año sirven de indicación.
El número total de filtraciones de datos solo en los primeros nueve meses de 2023 ya es un 20% mayor que el total de todo 2022. Las filtraciones corporativas e institucionales expusieron registros confidenciales pertenecientes a unos 360 millones de personas hasta finales de agosto de 2023.
Datos del Costo de una violación de datos en 2023 de IBM y un estudio de investigación separado de Forrester, citado en el informe de manzana, mostró que el 95% de las organizaciones que experimentaron una infracción reciente habían experimentado al menos otra infracción anterior. El setenta y cinco por ciento había experimentado al menos un incidente de compromiso de datos en los 12 meses anteriores.
Los ataques de ransomware y de proveedores contribuyeron en gran medida al fuerte aumento de las filtraciones de datos y al consiguiente compromiso de registros confidenciales. La cantidad de ataques de ransomware en los primeros nueve meses de 2023, por ejemplo, fue un 70 % mayor que en el mismo período de 2022. Alrededor de un 50 % más de organizaciones informaron haber experimentado un ataque de ransomware en la primera mitad de 2023 en comparación con 2022, y la cantidad parece tener una tendencia aún mayor en la segunda mitad del año.
El estudio también encontró que el 98% de las organizaciones actualmente tienen una relación con un proveedor de tecnología que ha experimentado al menos una filtración de datos reciente. Los ejemplos en el informe de infracciones que involucran a proveedores y tecnologías de proveedores que tuvieron un impacto en un amplio número de organizaciones e individuos incluyen algunos en Fortra, 3CX, Software de progresoy Microsoft.
"Esta creciente amenaza a los datos de los consumidores es consecuencia de la creciente cantidad de datos personales no cifrados que las corporaciones y otras organizaciones recopilan y almacenan, particularmente en la nube", dijo Apple en su informe. "Las organizaciones pueden reducir la probabilidad de que los piratas informáticos utilicen o vendan los datos de sus consumidores cifrando los datos almacenados en sus redes, haciéndolos legibles sólo por aquellos que tienen la clave para descifrarlos".
Las infracciones aumentan la necesidad de cifrado
La necesidad de que las organizaciones cifren los datos (mientras están en uso, en tránsito y en reposo) es un problema reconocido desde hace mucho tiempo. Pocos cuestionan la eficacia del cifrado de datos para proteger los datos robados contra el uso indebido y para hacer que los datos robados sean inútiles para quienes los roban. Varias regulaciones y mandatos de la industria, como PCI DSS, HIPAA, GLBA y el GDPR de la UE, requieren o recomiendan el cifrado, especialmente para los datos almacenados y los datos en tránsito.
"El cifrado representa una formidable defensa contra el acceso no autorizado a información confidencial", afirma Demi Ben-Ari, CTO y cofundador de Panorays. El cifrado hace que los datos sean ilegibles para partes no autorizadas, lo que reduce en gran medida el riesgo de exposición de los datos incluso en caso de una filtración de datos, afirma. "La fuerza del cifrado para hacer que los datos robados sean inútiles resalta su papel crucial como medida de protección básica".
Aun así, muchas organizaciones (como sugieren el estudio de Apple y el de otros) han seguido dando largas al asunto. cifrado de datos por una mezcla de razones. Estos incluyen la complejidad percibida de los sistemas de cifrado, el costo potencial involucrado, las preocupaciones sobre los impactos en el rendimiento y la falta de experiencia interna para administrar sistemas cifrados de manera efectiva, dice Craig Jones, vicepresidente de operaciones de seguridad de Ontinue.
Un desafío de moderado a difícil
"La implementación del cifrado de extremo a extremo puede variar desde moderadamente difícil hasta muy desafiante, dependiendo del tamaño de la organización, la infraestructura existente y los tipos de datos que se cifran", afirma Jones. "Requiere una planificación cuidadosa, inversión en las herramientas y tecnologías adecuadas y, a menudo, un cambio cultural en la forma en que se percibe y gestiona la seguridad de los datos". A menudo, la organización puede encontrarse con problemas relacionados con la gestión de claves, lo cual es un problema importante porque perder las claves puede significar perder el acceso a los datos de forma permanente. Las organizaciones también deben considerar los posibles impactos en el rendimiento relacionados con el cifrado y garantizar la compatibilidad con los sistemas y formatos existentes, afirma Jones.
La rápida y creciente adopción de la computación en la nube es otro factor que las organizaciones deben tener en cuenta al considerar planes de cifrado. Los datos que revisó el estudio de Apple mostraron que el 80% de las infracciones involucraban datos almacenados en la nube. Cifrar dichos datos puede ser más desafiante que cifrar datos localmente.
Las organizaciones que tienen buenas prácticas de seguridad suelen tener visibilidad total de sus redes heredadas, afirma Ken Dunham, director de amenazas cibernéticas de Qualys. "Pero cuando migran a la nube, a menudo pierden la capacidad de tener controles, visibilidad, gestión y operaciones similares para abordar los pros y los contras del cifrado en acción". La necesidad de que las organizaciones mantengan una red híbrida de tecnologías heredadas y modernas mientras completan iniciativas de transformación digital añade otra capa de complejidad, añade.
Un error que pueden cometer las organizaciones es confiar únicamente en proveedores de nube para el cifrado de datos, dice Ben-Ari: "Si bien los proveedores de nube ofrecen valiosas medidas de seguridad, las organizaciones deben asumir la responsabilidad directa de cifrar sus datos".
Recomienda que las organizaciones den prioridad a las tecnologías que sean fáciles de usar para facilitar una integración fluida; Las implementaciones graduales pueden minimizar aún más la interrupción de las operaciones diarias.
Y finalmente, recomienda que las organizaciones aprovechen el modelo de responsabilidad compartida que ofrecen muchos proveedores de nube y proveedores líderes de SaaS que permite a las organizaciones brindar a los usuarios muchas funciones de cifrado avanzadas con solo hacer clic en un botón.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/apple-25b-records-exposed-surge-data-breaches
