Las filtraciones de datos informáticos son más costosas y tienen mayor impacto que nunca, con un costo promedio de 2,09 millones de dólares en América latina. Así lo revela un informe del área de seguridad del gigante tecnológico estadounidense IBM, denominado Cost of a Data Breach Report.

En la región, con un aumento de los costos por filtraciones de datos de casi un 15% comparado con el año anterior, los hallazgos sugieren que estos incidentes también contribuirían al aumento de los precios en bienes y servicios. De hecho, el 60% de las organizaciones a nivel global incrementaron los precios de sus productos o servicios debido a una filtración.Este aumento se da en el contexto en el que el costo de los bienes se dispara en todo el mundo por la inflación y los problemas de la cadena de suministro, entre otras causas. 

Los datos del informe fueron compartidos junto a otros estudios por ejecutivos de IBM en una visita que realizaron medios de prensa de América latina, entre ellos iProfesional, a las oficinas de la compañía en la ciudad estadounidense de Boston y a pocos centenares del famoso Instituto de Tecnología de Massachussets (MIT) y la Universidad de Harvard.

Víctimas repetidas del cibercrimen

En la visita a laboratorios y centros de control de la compañía para enfrentar los ciberataques, ejecutivos de IBM destacaron que la aplicación de inteligencia artificial puede potenciar la toma de decisiones predictivas. El tiempo promedio en la región para identificar y contener una filtración de datos fue de 331,5 días en 2022. Se trata de una reducción de casi 25 días en comparación con el año anterior.

Además, la continuidad de los ciberataques arroja luz sobre el "efecto perseguidor" que las filtraciones de datos tienen en las empresas. El informe de IBM revela que el 83% de las organizaciones a nivel mundial experimentaron más de una filtración de datos en su vida.

Por 12° año consecutivo, los participantes de la industria de salud en este informe sufrieron las filtraciones más costosas de todos los sectores a nivel mundial, seguida por los servicios financieros. En América latina, las industrias que observaron el mayor costo por registro en una filtración fueron salud y servicios financieros.

El estudio de IBM Security y Ponemon determinó que el 74% de las organizaciones atacadas no tenía un plan de respuesta ante incidentes de ciberseguridad.

Confianza cero, piedra angular de una estrategia ante el cibercrimen

"Durante muchos años, la industria financiera fue la más atacada en el mundo, pero en 2021 la manufactura pasó a ser la industria más agredida", afirmó Mike Barcomb, director ejecutivo del IBM Security Command Center.

El 45% de las empresas encuestadas en América latina tienen un nivel de adopción maduro de Zero Trust (enfoque de confianza cero). Este modelo de seguridad lleva a no confiar en ninguna entidad interna o externa que ingrese a su perímetro. Además, sólo permite dar el acceso estrictamente necesario a cada persona. Por ejemplo, el director general ejecutivo de una empresa no debe tener acceso a toda la información desde su teléfono móvil.

Esta estrategia es importante ya que entre las organizaciones con una implementación madura de Zero Trust en su arquitectura de seguridad y aquellas que recién comienzan, la diferencia de costos en la filtración fue de más de 1,5 millones de dólares. El informe patrocinado y analizado por IBM Security y realizado por Ponemon Institute, se basa en un análisis en profundidad de las filtraciones de datos experimentadas por 550 organizaciones a nivel mundial -66 de ellas de América Latina- entre marzo de 2021 y el mismo mes de 2022. Entre los hallazgos globales, se destacan los siguientes:

Infraestructura crítica

El ransomware (secuestro de datos y equipos) y los ataques destructivos representaron el 28% de las filtraciones en las organizaciones de infraestructuras críticas estudiadas. Esto pone de manifiesto que los atacantes buscan fracturar las cadenas de suministro globales que son la columna vertebral de la economía.

El costo global promedio de una filtración de datos para estas organizaciones fue de 4,82 millones de dólares, mayor que el promedio mundial de 4,35 millones de dólares. Casi el 80% de las organizaciones de infraestructuras críticas no adoptaron estrategias Zero Trust.

Por lo tanto, el costo medio de las filtraciones de datos aumenta hasta los 5,4 millones de dólares, un incremento de 24% en comparación con las que sí lo hacen. Además, en el 17% de las infracciones, un socio comercial se vio inicialmente comprometido, lo que pone de manifiesto los riesgos de seguridad que plantean los entornos de confianza excesiva.

En filtraciones de datos causadas por ransomware, el tiempo para identificar y contener es mayor que la media global.

No es rentable pagar el rescate

Las víctimas del ransomware del estudio que optaron por pagar el rescate sólo vieron una disminución de 630.000 dólares en el costo promedio de la filtración en comparación con aquellas que no lo hicieron, sin incluir el costo del rescate. Si se tiene en cuenta el elevado precio de los rescates (mayor a 800.000 dólares), el costo financiero puede ser aún mayor.

Esto sugiere que la acción de pagar el rescate, por si sola, no es una estrategia eficaz. Además, podrían estar financiando inadvertidamente futuros ataques con el capital que sería útil para esfuerzos de corrección y recuperación, e incluso se podría incurrir en posibles delitos federales. IBM Security X-Force descubrió que la duración de los ataques de ransomware descendió 94% en los últimos 3 años: pasó de 2 meses a menos de 4 días. Por lo tanto0, los equipos de seguridad tienen menos margen de acción.

En el caso de filtraciones de datos causadas por ransomware y ataques destructivos, el tiempo promedio para identificar y contener es mayor que la media global. Para un ransomware fue de 49 días más y en ataques destructivos fue de 47 días más, frente al promedio global de 277 días.

Factores y vectores en la filtración de datos

Las credenciales comprometidas continúan siendo la causa más común de una filtración (19%), con un costo promedio de 4,5 millones de dólares.  También tienen el ciclo de vida más largo: 327 días para identificar y contener.

El phishing fue la segunda (16%) y la más costosa, con un promedio de 4,91 millones de dólares en las organizaciones estudiadas. BEC (Business Email Compromise, el correo electrónico corporativo comprometido) alcanza 6% y es la segunda causa más costosa con 4,89 millones de dólares. Tres factores principales amplifican el costo de la filtración:

• Complejidad del sistema de seguridad.
• Migración a la nube.
• Fallas de compliance.

El phishing tuvo un costo promedio de 4,91 millones de dólares en las organizaciones estudiadas.

Profesionales, automatización e inteligencia artificial en seguridad

Las organizaciones que desplegaron por completo la automatización y la inteligencia artificial en seguridad incurrieron en un costo promedio menor y lograron un ahorro de 65,2% frente a las que no. Además, su tiempo de detección y contención es menor: 2,5 meses más rápido. El 62% de las organizaciones admitió no tener suficiente personal para cubrir las necesidades relacionadas con la seguridad.

Esto se traduce en una media de 550.000 dólares más en costos de filtraciones frente a las que sí cuentan con los recursos profesionales. El 73% de las empresas tiene planes de respuesta a incidentes, pero el 37% no lo prueba con regularidad.

Se observa un ahorro del 58% en costo promedio por filtración de datos para las organizaciones que tienen equipo de respuesta a incidentes y prueban en forma periódica su plan. El 44% de las organizaciones utilizan tecnologías XDR (Extended Detection and Response) y acortaron el ciclo de vida de las filtraciones en casi un mes. Además, ahorraron una media de 400.000 dólares.

Ventaja de la nube híbrida

Un 43% de las organizaciones estudiadas están en las primeras etapas o no empezaron a aplicar prácticas de seguridad para proteger sus entornos de nube. Las empresas con entornos maduros de seguridad en la nube ahorraron 16% en el costo promedio para las filtraciones de datos. Además, son capaces de detectar y contener más rápido: 40 días menos que el promedio global.

Las empresas que adoptaron la nube híbrida notaron costos menores (3,8 millones de dólares en promedio) en comparación con aquellas con un modelo de nube exclusivamente pública (5,02 millones de dólares) o privada (4,24 millones de dólares). De hecho, las organizaciones con un entorno de nube híbrida fueron capaces de identificar y contener las filtraciones de datos 15 días más rápido que la media global de 277 días.

Gabriel Catropa, director tecnológico operativo (CTO) de ciberseguridad de IBM Security en América latina, advirtió que en el último año, el 51 % de organizaciones encuestadas a nivel mundial sufrió ciberataques y reportó una filtración de datos que involucró la pérdida o robo de más de 1.000 registros con información confidencial o sensible de clientes o del negocio. El estudio de IBM Security y Ponemon determinó que el 74% de las organizaciones atacadas no tenía un plan de respuesta ante incidentes de ciberseguridad. Brasil, México y Perú encabezaron el podio de los países más atacados en América latina, región que ocupa el quinto lugar más atacada por cibercriminales.

Las empresas que adoptaron la nube híbrida notaron costos menores en comparación con modelos de nube pública o privada.

Una experiencia de filtración de datos

En sus oficinas en Boston, IBM dispone de una sala donde invita a sus clientes a vivir un incidente de ciberseguridad. La sala incluye pantallas grandes de TV donde aparecen imágenes del exterior de la empresa y la llegada de móviles periodísticos y la cotizació0n bursátil de la compañía afectada, además de teléfonos de voz sobre Internet donde se reciben llamados en tiempo real y diálogos con cronistas, clientes, y cibercriminales.

Los periodistas participaron de esa experiencia, que consiste en una filtración de datos inspirada en hechos reales, entre ellos el que afectó a la compañía Equifax. Incluye llamados en tiempo real de chantaje y amenaza de los ciberdelincuentes y de clientes afectados y la prensa.

Los participantes deben reaccionar para definir estrategias en la comunicación del incidente, el trabajo legal, la negociación con los criminales y bloquear la filtración. El simulacro de ciberataque tuvo como objetivo a una compañía financiera ficticia, Bane & Ox en el IBM X-Force Command Center.

Inteligencia artificial de ambos lados del mostrador

La adopción de la inteligencia artificial se acelera. Según el estudio IBM Global AI Adoption Index , 35% de las compañías ya la utilizan y 42% considera su aplicación. Pero la inteligencia artificial también es empleada por los criminales informáticos. "Vivimos en una nueva era de ciberseguridad", dijo Catropa. El ejecutivo señaló los siguientes ataques por inteligencia artificial:

• La esteganografía: la versión moderna del arte antiguo de ocultar mensajes u objetos detrás de una capa superficial de contenido. Cualquier archivo puede ser modificado para incluir código malicioso y, mediante esta técnica, saltar cortafuegos sin ser detectados.
• Automatización: se utilizar la inteligencia artificial para generar mensajes de automatización para fraudes ("phishing").
• Refinamiento: las redes neuronales son cada vez más "refinadas" para descifrar contraseñas. De acuerdo con Catropa, una contraseña de 12 caracteres ya se puede descifrar en un minuto.

Pero la inteligencia artificial también puede ser objetivo de ataque, a través de las siguientes técnicas:

• Poison: la inteligencia artificial aprende y puede ser corrompida con información no deseada. Un ejemplo de Poison fue Tay Chatbot, un bot de conversación creado por Microsoft para Twitter en 2016. Tay causó controversia porque fue "envenenada" y comenzó a enviar mensajes ofensivos.
• Evade: ataques del mundo real a la visión computacional, para biometría de reconocimiento facial y vehículos autónomos.
• Harden: algoritmos genéricos y aprendizaje por refuerzo para evadir detectores de malware.