¿Datos sin cifrar? Una mina de oro para los Hackers

¿Cuántas veces has escuchado a alguien decir: «¿Si usted no está haciendo nada ilegal, entonces no tienes nada que esconder?» Y una respuesta podría ser «OK, entonces ¿me das tus contraseñas de inicio de sesión para todas sus cuentas de correo electrónico, incluidas las de uso personal? «

Es como un extraño pasando alrededor de su casa. Está bien, siempre y cuando usted no tenga nada que ocultar, ¿verdad? El punto es que, no importa lo que haya adentro, los contenidos de nuestros datos electrónicos deben estar protegidos y asegurados para que puedan ser usados únicamente por personas de confianza, de esta manera solo buscamos la tranquilidad de que hackers o delincuentes no puedan sacar ventaja de nuestra información.

Esta preocupación por la privacidad no sólo se aplica a los individuos. Aplica para las empresas también. Las empresas confían en la comunicación electrónica para enviar información confidencial, como facturas, registros de empleados, informes financieros y otros datos confidenciales. De hecho, las empresas actualmente envían más de 100 millones de correos electrónicos cada día, y ese número se proyecta a a casi 140 mil millones de correos electrónicos al día para el próximo año.

Si esta información se pone en las manos equivocadas, puede dar lugar a pérdidas devastadoras para la empresa, así como daños a su reputación. Por ejemplo, en 2013 y 2014, la empresa Target sufrió robos de aproximadamente 110 millones de registros de clientes en dos ataques separados. A principios del año pasado, un experto en seguridad descubrió que 272,3 millones de cuentas habían sido robadas a Google, Yahoo, Microsoft, y Mail.ru (servicio de correo electrónico más popular de Rusia).

En 2013, Yahoo sufrió una brecha que se cree que han impactado a más de 1 mil millones de usuarios. En septiembre de 2016, al menos 500 millones de cuentas de usuario de Yahoo se vieron comprometidos en una fuga masiva de datos que puede haber incluido los nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y contraseñas. En 2012, además se vieron comprometidos 165 millones de cuentas de LinkedIn.

Aunque diferentes tipos de ataque pueden haber sido utilizados en cada uno de estos casos, la información específica podría haberse protegido si los datos estuvieran cifrados. Por otra parte, todo lo que se necesita es que un host infectado con malware para permitir la interceptación y espionaje de contenido de correo electrónico confidencial si es que no cuenta con las medidas de seguridad necesarias.

Las infracciones cometidas por los piratas informáticos no son la única amenaza para los datos de la empresa. Los errores de usuario también representan una amenaza significativa. De acuerdo con el documento técnico » contenido cifrado – Aspectos clave a tener en cuenta » de Osterman Research, se citaron ejemplos de usuarios enviando por error contenido no cifrado:

• Un empleado de Nationstar Hipoteca, envió, por error, por correo electrónico copias de los formularios de clientes W-2 a un empleado de Greenlight Hipoteca, revelando números de la Seguridad Social, nombres, direcciones y otra información sensible.
• 845 pacientes de Salud del Condado de Tulare recibieron información sobre cómo acceder a la información de salud protegida (PHI) a través del portal de la administración médica debido a un error de los empleados.
• Los estudiantes graduados de la Escuela de Minas y Tecnología de Dakota del Sur recibieron inadvertidamente un archivo adjunto de correo electrónico que incluye los números de identificación de los estudiantes, el promedio de calificaciones y otra información de cerca de 350 compañeros de estudios.

Los costes de no proteger suficientemente los datos son altos. Los resultados del estudio realizado por el Instituto Ponemon muestran que el coste promedio de una brecha de seguridad en los Estados Unidos es de $201 dólares por registro de datos comprometido – $32 para la detección de la infracción y la notificación de los individuos afectados, $55 para los costes de control de daños, incluyendo honorarios legales, investigaciones, multas y remediación, y $114 en la pérdida de negocio debido al abandono de clientes.

Industrias reguladas como la de salud y servicios financieros tienen las violaciones de datos más costosos debido a las multas y a la tasa superior al promedio de los negocios y los clientes perdidos. Ya que además de las pérdidas financieras, las empresas también pueden sufrir daños en su reputación.

¿Cómo se podrían haber evitado estos incidentes? 

Si estas empresas hubieran cifrado sus datos, podrían haber impedido el acceso no autorizado a esta información confidencial en el caso de un robo. La cuestión importante es que el cifrado ayuda a proteger los datos corporativos y financieros de las empresas, así como los datos personales de sus empleados y clientes, ya que cuando los datos son encriptados, incluso si la cuenta de un usuario es comprometida, los datos seguirían siendo ilegibles para el hacker.

El cifrado también ayuda a las empresas a cumplir las estrictas regulaciones tales como FERPA, GLBA y el cumplimiento de PCI.  Las soluciones de cifrado también ofrecen el beneficio de una prueba de identidad cuando los mensajes de correo electrónico están firmados digitalmente, asegurando que el mensaje es auténtico y comprobado de haber sido enviado desde el remitente que indica el mensaje.

Un error común respecto del cifrado es pensar que sólo se necesitan para grandes empresas, sin embargo, las empresas pequeñas y medianas van en crecimiento y con frecuencia pueden ser mucho más afectadas debido a que empresa de gran tamaño puede ser capaz de sobrevivir financieramente una violación (aún con pérdidas significativas), mientras que una fuga de datos grave podría poner una pequeña empresa fuera del negocio. Esto es sólo una de las muchas razones por las que el cifrado es tan importante.

Uno de los retos más comunes para el cifrado es que tiene la reputación de ser difícil de usar, requiriendo intercambios de claves y una configuración extensa.  Pero no es así, herramientas como MDaemon ofrecen la función de cifrado del lado del cliente (a través de Virtru) y el cifrado del lado del servidor (a través de OpenPGP).

De manera que el servicio de cifrado del lado del cliente de Virtru está integrado en WorldClient, el cliente de correo web de MDaemon, y por lo que la instalación es tan fácil como marcar una casilla y verificar su identidad de usuario. Una vez habilitada la opción, es suficiente con seguir los pasos descritos para cifrar sus mensajes: Para el cifrado del lado del servidor, la configuración de OpenPGP es fácil de automatizar el cifrado para los mensajes.

Recordemos que ningún negocio es demasiado pequeño para proteger sus datos sensibles contra el robo. Si desea asegurarse que sus mensajes de correo y archivos adjuntos de la empresa están completamente asegurados, la mejor recomendación es el cifrado. Con unos pasos adicionales ahora puede protegerse de pérdidas financieras, de reputación y una gran cantidad de dolores de cabeza más adelante.

Si tienes dudas, comentarios no dudes en contactarnos.