Más de 30 estadísticas y hechos de violación de datos

Parece que cada vez que leemos las noticias en estos días, nos enteramos de la información de millones de personas que están siendo violadas. Entonces, ¿qué tan grave es el problema de las violaciones de datos y qué impacto tiene en las personas y las empresas? Revelamos el estadísticas y hechos de violación de datos más interesantes y recientes, muchos de los cuales son muy desconcertantes.

También veremos las leyes que rodean las violaciones de datos y lo que las personas pueden hacer para capear los efectos de una violación de datos. Vayamos a los hechos.

Estadísticas y hechos de violación de datos

Hemos recopilado las estadísticas y hechos más interesantes sobre la violación de datos de estudios recientes:

1. El 65% de las compañías estadounidenses han experimentado una violación de datos

El Informe de amenazas de datos de Thales de 2023 realizado por International Data Corporation (IDC) encuestó a 1,200 ejecutivos de nueve países, que representan una variedad de industrias. Encontró que casi dos tercios de las compañías estadounidenses han sufrido una violación de datos en el pasado, aunque este número podría ser mayor dado que muchas violaciones no se detectan durante largos períodos de tiempo. La cifra de EE. UU. Fue ligeramente superior a la cifra global del 60%.

2. California ha sufrido más violaciones de datos que cualquier otro estado en los últimos 10 años

Un estudio de Comparitech de 2023 analizó la cantidad de violaciones de datos experimentadas por las empresas en cada estado, así como la cantidad correspondiente de registros expuestos. California fue de lejos el líder con 1.493 violaciones y 5.600 millones de registros expuestos desde 2008. En segundo lugar estaba Nueva York con 729 violaciones y 293 millones de registros expuestos y el tercer lugar fue a Texas con 661 violaciones y 288 millones de registros expuestos.

4. Se produce un ataque de piratería cada 39 segundos.

Las computadoras analizadas en un estudio de la Universidad de Maryland fueron atacadas en promedio 2,244 veces por día. Esto significa que una sola computadora podría estar bajo ataque más regularmente que una vez por minuto.

4. Las empresas que han experimentado un incumplimiento tienen un rendimiento inferior al mercado en más del 15% tres años después

Un estudio de Comparitech de 2023 examinó los precios de las acciones de 24 compañías que cotizan en la Bolsa de Nueva York que habían experimentado importantes violaciones de datos. Descubrimos que después de dos semanas (desde la fecha en que se hizo pública la violación), los precios de las acciones habían caído en un 2,89% en promedio. Aunque los precios de las acciones tienden a recuperarse después de eso, cuando observamos los resultados a largo plazo, encontramos que los precios de las acciones de las compañías afectadas no se mantuvieron al día con el promedio NASDAQ. Un año después de la infracción, las empresas tuvieron un rendimiento inferior al NASDAQ en un 3,7% y después de tres años, las empresas tuvieron un rendimiento inferior al NASDAQ en un 15,58% en promedio.

5. El 36% de las empresas estadounidenses han experimentado una violación de datos en el último año.

En el último año, el estudio de IDC anterior encontró que más de un tercio de las compañías estadounidenses informaron haber sufrido una violación de datos. Nuevamente, esto podría ser mayor debido al potencial de infracciones aún no detectadas. La cifra global fue ligeramente inferior al 30%..

Fuente: Thales

6. La mitad de las organizaciones gastan solo del 6 al 15% de su presupuesto de seguridad en seguridad de datos

Una de las principales conclusiones del estudio de IDC fue que, a pesar de la amenaza masiva que representan las violaciones de datos, muchas organizaciones no asignan gran parte de su presupuesto a la seguridad de los datos.

7. 43 por ciento de las violaciones de datos afectaron a las víctimas de pequeñas empresas

El Informe de investigaciones de violación de datos de Verizon 2023 se basa en el análisis de más de 40,000 incidentes de seguridad, incluidas más de 2,000 violaciones de datos confirmadas. Nos proporciona una gran cantidad de datos interesantes, incluido quién está involucrado en violaciones de datos. Casi la mitad de los ataques afectan a las pequeñas empresas, mientras que el 15 por ciento de las violaciones de datos afectan a las organizaciones de atención médica, y el 10 por ciento de las violaciones de datos involucran a empresas del sector financiero.

Fuente: Verizon

8. Los grupos del crimen organizado son responsables del 39 por ciento de las infracciones.

El informe de Verizon también ofrece información sobre quién es responsable de los ataques. Curiosamente, más de un tercio de las infracciones involucran grupos del crimen organizado. También es de destacar que más de un tercio afectan al personal interno y más de dos tercios involucran a extraños. No es sorprendente que el 71 por ciento de las violaciones de datos estén motivadas financieramente.

9. El 32% de las violaciones de datos implican ataques de phishing

En su estudio, Verizon buscó descubrir cómo ocurren las infracciones y encontró que casi un tercio involucra ataques de phishing, el 52 por ciento implica piratería y el 28 por ciento se centra en el malware.

10. El tiempo de descubrimiento para el 56% de las violaciones de datos es de meses o más.

¿Se pregunta cuánto tardan las empresas en descubrir y reaccionar ante las infracciones? El informe de Verizon revela que no es tan rápido como quisiera, especialmente teniendo en cuenta que las credenciales robadas están involucradas en el 29% de las infracciones. Con más de la mitad de las empresas que tardan meses en descubrir una violación, para cuando una empresa emite una explosión de correo electrónico diciéndoles a los clientes que cambien sus contraseñas, ya podría ser demasiado tarde.

11. 4.800 sitios web por mes están comprometidos con el código de formjacking

El pirateo de formularios involucra a delincuentes que usan el código JavaScript para secuestrar formularios de pago de sitios web como los que se encuentran en sitios de comercio electrónico. También conocido como descremado de tarjeta digital, se utiliza como un medio para robar información de la tarjeta de crédito, así como otros datos valiosos. Según el Informe de amenazas de seguridad de Internet de Symantec de 2023, los delincuentes pueden ganar $ 2.2 millones por mes al robar 10 conjuntos de datos de tarjetas de crédito de cada sitio comprometido.

Fuente: Symantec

12. Los ataques de ransomware empresarial aumentaron un 12%

Los ataques de ransomware (que retienen archivos o sistemas como rehenes) representan una gran amenaza para la seguridad de los datos. Según Symantec, mientras que el número total de ataques de ransomware ha bajado un 20 por ciento, el número de ataques empresariales está aumentando.

13. Las notas médicas y las recetas alcanzan $ 15–20 en la economía clandestina

El informe de Symantec ofrece una visión intrigante de la economía sumergida, lo que ayuda a mostrar lo que podría suceder con los datos una vez que se hayan violado. Otros ejemplos incluyen registros médicos robados (por un valor de $ 0.10– $ 35.00), cuentas de compras minoristas (valoradas en $ 0.50– $ 99.00) y cuentas en línea de teléfonos móviles (obteniendo $ 15.00– $ 25.00).

14. Los paquetes de identificación completa se venden por $ 30– $ 100 en el mercado negro

Un paquete de identificación completo comprende varias piezas de PII, como nombre, dirección, número de teléfono, número de seguro social, dirección de correo electrónico y número de cuenta bancaria.

Fuente: Symantec

15. Las infracciones de datos en las redes sociales representaron más del 50% de los registros de datos comprometidos en los primeros seis meses de 2023

Según los informes, el número total de registros de datos violados durante ese período fue de 4.500 millones. Más del 56 por ciento de ellos se debieron a infracciones relacionadas con plataformas de redes sociales. Estos incluyeron el escándalo de Facebook-Cambridge Analytica, otros incidentes de Facebook y una violación relacionada con la ya desaparecida plataforma de Google+.

16. Se informaron 635 violaciones de datos de EE. UU. En 2023

Según Privacy Rights Clearinghouse, 8.871 violaciones de datos que afectan a empresas o clientes de EE. UU. Se han hecho públicas desde 2005. Los números más altos registrados fueron en 2012, 2013 y 2014 (885, 890 y 868 respectivamente).

17. La mayor violación de datos de 2023 afectó a hasta 500 millones de personas

La violación de Marriott International fue la violación más grande registrada en 2023. No muy lejos quedó la violación de Exactis que filtró 340 millones de registros..

18. $ 3.86 millones es el costo promedio de la violación de datos

El estudio IBM 2023 Cost of a Data Breach Study se centró en entrevistas con más de 2.200 profesionales de casi 500 empresas de todo el mundo. Todas las empresas representadas habían experimentado una violación de datos dentro de los 12 meses anteriores. Aunque el número total de violaciones de datos reportadas parece estar disminuyendo con el tiempo, las violaciones individuales se están volviendo más costosas y conllevan la pérdida o el robo de un número cada vez mayor de registros de consumidores. De todas las infracciones examinadas en el estudio, el costo promedio de una infracción fue de $ 3.86 millones un 6.5% más que el año anterior. Este costo incluye cosas como negocios perdidos, costos de notificación y otros daños.

19. Cada registro robado en una violación de datos representa un costo de $ 148

El mismo estudio de IBM encontró que el costo promedio de un registro robado es de $ 148, un aumento de 4.8 por ciento desde $ 141 en el año anterior.

20. El empleo de un equipo de respuesta a incidentes puede reducir el costo promedio de una violación de datos en $ 14 por registro

Otra estadística interesante de este estudio fue que contratar un equipo de respuesta a incidentes no afectó en gran medida el costo. A $ 14 por registro, esto es solo un ahorro promedio de alrededor del 10 por ciento.

Fuente: IBM

21. La pérdida de negocios debido a una violación de datos para una organización estadounidense cuesta en promedio $ 4.2 millones

IBM desglosó el costo de los negocios perdidos para una organización basada en el país en el que opera. Las violaciones de datos tienden a costar a las empresas estadounidenses mucho más de lo que les cuestan a las empresas en otras regiones (el segundo más alto fue un promedio de $ 2.18 millones). Se cree que esto se debe en parte a la mayor dificultad para preservar la lealtad del cliente en los EE. UU., Donde existen tantas opciones alternativas para la mayoría de los productos y servicios..

22. Una violación que involucra 1 millón de registros cuesta un promedio de $ 40 millones

Para poner las cosas en perspectiva, IBM revela el costo promedio de una violación de un tamaño determinado (en términos de registros). Una mega violación que afecta a 50 millones de registros cuesta un promedio de $ 350 millones

23. El error humano es la causa del 27% de las violaciones de datos

No siempre los ciberdelincuentes son responsables de las violaciones de datos y, según IBM, más de una cuarta parte de las violaciones podrían haberse evitado.

24. Se tarda un promedio de 197 días en detectar una violación

Si bien esta es la cifra de IBM en todas las industrias, las empresas de la industria del entretenimiento son las más lentas, ya que tardan un promedio de 287 días en detectar una violación de datos. En todas las industrias, el tiempo promedio para contener una violación es de 69 días..

25. 41 por ciento de las empresas dejan más de 1,000 archivos confidenciales abiertos para cualquier persona

El Informe Global de Riesgo de Datos Varonis 2023 examina las Evaluaciones de Riesgo de Datos (que cubren más de 6 mil millones de archivos en total) realizadas por ingenieros de Varonis, para determinar el alcance de la exposición de información crítica y sensible dentro de las empresas. Un área de interés es la cantidad de carpetas que están abiertas para que cualquier persona de la empresa las vea. El 21 por ciento de todas las carpetas se dejan abiertas y el 58 por ciento de las empresas tienen más de 100,000 carpetas abiertas. Pero quizás lo más preocupante es cuando los archivos confidenciales se dejan abiertos. Los archivos confidenciales incluyen aquellos que contienen cosas como información de tarjetas de crédito, registros de salud o información regulada, como la que está sujeta a GDPR, PCI o HIPAA. De hecho, el estudio encontró que 41 de las compañías tienen más de 1,000 archivos confidenciales disponibles para que cualquiera pueda verlos..

Fuente: Varonis

26. 57 por ciento de las compañías tienen permisos inconsistentes asociados con más de 1,000 carpetas

El mismo estudio de Varonis encontró problemas con permisos inconsistentes. Los permisos inconsistentes se producen en situaciones en las que los archivos o carpetas heredan un control de acceso adicional o no heredan los controles de acceso. Lo primero puede dar lugar a que se otorgue acceso a los usuarios cuando no deberían hacerlo y representa un riesgo para la seguridad. Cuando los archivos no pueden heredar los controles de acceso, los usuarios pueden verse privados de acceso involuntariamente, lo que también puede causar problemas. Con el 57 por ciento de las compañías que tienen más de 1,000 carpetas con permisos inconsistentes, esto significa que la mayoría de las compañías no saben exactamente quién tiene acceso a ciertos datos.

27. En 2023, el número de registros PII expuestos aumentó 126% desde 2023

El Centro de recursos de robo de identidad (ITRC) examina las divulgaciones de violación de datos disponibles públicamente y publicó sus hallazgos clave para 2023. Si bien descubrió que el número total de violaciones de datos disminuyó un 23 por ciento en 2023 en comparación con 2023, el número de registros que contienen información de identificación personal ( PII) subió drásticamente.

Fuente: ITRC

28. El sector empresarial experimentó la mayor cantidad de violaciones de datos en 2023

ITRC analiza qué sectores experimentan la mayoría de las infracciones. El sector empresarial lideró el paquete con 571 infracciones, y en segundo lugar fue el campo de la salud con 363 infracciones en 2023.

29. En 2023, los atacantes se centrarán en la piratería biométrica para facilitar la violación de datos

Experian Information Solutions utiliza su vasta experiencia en seguridad de datos para hacer predicciones para el campo de violación de datos. Una de las predicciones principales en su Pronóstico de la industria de violación de datos de 2023 es que los piratas informáticos se centrarán en exponer las vulnerabilidades en los sistemas de autenticación biométrica, como los sensores de identificación táctil y el software de reconocimiento facial.

30. El descremado de tarjetas digitales está configurado para causar pérdidas masivas para las principales empresas

Otra idea interesante del pronóstico de Experian es que el descremado de la tarjeta continuará evolucionando. Anteriormente mencionamos que casi 5.000 sitios por mes son atacados con malware de robo de tarjetas (también conocido como formjacking). Estos tipos de ataque han evolucionado a partir de ataques físicos fuera de línea mediante los cuales los lectores de tarjetas se utilizan para registrar información de tarjetas de cajeros automáticos y puntos de venta. Los ciberdelincuentes han llevado el robo de tarjetas al siguiente nivel mediante el uso de malware para atacar cajeros automáticos y sistemas informáticos. El malware de descremado ya se ha utilizado para atacar con éxito a grandes empresas como British Airways, Ticketmaster y Newegg, pero Experian predice que la técnica probablemente se volverá más refinada en el futuro cercano. Específicamente, ve un ataque contra una importante institución financiera que sucederá pronto.

Fuente: Experian

31. Es solo cuestión de tiempo antes de que un proveedor superior de la nube sea violado

Una observación más de Experian que puede alarmar a los usuarios de la nube es que los sistemas en la nube están actualmente muy poco supervisados. Esto allana el camino para que los ciberdelincuentes intervengan y lancen un ataque potencialmente catastrófico que podría afectar a varias compañías importantes a la vez..

32. Los ataques cibernéticos y el fraude o robo de datos se mencionan como algunos de los mayores riesgos mundiales

El Informe Global del Foro Económico Mundial 2023 describe los mayores riesgos mundiales, incluidos los desastres naturales y las armas de destrucción masiva. En términos de probabilidad, el fraude y el robo de datos ocupan el cuarto lugar y los ataques cibernéticos son el número cinco. Los ataques cibernéticos ocupan el séptimo lugar en términos de impacto, por delante de los desastres ambientales provocados por el hombre y la propagación de enfermedades infecciosas..

Fuente: WEF

Informe de violaciones de datos

Hasta hace poco, era común enterarse de una violación de datos mucho después de que ocurriera. Podríamos saber de una violación masiva meses o incluso años después del hecho. En algunos casos, esto podría deberse a que la propia empresa no descubrió la violación durante mucho tiempo. Sin embargo, en otros casos, ha salido a la luz que las empresas tienen infracciones ocultas o los hechos que las rodean, para evitar daños a la reputación de la empresa.

Por ejemplo, en 2023, se reveló que Uber había encubierto una violación de datos de 2016 que afectaba a 57 millones de clientes. Y recientemente, en octubre de 2023, Google admitió una violación de datos que afecta a medio millón de usuarios que había comenzado tres años antes y fue descubierta en marzo de 2023.

Obviamente, no notificar a los clientes sobre una violación representa un gran amenaza a la privacidad ya que no sabrán tomar medidas para mitigar cualquier daño potencial. Por ejemplo, si sabe que su contraseña ha sido violada, entonces cambiará su contraseña.

Para proteger el derecho de los ciudadanos a saber cuándo se ha violado su privacidad, muchos países ahora tienen leyes firmes exigir lo que las empresas deben hacer en caso de una violación de datos descubierta. Estas leyes se centran en informar sobre el incumplimiento y notificar a los clientes, pero también pueden abarcar aspectos como cómo se debe registrar y almacenar la información sobre el incumplimiento.

Por ejemplo, a fines de 2023, Canadá realizó cambios en The Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), que describe exactamente cómo las organizaciones sujetas a la ley deben reaccionar ante una violación de datos. También en 2023, Alabama se convirtió en el estado final en los EE. UU. Para promulgar una ley de notificación de violación de datos.

Ver más estadísticas:

• Estadísticas de seguridad cibernética
• Estadísticas de robo de identidad
• Estadísticas de phishing
• Estadísticas de ransomware
• Estadísticas de spam del teléfono
• Estadísticas de acoso cibernético
• Estadísticas de VPN

¿Qué pueden hacer las personas sobre las violaciones de datos??

Las personas dependen en gran medida de las empresas para salvaguardar su información. También confían en que serán notificados lo antes posible después de que se descubra una violación. Dicho esto, hay algunos pasos que puede seguir para proteger sus datos:

• Use contraseñas fuertes y únicas: De esta manera, incluso si alguien tiene su nombre de usuario o correo electrónico, será difícil para ellos entrar en una cuenta. Las cadenas largas de letras, números y símbolos son una buena idea. Las contraseñas también deben ser exclusivas de cada cuenta para evitar que los hackers usen la información de inicio de sesión de una cuenta violada en otras cuentas, un ataque conocido como relleno de credenciales. Puede usar un administrador de contraseñas para ayudarlo a generar y recordar contraseñas.
• Adherirse a las advertencias: Si se entera de una violación en las noticias o recibe una notificación de una empresa con la que trata, actúe de inmediato. Cambie su contraseña de inmediato y descubra qué información puede haber sido violada para que pueda tomar medidas. Por ejemplo, si su número de tarjeta de crédito puede haber sido filtrado, es posible que desee reemplazarlo.
• Cuidado con los correos electrónicos de phishing: Aunque debe tomarse en serio las notificaciones de incumplimiento, tenga en cuenta que esta también podría ser una táctica utilizada por los ciberdelincuentes. Los estafadores pueden enviar correos electrónicos de phishing (bajo la apariencia de correos electrónicos de restablecimiento de contraseña) que conducen a sitios falsos (phishing), diseñados para robar información como credenciales de inicio de sesión. Si recibe un correo electrónico de restablecimiento de contraseña, asegúrese de que sea legítimo comprobando si hay signos comunes de un correo electrónico de phishing, como el nombre de una empresa mal escrita o una gramática deficiente. También puede omitir los enlaces por completo e ir directamente al sitio web de la empresa para cambiar su contraseña.
• Busque sitios seguros: Cuando realice actividades en línea, especialmente aquellas que involucren información financiera o personal, asegúrese de estar utilizando un sitio web confiable (uno que comience con https: //). Incluso si ve un buen trato, no vale la pena entregar su información de pago a una empresa que no va a proteger sus datos.
• Use una VPN: Evite cosas como la banca en línea y las compras cuando esté conectado a redes wifi públicas. El uso de una VPN puede encriptar su conexión y mantener sus datos a salvo de los piratas informáticos y otros intrusos, incluso en wifi sin protección.
• Utilice la autenticación de dos factores (2FA): Si sus credenciales están expuestas en una violación de datos, 2FA o la verificación en dos pasos (2SV) pueden evitar que un delincuente acceda a su cuenta.
• Utilizar he sido pwned?: Regístrese en este sitio web para recibir una notificación rápida en caso de que su dirección de correo electrónico haya estado involucrada en una violación de datos. Tenga en cuenta que debe registrarse por separado para cada dirección de correo electrónico que use.
• Monitoree sus cuentas: No siempre se puede confiar en que una institución financiera o plataforma de pago detectará algo mal con su cuenta. Revise los estados de cuenta regularmente para asegurarse de que nadie tenga acceso y revise su informe de crédito para asegurarse de que no se hayan abierto nuevas cuentas a su nombre. No se olvide de verificar las cuentas de fidelidad y recompensa también; a menudo se olvidan, pero pueden ser de gran valor para los delincuentes. Los servicios de protección contra robo de identidad pueden automatizar algunas de estas verificaciones.