Hace unos días se publicó el “2009 Data Breach Investigations Report” a cargo del “Verizon Business RISK team”. Según este informe, 2008 será recordado probablemente como un año turbulento para las empresas y los consumidores desde el punto de vista de la seguridad de la información, ya que, a las noticias relativas a los problemas económicos globales, se le suman algunas de las mayores violaciones de datos de la historia.
A continuación se presentan algunos de los aspectos que destaca el informe.
¿Quién está detrás de los incidentes de seguridad?
Siguiendo con la tendencia del 2008, la mayor parte (74%) tienen su origen en fuentes externas, mientras que el 20% provienen exclusivamente del personal interno de la organización. En el 32% de los casos, los propios partners de negocio estaban implicados en los incidentes. Y en el 91% de los casos, detrás del incidente se hallaba alguna organización con fines delictivos.
¿Cómo ocurren los incidentes?
En los casos más graves el atacante aprovechó un error de la víctima (67% de los casos), se introdujo en su red (64% de los casos) e instaló malware para recoger datos (38% de los casos). Algunas de las vulnerabilidades más relevantes a que hace referencia el estudio incluyen: SQL injection a través de las aplicaciones Web, acceso no autorizado mediante credenciales por defecto usadas para el acceso remoto de terceros, privilegios de usuario mal utilizados, etc.
¿Qué tienen en común?
Sólo el 17% de los ataques se consideran de un nivel de dificultad alto, si bien corresponden al 95% del volumen de información comprometida. Esto parece indicar que, aunque los atacantes prefieren los objetivos fáciles, una buena motivación les permite atacar con éxito objetivos difíciles. Por otra parte, casi todos los incidentes tuvieron lugar en el entorno on-line (servicios y aplicaciones Web, servidores, redes, …). El 69% de los ataques fueron descubiertos por terceras partes, lo que seguramente conllevó perjuicios de imagen. Y el 87% de los ataques podrían haberse evitado con sencillos controles.
