En términos sencillos, una brecha de datos es una incidencia de seguridad en la que un individuo o grupo no autorizado adquiere acceso o roba información confidencial protegida. Esto puede incluir desde información personal como nombres, direcciones, detalles de tarjetas bancarias, números de seguridad social hasta información clasificada como registros médicos, expedientes policíacos o documentos gubernamentales. 

Las filtraciones de datos pueden darse a través de distintos medios como el hackeo, el phishing u otros ataques de ingeniería social, el malware o incluso el robo físico de bienes y documentos. Por lo tanto, prevenir la incidencia de las brechas de datos va de la mano con una sólida estrategia de ciberseguridad y prevención del fraude holística que atienda varios de estos puntos, un punto muy importante que abordaremos más adelante en este artículo. 

¿Cuáles son los costos potenciales de las brechas de datos?

Se puede hacer una distinción de los costos asociados a las filtraciones de datos en dos grupos principales: los costos directos y los indirectos. Los primeros se refieren a todos los costos directos e inmediatos de una brecha de datos, mientras que los costos indirectos (también llamados costos ocultos) comprenden las consecuencias a largo plazo que pueden tener un impacto negativo en la operación, reputación y salud financiera de una organización. 

Echemos un vistazo más profundo a cada grupo.

Costos directos de las brechas de datos

La pérdida de ingresos: Se trata de una consecuencia evidente. Si una filtración de datos resulta en robos de cuentas, los usuarios afectados no podrán realizar compras o transaccionar con la organización, lo que representa una pérdida inmediata para el negocio. Del mismo modo, los cargos no autorizados comprometen las finanzas de una organización porque tienen el riesgo de perder tanto la venta como el producto o servicio que fue ilegalmente adquirido. 

Investigación y respuesta: Los negocios afectados deben realizar las investigaciones pertinentes para determinar la causa y el alcance de la brecha de datos, así como identificar a las partes afectadas. Esto puede involucrar la contratación de un equipo forense o expertos en seguridad cibernética que investigue la filtración, lo que puede conllevar una fuerte inversión de tiempo y recursos.

Notificación y remediación: Todas las organizaciones tienen la obligación de notificar a las partes afectadas por una filtración de datos, ya sean clientes o los propios empleados. Además, el proceso de remediación de los daños también se suma a la larga lista de costos asociados con estas incidencias de seguridad. 

Multas y honorarios legales: Finalmente, otro de los costos directos de una filtración de datos es la que proviene de la acción legal. Los negocios pueden hacer frente a demandas de las partes afectadas, los órganos regulatorios o incluso los inversionistas, lo que puede conllevar un fuerte gasto en honorarios legales. Y por si fuera poco, ya que una brecha de datos abre la puerta de par en par para que ocurran todo tipo de crímenes financieros, pueden existir multas regulatorias si se detecta que la compañía no cumplió con las regulaciones de protección de datos; por ejemplo, no contar con un software contra el lavado de dinero o un protocolo adecuado para proteger la información personal de los usuarios. 

Costos indirectos de las brechas de datos

Daño a la reputación: Las filtraciones de datos pueden perjudicar significativamente la reputación de un negocio o una institución. En la opinión de las partes afectadas, toda la culpa recae sobre la organización pues da la impresión de que no cuenta con la inteligencia y prevención necesarias para garantizar el manejo seguro de la información personal. Esto puede tener consecuencias graves tanto en las finanzas como en el valor de marca

Disminución de la productividad: Todos los mecanismos que se tienen que accionar tras una brecha de datos pueden interrumpir las operaciones de un negocio, afectando en última instancia la productividad y las ganancias. 

Perfil de riesgo más elevado: Las incidencias de seguridad dejan una huella en el historial de una organización. Esto puede tener consecuencias insospechadas a la hora de asociarse o formar alianzas con otras instituciones que deben ser cuidadosas de entablar relaciones con negocios propensos al fraude o los crímenes financieros. Por ejemplo, las principales redes de tarjeta y pasarelas de pago pueden aplicar tabuladores más estrictos o incluso negar el servicio a plataformas o negocios con una tasa elevada de fraude.  

Cómo prepararse para afrontar los costos de las brechas de datos

Aunque es imposible prevenir en un 100% las brechas de datos, existen pasos que los negocios pueden tomar para estar preparados para afrontar las consecuencias financieras que hemos visto. Estas van desde medidas sencillas como concientizar a los empleados y usuarios de la importancia de su información personal hasta la implementación de planes de respuesta completos. 

A continuación, ofrecemos una lista de consejos prácticos que organizaciones de todas las industrias pueden aprovechar:

  1. Educar a los empleados en materia de ciberseguridad: La mitigación del riesgo comienza desde casa. Capacitar a los empleados sobre los riesgos a los que se pueden enfrentar en el desempeño de sus labores y las mejores prácticas de ciberseguridad es una de las maneras más efectivas y asequibles de prevenir, no solo las filtraciones de datos, sino todo tipo de ataques e intentos de fraude. 
  2. Implementar protocolos sólidos de autenticación: Las contraseñas que utilizan tanto empleados como usuarios deben ser complejas y únicas, y actualizarse periódicamente. Además, los métodos de autenticación reforzada (e.g. 2FA o MFA) ofrecen una capa adicional de protección. 
  3. Limitar el acceso a datos confidenciales: Únicamente los empleados autorizados deberían tener acceso a los datos confidenciales, y este acceso debe notificarse a los departamentos pertinentes. Esto ayuda a limitar el riesgo de las brechas de datos provocadas por amenazas internas.
  4. Implementar un sistema de prevención del fraude: Actualmente existe una gran variedad de soluciones de ciberseguridad que ayudan a automatizar la detección de accesos no autorizados, el ingreso de usuarios sospechosos y las conexiones potencialmente riesgosas. Además, estos servicios proporcionan información valiosa a los equipos internos de gestión de riesgos para fortalecer sus estrategias de prevención. 
  5. Contratar un seguro cibernético: Incluso aquellas instituciones con los protocolos de ciberseguridad más rigurosos pueden ser víctimas de una filtración de datos. Ante esta inevitabilidad, un seguro contra riesgos cibernéticos puede ayudar a mitigar significativamente la carga financiera para la organización afectada. 
  6. Definir un plan de respuesta: Intentar determinar los pasos a seguir después de sufrir una brecha de datos puede agudizar aún más las consecuencias para la institución afectada. Por ello, es vital desarrollar un plan de respuesta robusto y completo para tener una guía clara en el caso desafortunado de sufrir una filtración de datos a pesar de haber tomado todas las medidas necesarias.

Casos de éxito en la gestión de las brechas de datos

Históricamente han existido filtraciones de datos dramáticas en varias de las empresas más grandes y exitosas del mundo, algo que evidencia todavía más el hecho de que todas las organizaciones, sin importar su tamaño, están expuestas. Sin embargo, la gestión exitosa de una filtración hace toda la diferencia en cuanto a la supervivencia de una empresa ante las consecuencias financieras de una brecha de datos. Veamos algunos de los ejemplos más sonados: 

LinkedIn

En 2021, este unicornio del mundo de las redes sociales sufrió una brecha de datos de más de 700 millones de cuentas según el propio cibercriminal detrás de este incidente, quien se aprovechó de la API de la propia red social así como de las extensiones de otros proveedores para extraer datos de usuario. En respuesta a esta situación, LinkedIn investigó el hecho y determinó que los datos privados de los miembros no habían sido expuestos, y además de actualizar sus términos de uso, también publicó un listado del software y las extensiones prohibidas para evitar más situaciones como esa. La comunicación con su base de usuarios siempre fue abierta y oportunamente, y hoy en día sigue liderando el ámbito de las redes sociales para profesionistas. 

Adobe

Durante el 2013, Adobe reportó inicialmente que más de 3 millones de credenciales de acceso de cuentas habían sido comprometidas, lo que incluía los datos de tarjeta de crédito de los usuarios. Tras las primeras investigaciones, esta cifra aumentó a la dramática cifra de 38 millones de usuarios. La empresa reconoció que sus protocolos de seguridad fueron deficientes ya que utilizaban la misma llave de encriptación para todas sus cuentas. 

Al final del caso, Adobe tuvo que pagar la cantidad de 1.2 millones en gastos y honorarios legales más una cantidad no publicada en compensación a los usuarios afectados. A pesar de que esta filtración tuvo consecuencias financieras, podemos considerar esto como un caso de éxito ya que en su momento incluso se hablaba de una posible quiebra de la compañía ante la severidad del caso. Actualmente, el caso está completamente resuelto, y la compañía de software tiene goza de una base de más de 22 millones de suscriptores según un informe del 2022. 

Consideraciones finales

Como vimos, las brechas de datos pueden tener un impacto financiero muy significativo para las empresas, pero existen medidas para hacer frente hasta los peores escenarios. Contar con un plan de respuesta sólido, gozar de la protección de un seguro cibernético y sistemas de ciberseguridad, capacitar a los empleados y aprender de la experiencia de otras compañías que han gestionado con éxito casos de brechas, las instituciones pueden minimizar los daños y operar con una mayor tranquilidad.