Nombres de usuario, correos electrónicos y contraseñas son sólo algunos de los datos que han quedado expuestos por las compañías tras sufrir episodios de vulneración o ataques vinculados a su ciberseguridad.
El estudio realizado por Nordpass, especializada en la gestión de contraseñas, analizó las filtraciones ocurridas desde 2019 a la actualidad y dónde se ubican estas organizaciones, ya sean públicas, privadas o sin ánimo de lucro.
De las 10.000 compañías responsables de exponer datos a hackers que el informe ha detectado, España quedó en el séptimo lugar a nivel mundial entre los países con más filtraciones, con 257 empresas, que representan un 3% del total.
En el primer puesto se encuentra Estados Unidos, con cerca de 2300 empresas, y le siguen India y el Reino Unido, con unas 750 y 600 respectivamente. En cuarto y quinto lugar aparecen Alemania y Francia, con alrededor de 450 organizaciones vulneradas. En el sexto puesto se encuentra Brasil, con 396 organizaciones. Y completan los diez primeros puestos, Canadá, Italia y China con menos de 200.
“En un entorno cibernético en constante desafío, las empresas ya no pueden permitirse el lujo de almacenar los datos de los consumidores en texto plano en Excel o descuidar de otro modo las prácticas básicas de ciberseguridad. Para evitar riesgos financieros y de reputación, las empresas deben considerar un deber personal garantizar que los datos de los clientes están protegidos contra las amenazas online, aunque la legislación aún no exista”, afirma Tomas Smalakys, CTO de NordPass.
El Reglamento General de Protección de Datos (RGPD) obliga a las empresas de la Unión Europea, Liechtenstein, Noruega e Islandia a manejar la información de los clientes de forma más responsable, lo que podría explicar que no haya más naciones europeas entre los 10 primeros puestos.
La lupa en España
Entre las compañías españolas registradas en el estudio, los investigadores encontraron que las que peor cuidan los datos de sus clientes son las minoristas, y le siguen las empresas de entretenimiento y servicios al consumidor con un número similar de incidentes de ciberseguridad. Otros sectores responsables de filtraciones en España son la educación, la tecnología y la fabricación.
Si el análisis se enfoca en el tipo de organización, las más atacadas por los hackers han sido las empresas privadas, y constituyen más de un tercio del total de las afectadas. En menor medida, los ciberdelincuentes también se han dirigido a empresas de solapamiento (18%), empresas públicas (5%), instituciones educativas (4%) y otros tipos de organizaciones.
El informe también ha revelado que las empresas españolas de hasta 50 empleados fueron las que más vieron comprometidos los datos de sus clientes.
Pasos básicos de protección de datos
Desde NordPass recomiendan, en especial a las pequeñas compañías, que comiencen por establecer un plan de resiliencia cibernética y organizar la formación de los empleados. Las soluciones de seguridad de red, como las VPN empresariales, que restringen el acceso no autorizado a los sistemas informáticos también deberían estar entre los primeros pasos, ya que han demostrado ser una solución eficaz contra el malware y otros ataques maliciosos.
Otro punto importante es, según Smalakys, el manejo de las contraseñas. “Ni siquiera las empresas más grandes del mundo abandonan las malas prácticas de gestión de contraseñas. Hasta el 32% de sus contraseñas contienen una referencia directa a la empresa, lo cual es un regalo para los hackers”, explica.
Para enfrentar esta situación, Nordpass sugiere adoptar gestores de contraseñas, que generan claves de acceso en un espacio cifrado de extremo a extremo. También hay un nuevo método alternativo de autenticación online, las passkeys, considerada la opción más segura, que ya están ofreciendo grandes compañías como Google, Microsoft, Apple, PayPal y KAYAK, así como otras compañías participantes de la alianza FIDO
¿En qué consisten las passkeys? Esta clave de acceso reemplaza una contraseña por un dato biométrico, que puede ser una huella dactilar, un escaneo facial, etc., en dispositivos que tienen habilitada esta opción de desbloqueo y autenticación.
Los datos de acceso se almacenarán en una clave cifrada, que nuestro móvil u ordenador utilizará a la hora de intentar iniciar sesión en una app o página web. Para ello, el usuario deberá aprobar el uso de la clave desbloqueando el móvil usando un método seguro, como la detección de huella dactilar, reconocimiento facial o PIN.
De esta manera, siempre que se desee iniciar sesión en una web o app protegida por passkey, habrá que utilizar un dispositivo propio como método de verificación.