Skip to main content
Robo datos

El negoci darrere del robatori de dades

Els titulars vénen copats, gairebé cada dia, per alguna notícia sobre filtracions massives de dades personals a empreses que, principalment, es dediquen a les telecomunicacions, bancs o xarxes socials.

Al segle XXI, l’actiu més valuós d’una organització ja no és la seva infraestructura física, sinó el patrimoni digital.

Mentre les companyies veuen les dades personals com una oportunitat de negoci, els cibercriminals les perceben com un botí d’alta rendibilitat.

La pregunta no és si una empresa serà atacada, la pregunta correcta és: quan i si està preparada per sobreviure a l’impacte.

Per què les dades personals són tan valuoses?

El robatori de dades ha passat de ser un acte de vandalisme digital a consolidar-se com a indústria professionalitzada.

Les dades personals es roben per la seva rendibilitat. No és només un nom o un correu electrònic; és una identitat digital completa.

Al mercat negre (dark web), la informació personal es ven per peces o en paquets per cometre delictes:

  • Frau financer i robatori d’actius: Els hackers busquen obtenir credencials de targetes de crèdit o accés a la banca electrònica per desviar fons.

Un cop vulneren la seguretat, els atacants fan transferències no autoritzades o compres fraudulentes; deixant els comptes de les víctimes totalment buits en qüestió de minuts.

  • Suplantació d’identitat: En aquest escenari, els criminals utilitzen les dades identificatives robades per personificar la víctima davant institucions financeres.

Això els permet sol·licitar crèdits a nom de tercers o obrir comptes bancaris fantasma que faran servir per blanquejar capitals; arruïnant l’historial creditici de l’usuari real.

  • Extorsió (ransomware): Els hackers no només roben dades, sinó que les xifren i amenacen de filtrar-les si la companyia no paga un rescat.

A més, contacten directament amb els clients de l’empresa afectada per informar-los que les seves dades estan exposades; pressionant així l’organització des de tots els angles possibles.

  • Venda de bases de dades a empreses de màrqueting: Hi ha un mercat negre on empreses de màrqueting agressiu compren bases de dades obtingudes de forma il·lícita.

Aquestes dades personals s’utilitzen per a l’enviament massiu d’spam o e-mail marketing no sol·licitat; ignorant qualsevol normativa de privadesa.

Per què les empreses són vulnerables?

Tot i les inversions en ciberseguretat, els hackers solen anar un pas endavant.

El robatori de dades, la majoria de les vegades, no és un atac frontal de força bruta. La majoria de cops, el mur se salta per la baula més feble:

  • Factor humà i tècniques d’enginyeria social: S’estima que entre el 80% i el 90% dels incidents comencen amb un atac de pishing.

En aquests casos, un empleat fa clic en un enllaç maliciós o descarrega un fitxer infectat, permetent que els atacants “pesquin” les seves credencials i obtinguin accés directe als sistemes interns de l’organització.

  • Vulnerabilitats de “dia zero” (zero-day): Aquests atacs aprofiten errors de seguretat crítics en el programari que la companyia utilitza habitualment i que encara no han estat descoberts o arreglats.

Com que no hi ha una defensa prèvia ni una actualització disponible, els criminals tenen una finestra d’oportunitat perfecta per infiltrar-se sense ser detectats.

  • Riscos associats a la cadena de subministraments: Moltes vegades, la infraestructura de l’empresa principal és robusta, però els criminals aconsegueixen entrar piratejant un proveïdor extern més petit.

En comprometre un tercer que ja té permisos d’accés a les xarxes corporatives, els hackers es poden saltar els perímetres de seguretat.

Conseqüències més enllà del robatori

Per a una empresa, el robatori de dades personals no només comporta el pagament d’una multa econòmica; és una crisi de supervivència:

  • Sancions legals i compliment normatiu: A Europa, el RGPD imposa multes severes, que poden assolir els 20 milions d’euros o el 4% de la facturació anual global de la companyia (la xifra que resulti més elevada).

A més de la sanció econòmica, l’empresa queda subjecta a auditories constants i possibles restriccions legals que en limitin la capacitat operativa durant anys.

  • Dany reputacional i pèrdua de confiança: L’impacte a la imatge pública és sovint la conseqüència més difícil de revertir després d’una bretxa de seguretat.

La pèrdua de credibilitat davant dels clients o els socis comercials provoca una fuita d’usuaris cap a la competència; destruint el valor de la marca i afectant la captació de nous negocis a llarg termini.

  • Cost operatiu i paràlisi de l’activitat: Una companyia atacada es veu obligada a aturar la producció o serveis mentre els equips tècnics desinfecten la xarxa i restauren els sistemes.

Aquesta inactivitat forçada no solament genera una pèrdua directa d’ingressos diaris, sinó que també implica despeses extraordinàries en consultoria forense i recuperació de dades.

Estratègies de resiliència: més enllà de l’antivirus

La seguretat de les dades ha deixat de ser un tema exclusiu del departament d’IT i ha passat a convertir-se en una prioritat de la Junta directiva.

La solució no consisteix a posar murs més alts, sinó la clau és canviar de mentalitat.

Les empreses líders estan adoptant un enfocament de resiliència cibernètica:

  • Arquitectura Zero Trust: Aquest model de seguretat es basa en el principi fonamental de “Mai confiar, sempre verificar”.

Sota aquest esquema, cap usuari o dispositiu, ja estigui dins o fora del perímetre de la companyia, obté accés automàtic a la xarxa; cada petició de dades ha de ser autenticada, autoritzada i validada de manera contínua.

  • Xifratge d’extrem a extrem: Una de les defenses més eficaces consisteix a assegurar que la informació sigui il·legible per a qualsevol actor no autoritzat.

Si les dades són robades, però estan xifrades correctament, el botí és inútil per al hacker; ja que no té les claus necessàries per accedir al contingut real.

  • Simulacres de crisi: Les empreses han de comptar amb un Pla de resposta (com ja vam abordar en un post anterior) i formar tot el seu personal (des del CEO fins a l’estudiant en pràctiques) mitjançant la realització de simulacres.

Aquestes accions permeten identificar debilitats als protocols, millorar els temps de reacció i asseguren que cada membre sàpiga com actuar davant d’una amenaça real.

A l’economia de la dada, la precaució és el millor escut.

Autora: Sandra Santiago, Advocada.

Si necessites ajuda o tens dubtes, contacta’ns!


    Informació sobre protecció de dades

    Denominació social
    LEGAL IT GLOBAL 2017, SLP
    Finalitat
    Prestar el servei.
    Enviament del Butlletí informatiu.
    Legitimització
    Compliment de la prestació de servei.
    Consentiment.
    Destinataris
    Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
    Drets
    Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
    Més informació
    Consulta la Política de Privacitat.

    Vols estar al dia de tota l'actualitat jurídica?
    Rep el nostre butlletí amb notícies, articles i esdeveniments.
    Subscriu-te

    Nosaltres
    Serveis
     
    cipp certification
    Powered by  GDPR Cookie Compliance
    Resum de la privadesa

    Aquest lloc web utilitza galetes per tal de proporcionar-vos la millor experiència d’usuari possible. La informació de les galetes s’emmagatzema al navegador i realitza funcions com ara reconèixer-vos quan torneu a la pàgina web i ajuda a l'equip a comprendre quines seccions del lloc web us semblen més interessants i útils.