Guillem Alsina Gonzàlez
Durante años, el imaginario sobre una brecha de datos se ha venido reduciendo a bases de datos con nombres de usuario y contraseñas que acababan circulando en mercados clandestinos o alimentando ataques automatizados. Sin embargo, y según cuenta Titiksha Srivastav, editora asistente en The 420, un análisis forense basado en 1.297 incidentes y más de 141 millones de archivos describe un escenario más amplio y, sobre todo, más explotable para los atacantes.
La principal diferencia entre lo que pensamos que pasa y lo que realmente está ocurriendo no está solo en la cantidad de información expuesta, sino en su naturaleza: documentos, correos, hojas de cálculo y código fuente que suelen quedar fuera de las evaluaciones tradicionales de ciberseguridad. Este tipo de contenido se engloba en lo que se conoce como “datos no estructurados”, un término que alude a información que no está organizada en tablas o registros claramente definidos, sino dispersa en archivos de trabajo cotidianos.
En dicho conjunto de datos, los archivos financieros destacan por su recurrencia y por su peso dentro de lo filtrado. El 93% de los incidentes analizados contenía documentos financieros y estos representaban el 41% del contenido expuesto.
Dentro de ese material, el análisis identifica filtraciones de extractos bancarios en el 49% de los casos y la aparición de números IBAN en el 36% de los conjuntos de datos comprometidos. En términos prácticos, se trata de información que puede facilitar fraudes, apoyar campañas de ingeniería social o dar contexto operativo a futuras intrusiones.
El riesgo se amplifica porque la información no estructurada suele almacenarse sin el mismo nivel de control que las bases de datos corporativas. No son repositorios “limpios” y centralizados, son carpetas compartidas, adjuntos de correo, actas de reuniones, contratos y ficheros de configuración que, según el análisis, a menudo carecen de cifrado o de controles de acceso adecuados. La peligrosidad de estos datos reside en que combinan detalle operativo y contexto, lo que permite a un atacante pasar del acceso puntual a la explotación sostenida.
La exposición también afecta de forma directa a información personal. El análisis señala que el 82% de las brechas incluía datos identificativos personales (PII, por sus siglas en inglés), es decir, información que permite identificar a una persona concreta. De este conjunto, el 67% estaba relacionado con comunicaciones de atención al cliente, un tipo de intercambio que suele incorporar historiales de interacción, validaciones y detalles sensibles de la relación con la organización.
Cuando se filtran conversaciones de soporte, el impacto no se limita a “datos”: se filtra el proceso, el contexto y, a menudo, los mecanismos de verificación. En la economía actual del cibercrimen, lo que cotiza más alto es lo que permite entender cómo funciona una organización y cómo atacarla de nuevo.
En paralelo, el análisis detecta un elemento especialmente delicado: filtraciones de correos electrónicos que contenían números de la Seguridad Social de Estados Unidos en más de la mitad de los casos. Y, en el plano estrictamente técnico, el 18% de los incidentes incluyó claves criptográficas.
En términos sencillos, una clave criptográfica es una suerte de llave, un código digital que sirve para cifrar, firmar o autenticar. Si cae en manos ajenas, puede facilitar el acceso a sistemas o permitir saltarse barreras adicionales, incluida la autenticación multifactor, en determinados escenarios. La presencia de claves criptográficas en las filtraciones eleva el incidente de “pérdida de información” a “pérdida de control” sobre sistemas y accesos.
El análisis enmarca el giro en el tipo de información preferida por los ciberdelincuentes en una dinámica de mercado y, más concretamente, al auge de modelos de “cibercrimen como servicio”. En particular, destaca la expansión de los infostealers-as-a-service, paquetes de malware que pueden alquilarse desde 30 dólares al mes y que operan de forma silenciosa para extraer información. Su valor no se limita a capturar credenciales, puesto que también recogen historiales del navegador, capturas de pantalla y, de forma significativa, lo que encuentran en almacenes de documentos no estructurados.
El ecosistema que compra y vende estos datos es ya muy amplio, y se estima que circulan más de 16.000 millones de credenciales en mercados criminales. Por ejemplo, recientemente se localizaron 184 millones de contraseñas en texto plano volcadas en Internet.
El cambio en los incentivos también transforma la forma de operar de los ciberdelincuentes, a los que el análisis describe como más metódicos, clasificando y explotando información filtrada con precisión, con objetivos que van más allá del acceso inmediato, pasando a la infiltración a largo plazo, suplantación de identidad y disrupción operativa. El resultado es un efecto multiplicador, ya que una brecha puede convertirse en punto de partida de varias campañas posteriores, con consecuencias que se prolongan durante años.
En este contexto, el texto apunta a una conclusión operativa para las organizaciones: la respuesta a incidentes no puede seguir anclada en medidas centradas únicamente en el restablecimiento de contraseñas o en los trámites de notificación, y el análisis plantea que la investigación posterior a una brecha debe centrarse en mapear qué contenido se ha expuesto, a quién afecta y qué funciones sensibles han quedado al descubierto.
La pregunta, pues, deja de ser cuántos registros se han visto comprometidos y pasa a ser qué información concreta se ha filtrado y cómo puede reutilizarse en ataques encadenados.
