CursosEmpresasBlogLiveConfPrecios

Contenido del curso

Tomar examen

Gestión de incidentes en Data Privacy

Resumen

Cuando un atacante entra a tu organización, rara vez lo hace derribando la puerta. Camina alrededor del edificio durante días, revisa qué ventanas están rotas, qué cámaras están apagadas y qué empleado podría entregar una llave si se lo piden con amabilidad. Una noche entra con una copia de esa llave, fotografía cada documento y se va sin mover una sola carpeta. Los originales permanecen en su lugar y nadie lo nota durante semanas. Así funcionan la mayoría de las brechas de datos: no con un golpe, sino con paciencia.

¿Qué diferencia hay entre un incidente de seguridad y una brecha de datos?

Según el estándar ISO/IEC 27000:2018 — que proporciona a los equipos de seguridad un vocabulario compartido — un security incident es cualquier evento con alta probabilidad de amenazar la seguridad de la información o las operaciones del negocio [0:42]. La alarma no espera al fuego: el humo es suficiente. Si existe una posibilidad razonable de que datos personales fueron expuestos o accedidos sin autorización, eso ya constituye un incidente, incluso antes de conocer el daño total.

Una brecha de datos (data breach) es un tipo específico de incidente: alguien que no debería ver información confidencial la obtiene, la copia, la filtra o la vende [1:17]. Toda brecha es un incidente, pero no todo incidente es una brecha. La distinción importa porque las brechas activan obligaciones legales de notificación a autoridades en Colombia, México y California cuando datos personales se ven comprometidos [1:35].

¿Cuáles son las cinco categorías de incidentes que debes reconocer?

  • Intentos de acceso no autorizado: alguien sacudiendo la manija de la puerta.
  • Filtración de credenciales: alguien ya tiene una copia de tu llave.
  • Vulnerabilidades de aplicación: una ventana rota por la que el atacante se cuela.
  • Robo o pérdida de dispositivos: dejaste caer las llaves por completo.
  • Ataques DDoS: inundar la entrada para que nadie entre ni salga [1:49].

Cada categoría requiere una respuesta diferente, y saber identificarlas a tiempo marca la diferencia entre un susto y una catástrofe.

¿Cómo se desarrolla una brecha en tres fases?

Una brecha se despliega en tres fases, y cada una ofrece una oportunidad para detenerla [2:17].

¿Qué ocurre durante el reconocimiento, el acceso y la extracción?

Fase uno — reconnaissance: el atacante estudia la organización desde afuera, buscando software desactualizado, sistemas expuestos y empleados vulnerables a phishing. Las señales incluyen escaneo inusual de la red, sondeo repetido de los mismos endpoints y tráfico extraño de fuentes desconocidas [2:26].

Fase dos — acceso: el atacante encontró una debilidad y ya está adentro. Puede ser una contraseña filtrada, un dispositivo robado o un correo de phishing exitoso. Las alertas clave son inicios de sesión desde ubicaciones inusuales y acceso a áreas que el usuario nunca toca [2:44]. Aquí es donde las contraseñas fuertes y únicas dificultan la fase uno y la autenticación de dos factores (2FA) frena la fase dos en seco: incluso con una contraseña robada, el atacante no puede entrar sin ese segundo factor [3:06].

Fase tres — extracción: el atacante copia datos confidenciales y se va. Transferencias masivas, descargas en bloque y patrones de copiado anormales son las señales. Los originales quedan intactos, razón precisa por la que las brechas pasan meses sin detectarse [3:30].

Detectar el ataque en la fase uno significa cero datos perdidos. Detectarlo en la fase tres significa que el daño ya está hecho [3:48].

¿Por qué un ataque DDoS puede ser solo una distracción?

Equipos con experiencia vigilan un patrón particularmente engañoso: un ataque DDoS que no es el ataque real [4:06]. Mientras el equipo de seguridad lucha por restaurar el servicio, los atacantes ejecutan silenciosamente las fases dos y tres en segundo plano, accediendo a sistemas y extrayendo datos. Cuando un DDoS golpea, la pregunta no es solo "¿cómo volvemos a estar en línea?", sino "¿esta interrupción esconde una intrusión más profunda?" [4:22].

¿Qué hacer cuando algo sale mal?

Cuando ocurre un dispositivo perdido, un inicio de sesión sospechoso o credenciales expuestas, la velocidad lo es todo [4:41]. Cada minuto sin reporte es tiempo en que los datos pueden ser copiados. Los canales designados son el canal de seguridad interno y el etiquetado directo al equipo de ciberseguridad o infraestructura, como quien llama a servicios de emergencia por la línea correcta [4:49].

Para dispositivos robados, la secuencia es clara: reporte inmediato, denuncia policial, bloqueo remoto, geolocalización, borrado remoto y revocación de acceso [5:27].

¿Cómo impacta la clasificación de datos en la respuesta?

La clasificación de datospublic, internal, confidential — se vuelve operativamente crítica durante un incidente [5:37]. Si los datos comprometidos son públicos, el incidente es serio pero contenido. Si se trata de datos personales confidenciales como nombres, correos o datos de pago, se activan los requisitos legales de notificación. Sin clasificación previa, intentas averiguar qué robaron sin saber qué había en la bóveda [5:59].

Todo converge: los tres pilares de seguridad indican qué está en juego, la conciencia sobre phishing previene la ingeniería social que dispara la fase uno, la protección de dispositivos limita la exposición, las credenciales fuertes bloquean la fase dos, la clasificación de datos determina la severidad y tu rapidez al reportar decide si un incidente se mantiene contenido o se vuelve catastrófico [6:05].

La verdadera prueba no es un examen: es la próxima vez que algo se sienta fuera de lugar y tengas que decidir si esperas o levantas el teléfono.