Una violación de datos , también conocida como fuga de datos , es "la exposición, divulgación o pérdida no autorizada de información personal ". [1] Desde la llegada de las leyes de notificación de violaciones de datos en 2005, las violaciones de datos reportadas han aumentado dramáticamente.
Las violaciones de datos suelen ser causadas por un ciberataque dirigido , un ataque oportunista o una fuga de información involuntaria. Los atacantes tienen una variedad de motivos, desde ganancias financieras hasta activismo político , represión política y espionaje . Existen varias causas fundamentales técnicas de las violaciones de datos, incluida la divulgación accidental de información, la falta de cifrado , el malware , el phishing y las vulnerabilidades del software . Aunque los esfuerzos de prevención por parte de la empresa que posee los datos pueden reducir el riesgo de violación de datos, no pueden reducirlo a cero.
Una gran cantidad de violaciones de datos nunca se detectan. Si se informa de una infracción a la empresa que posee los datos, los esfuerzos posteriores a la infracción suelen incluir contener la infracción, investigar su alcance y causa, y notificar a las personas cuyos registros se vieron comprometidos, como exige la ley en muchas jurisdicciones. Los organismos encargados de hacer cumplir la ley pueden investigar las infracciones, aunque rara vez se captura a los piratas informáticos responsables.
Muchos delincuentes venden datos obtenidos en infracciones en la web oscura . Por lo tanto, las personas cuyos datos se vieron comprometidos corren un riesgo elevado de robo de identidad durante años y un número significativo se convertirán en víctimas de este delito. Las demandas contra la empresa violada son comunes, aunque pocas víctimas reciben dinero de ellas. La empresa puede sufrir pérdidas comerciales o daños a su reputación , e incurrir en gastos debido al incumplimiento y demandas posteriores.
Una violación de datos es una violación de una ley o política "organizativa, regulatoria, legislativa o contractual" [2] que causa "la exposición, divulgación o pérdida no autorizada de información personal ". [1] Las definiciones legales y contractuales varían. [3] [2] Algunos investigadores incluyen otros tipos de información, por ejemplo propiedad intelectual o información clasificada . [4] Sin embargo, las empresas en su mayoría divulgan violaciones porque así lo exige la ley, [5] y solo la información personal está cubierta por las leyes de notificación de violaciones de datos . [6] [7]
Antes de la adopción generalizada de leyes de notificación de violaciones de datos alrededor de 2005, era difícil determinar la prevalencia de las violaciones de datos. Incluso después, no se puede confiar en las estadísticas por año porque las violaciones de datos pueden reportarse años después de que ocurrieron, [8] o no reportarse en absoluto. [9] Sin embargo, las estadísticas muestran un aumento continuo en el número y la gravedad de las violaciones de datos que continuará a partir de 2022 [actualizar]. [10] En 2016, la investigadora Sasha Romanosky estimó que las violaciones de datos superaban en número a otras violaciones de seguridad por un factor de cuatro. [11]