Las filtraciones de datos más dañinas se pueden prevenir: aquí te explicamos cómo

Por Phil Muncaster • 17 July 2025

Todos sabemos que muchas organizaciones podrían mejorar la protección de datos. El gobierno del Reino Unido... Encuesta sobre violaciones de seguridad cibernética 2025 Destaca una lista completa de deficiencias, desde la formación en concienciación hasta la respuesta a incidentes, que los exponen indirectamente al riesgo cibernético. Ni siquiera la existencia de un riguroso marco de protección de datos (RGPD/Ley de Protección de Datos de 2018) durante los últimos siete años ha servido para frenar la tendencia. reclamos del gobierno Más de dos quintas partes (43%) de las empresas del Reino Unido han sufrido un ataque o una vulneración de seguridad en los últimos 12 meses.

Sin embargo, existen amplias oportunidades para obtener ganancias rápidas, algo que destaca un nuevo informe de Seguridad del cazadorSe señala que el 30 % de los incidentes reportados a los reguladores de protección de datos del Reino Unido y Australia el año pasado fueron responsables del 90 % de las víctimas de vulneraciones. Por lo tanto, las conclusiones del informe podrían ofrecer una herramienta útil para que las organizaciones con dificultades económicas centren sus esfuerzos inmediatos.

En qué se diferencian el Reino Unido y Australia

Huntsman Security presentó una solicitud de Libertad de Información (FOI) tanto a la Oficina del Comisionado de Información del Reino Unido (ICO) como a la Oficina del Comisionado de Información de Australia (OAIC). Los resultados ofrecen una visión ligeramente diferente del panorama regulatorio y de seguridad corporativa en cada país.

REINO UNIDO: De los 9,654 incidentes de seguridad de datos reportados por empresas británicas a la ICO el año pasado, 2,817 (29 %) estuvieron relacionados con ataques de fuerza bruta, malware, phishing, ransomware y configuraciones incorrectas del sistema. Sin embargo, estos incidentes representaron casi el 80 % de las víctimas de vulneraciones: 13.9 millones de un total de 17.6 millones.

Huntsman Security afirmó que estos también representaron el 90% de los incidentes de seguridad de datos relacionados con la ciberseguridad, lo que significa que centrarse en los controles de seguridad podría ser una forma eficaz de mitigarlos. Muchos fueron aparentemente muy selectivos y, por lo tanto, diseñados para provocar el robo de datos valiosos, como historiales médicos, información financiera y documentos de identidad.

Australia: Un total de 1,188 incidentes (el 32 % del total reportado entre 2022 y 24) involucraron ataques de fuerza bruta, malware, phishing, ransomware, hackeo y acceso no autorizado. Estos fueron responsables del 77 % de todos los registros comprometidos. El informe también revela que los ataques criminales (a diferencia de las filtraciones accidentales) representaron el 62 % de todas las filtraciones, pero el 98 % de las víctimas.

El informe también destaca que, en Australia, las organizaciones tardaron 48 días en identificar estas infracciones y 86 días en notificarlas a la OAIC. Esto simplemente no está permitido por el RGPD, que exige que la notificación se realice en la mayoría de los casos en un plazo de 72 horas.

Dónde está fallando el Reino Unido

Estos hallazgos coinciden en cierta medida con el informe sobre infracciones del gobierno del Reino Unido. Como se informó anteriormente por ISMS.online, Destaca una letanía de problemas que contribuyen a un aumento de incidentes de violación de datos evitables, incluida una falta general de:

Programas de capacitación del personal, donde la aceptación no había cambiado respecto al informe del año anterior
Revisiones de riesgos de proveedores externos, que fueron realizadas por sólo el 32% de las empresas medianas y el 45% de las grandes.
Planes de respuesta a incidentes, que fueron utilizados solo por la mitad (53%) de las empresas medianas y tres cuartas partes (75%) de las grandes empresas
Estrategia de ciberseguridad: Sólo el 57% de las empresas medianas y el 70% de las empresas más grandes tenían uno.
Representación en salas de juntas para el sector cibernético: Sólo la mitad (951%) de las empresas medianas y dos tercios (66%) de las grandes tenían a alguien en la mesa principal responsable de la estrategia cibernética, una cifra prácticamente sin cambios en los últimos tres años.
Actualizaciones cibernéticas mensuales para líderes empresariales, algo que solo hacen el 39% de las empresas medianas y el 55% de las grandes.

Alineación de las mejores prácticas con los estándares

Las cifras de Huntsman Security tienen una salvedad: solo contabilizan los incidentes en los que se pudo identificar una causa para cada brecha. Muchos más podrían no tener una causa asignada debido a análisis forenses o respuesta a incidentes deficientes. Sin embargo, aún así, destacan un mensaje importante: al centrarse en los tipos de incidentes y amenazas mencionados, así como en las mejores prácticas de ciberseguridad que mitigan estos riesgos, los equipos de seguridad pueden lograr resultados rápidos y útiles.

Morten Mjels, director ejecutivo de la consultora Cuervo verde, sostiene que la cultura es clave para garantizar que se sigan las mejores prácticas.

“El cambio debe venir de arriba hacia abajo, y se puede cambiar la cultura simplemente implementando varias prácticas a la vez”, explica a ISMS.online. “Si desconoce su posible exposición, contrate a un profesional para que realice una evaluación de riesgos. Ellos podrán encontrar las fallas en sus sistemas y ayudarle a solucionarlas. No confíe en que su personal de TI lo solucione todo; no son omniscientes hacedores de milagros”.

Piers Wilson, director de gestión de productos de Huntsman, explica a ISMS.online que las normas y los marcos como ISO 27001 e ISO 27701 «pueden ser un factor importante para mitigar los riesgos cibernéticos, garantizando que las organizaciones comprendan sus riesgos, siguiendo las mejores prácticas y definiendo los controles adecuados».

Y añade: “Lo importante es elegir qué marco aplicar: si ISO, NIST o estándares y esquemas más pequeños y específicos como Cyber Essentials o Essential Eight de Australia”.

El objetivo en todo momento debe ser establecer un conjunto de controles que sean ampliamente comprendidos y reconocidos y luego aplicados universalmente, añade.

En la mayoría de los casos, el problema no es la intención ni la política, sino la ejecución. El cumplimiento de las normas puede convertirse en un simple trámite, y la frecuencia de las auditorías y los informes puede no ser suficiente para las ciberamenazas modernas y cambiantes, argumenta Wilson.

Una auditoría anual o un informe trimestral no ofrecen la visibilidad y la comprensión en tiempo real de las vulnerabilidades que exige el panorama de amenazas moderno. Entre estas auditorías, la postura de la organización puede variar y ser en gran medida incierta.

Es por esta razón que la norma ISO 27001 exige que las organizaciones realicen auditorías internas periódicas y un seguimiento continuo para impulsar la mejora continua.

Wilson señala que la comunicación efectiva es crucial para lograr el cumplimiento.

“Todas las partes interesadas de una organización, desde los analistas de seguridad hasta los equipos de gestión de riesgos y los ejecutivos, necesitan comprender de un vistazo si se están siguiendo las buenas prácticas acordadas, en qué estado se encuentran realmente los controles y quién es responsable de solucionar los problemas”, concluye.

“Garantizar esta visibilidad y comunicación continuas es vital para que estas normas tengan el efecto deseado”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster