En los últimos meses la red social más utilizada del mundo se ha enfrentado a varios problemas en cuanto a la protección de datos. En julio de este año, la Oficina del Comisionado de Información (ICO) de Reino Unido le impuso una multa de 500.000£ por su implicación en el caso de Cambridge Analytica. Esta cantidad fue la máxima posible, ya que ocurrió antes de la obligatoriedad del GDPR.

Ahora, un nuevo escándalo sobre protección de datos se cierne sobre el gigante de internet. El pasado viernes, según explicó Guy Rosen, VP of Product Management, casi 50 millones de cuentas fueron expuestas a un ataque que ocurrió el martes 25 de septiembre. El ataque fue posible gracias a la explotación  una vulnerabilidad en la función para cargar videos que impactaba en la función de “Ver como”, que permite visualizar el perfil como lo vería otro usuario. Esta vulnerabilidad habría permitido a los atacantes robar los tokens de acceso del usuario – un tipo de clave que hace que el usuario no tenga que volver a poner la contraseña cada vez que accede al sitio web. Teóricamente, con estos tokens, un atacante podría tener acceso a cualquier app de terceros que utilizan Facebook para iniciar la sesión.

Facebook, las primeras horas tras el ataque

La reacción de Facebook no tardó en llegar – notificó al Comisario de Protección de Datos (DPC) de Irlanda, donde tiene su sede europea. Bajo las normativas del GDPR, las empresas son obligadas a informar de una brecha de datos dentro de 72 horas de su descubrimiento. Sin embargo, el DPC ha dicho que necesita más información sobre el ataque, como el número de usuarios europeos afectados y el riesgo que supone para los ellos, para poder llevar a cabo su investigación.

Ya que el incidente ha ocurrido después de la obligatoriedad del GDPR, la red social podría tener que enfrentarse a una multa de hasta el 4% del volumen de negocios anual del año financiero anterior – en el caso de Facebook sería 1,63 mil millones de dólares (1,4 mil millones de euros). A esta sanción económica podemos añadir el daño reputacional, otro aspecto clave en este tipo de incidente, ya que muchos usuarios perderán confianza en la empresa gracias a esta brecha de datos, y esta pérdida de confianza puede convertirse en una pérdida de clientes y de dinero.

Los datos personales, el petróleo de las empresas

No cabe duda que la información personal es poder, y vale oro. Su procesamiento y uso por parte de las empresas puede ser variado y sofisticado, y se paga muy bien. El negocio de hoy en día es sencillo: entregamos información a cambio de un servicio. Pero el servicio se paga con nuestros datos personales. Y las organizaciones son responsables de velar por nuestra seguridad ante la comisión de posibles delitos informáticos que tienen como fin último comprometer nuestra privacidad, como el phishing, el robo de identidad digital o la explotación de vulnerabilidades sin parchear, como ha sido este último caso.

Con todo esto, parecería que es más fácil que nunca ser víctima de un ciberataque. De algún modo así es, pero también los sistemas de prevención, detección, respuesta y remediación son cada vez más eficaces. Combinando, como en el caso de Panda Adaptive Defense, soluciones y servicios para optimizar la protección, reducir la superficie de ataque y minimizar el impacto de las amenazas.

Y es que, con un número de fallos y vulnerabilidades documentadas que ascienden a 20.000 casos, siendo un 38% superior que hace 5 años, lo primero a tener en cuenta es acotar la superficie de ataque. En gigantes como Facebook esto podría parecer una utopía. Pero mantener a salvo la información confidencial ante el robo o secuestro de datos – aunque sean cantidades ingentes como los 50M de Facebook- hoy es posible gracias a soluciones como Panda Patch Management, el nuevo módulo de Adaptive Defense, que reduce la complejidad de la gestión de vulnerabilidades y actualizaciones en sistemas operativos y cientos de aplicaciones de terceros.

Además, Panda Patch Management ayuda a las empresas cumplir con el principio de responsabilidad activa. Muchas regulaciones como el GDPR, HIPPA y PCI, obligan a establecer todas las medidas que garanticen la protección de datos sensibles bajo su responsabilidad, como es el caso de Facebook. Gracias a la actualización en tiempo real, este módulo proporciona visibilidad de la salud de los endpoints en cuanto a vulnerabilidades y actualizaciones pendientes del sistema, permitiéndose adelantar a la explotación de esas vulnerabilidades.

Cómo proteger a tu empresa

  • Los hackers aprovechan las vulnerabilidades de los programas sin parchear. Mantén tu software y dispositivos actualizados.
  • Contar con una solución de detección automática de vulnerabilidades reduce hasta un 20% la posibilidad de sufrir una brecha de seguridad.
  • Obtén el control absoluto de los datos personales, y blinda tu bolsillo: con el GDPR, una buena gestión a tiempo por el DPO te ahorrará sanciones económicas y daños reputacionales.
  • La habilidad de recopilar de manera eficaz y rápida informes detallados con información sobre un incidente de este tipo – el cómo, el cuándo, el cuánto – es muy importante para facilitar el trabajo de los investigadores de las agencias de protección de datos. El módulo Panda Data Control permite descubrir, auditar y monitorizar los datos de carácter personal desestructurados en los endpoints de tu compañía.