Las empresas y las autoridades públicas confían en las bases de datos para almacenar y procesar grandes cantidades de datos. Estas bases de datos suelen gestionar información crítica para el negocio y altamente sensible, como datos financieros (registros fiscales, cuentas bancarias y tarjetas de crédito), datos personales (direcciones de domicilios y archivos de personal) o datos de productos. Dado que las bases de datos suelen estar integradas con aplicaciones y servicios web, siguen siendo vulnerables a las ciberamenazas tanto internas como externas.
Muchos CIOs y líderes de TI creen que su infraestructura de TI está adecuadamente protegida contra ciberataques. Cortafuegos de varios niveles, software antivirus y sistemas de detección y prevención de intrusiones (IPS)(1) brindan una falsa sensación de seguridad. Lo que muchos no logran reconocer es que el mayor riesgo de seguridad a menudo proviene de adentro, de los empleados y funcionarios que utilizan estos sistemas.
Empleados y funcionarios caen con frecuencia víctimas de correos electrónicos de phishing o de llamadas externas engañosas, haciendo clic sin darse cuenta en enlaces maliciosos o compartiendo información confidencial con extraños. Esto se debe a menudo al hecho de que los correos electrónicos y las llamadas de phishing ya no se reconocen como una amenaza. Con el avance del engaño impulsado por la IA, cada vez es más difícil
identificar las amenazas. El estrés y la premura de tiempo pueden provocar lapsus de juicio, haciendo que los empleados sean más propensos a cometer errores costosos.
Como resultado, los ciberataques siguen teniendo éxito. En un estudio reciente de la Agencia Europea de Ciberseguridad (ENISA)(2), los expertos en seguridad constataron que las empresas y las autoridades de la Unión Europea, en particular, se han convertido en blanco de ciberataques en los últimos 12 meses.
Número de incidentes - UE y mundial (julio 2023 - junio 2024)
Un análisis de los distintos sectores revela que el sector público es el más afectado, con 191 TP18T de ataques, seguido del sector del transporte (111 TP18T) y el sector bancario y financiero (91 TP18T). Esto no es de extrañar: muchos aún recuerdan los ciberataques de gran repercusión mediática dirigidos contra el Bundestag alemán, los ayuntamientos, los hospitales universitarios, las fuerzas del orden neerlandesas y los ciudadanos y las autoridades españolas.(3-8)
Sectores afectados – ¡El sector público es el más afectado! (Julio 2023 – Junio 2024)
Si desglosamos las amenazas cibernéticas por categorías, la amenaza directa a los datos almacenados —principalmente bases de datos— asciende a 451 TP18T, de los cuales 191 TP18T corresponden a incidentes relacionados con filtraciones de datos y 261 TP18T a ataques de ransomware (2).
Análisis de las amenazas por tipo
En virtud del artículo 32 del GDPR(9) (Seguridad del tratamiento) se exige lo siguiente: "...el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo."
Específicamente, resalta "la seudonimización y encriptación de datos personales” como medida eficaz.
Además, el Oficina Federal Alemana de Seguridad de la Información (BSI) recomienda el cifrado como una estrategia clave para minimizar el riesgo de las operaciones de TI en su Normas BSI (10) 200-1 a 200-4.
En Artículo 33 de la GDPR(9) (Notificación de una violación de datos personales a la autoridad supervisora), las empresas están obligadas a notificar una violación de datos personales a la autoridad supervisora dentro de las 72 horas posteriores a tener conocimiento de la violación. El responsable del tratamiento de datos debe notificar a la autoridad supervisora pertinente de conformidad con el artículo 55, a menos que sea poco probable que la violación suponga un riesgo para los derechos de las personas. Si la notificación se retrasa más de 72 horas, deberá proporcionarse una explicación del retraso.
A pesar de la claridad de las directrices, sigue existiendo incertidumbre en el mundo de las TI sobre la correcta aplicación de los requisitos de información del RGPD.
Para aclarar este punto, el Comité Europeo de Protección de Datos (EDPB) ha elaborado unas directrices(11), que incluyen casos prácticos.
En «CASO N.º 01: Ransomware con copias de seguridad adecuadas y sin filtración de datos», se describe el siguiente escenario:
"Los sistemas informáticos de una pequeña empresa manufacturera quedaron expuestos a un ataque de ransomware, y los datos almacenados en esos sistemas fueron cifrados. El controlador de datos utilizaba el cifrado en reposo, por lo que todos los datos a los que accedía el ransomware se almacenaban cifrados mediante un algoritmo de cifrado de última generación. La clave de descifrado no se vio comprometida en el ataque, es decir, el atacante no pudo acceder a ella ni utilizarla indirectamente. En consecuencia, el atacante sólo tuvo acceso a los datos personales cifrados".
Las medidas necesarias figuran en el cuadro publicado en las directrices:
Las medidas necesarias se justifican del siguiente modo:
En este ejemplo, el atacante tuvo acceso a los datos personales y se vio comprometida la confidencialidad del texto cifrado que contenía los datos personales en forma cifrada. Sin embargo, cualquier dato que pudiera haber sido exfiltrado no puede ser leído o utilizado por el perpetrador, al menos por el momento. La técnica de cifrado utilizada por el responsable del tratamiento de datos es de última generación. La clave de descifrado no se vio comprometida y, presumiblemente, tampoco pudo determinarse por otros medios. En consecuencia, los riesgos de confidencialidad para los derechos y libertades de natural las personas se reducen al mínimo, salvo que el progreso criptoanalítico haga inteligibles los datos cifrados en el futuro.
Por ello, la empresa no estaba obligada a informar del incidente a las autoridades ni a las personas afectadas.
Si se compara el coste de implantar medidas de seguridad informática con la posible pérdida de reputación, ventas y confianza de los clientes, rápidamente quedan claras las ventajas de una inversión proactiva.
En el mundo hiperconectado de hoy, donde las noticias se difunden instantáneamente a través de plataformas en línea y redes sociales, las organizaciones no deben subestimar el daño a largo plazo que puede causar un ciberataque.
Para mitigar los riesgos, Software AG recomienda encarecidamente a sus clientes que implanten encriptación y auditoría (12) para su Adabas bases de datos para mantener los riesgos de TI como mínimo. Ambas medidas se complementan y forman la mezcla tecnológica óptima para proteger contra ataques y fugas de datos no deseadas, tanto internas como externas.
(1) https://www.gartner.com/reviews/market/intrusion-prevention-systems
(2) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
(3) https://www.auswaertiges-amt.de/en/newsroom/news/hacker-attack-bundestag-2345580
(4) https://www.dw.com/en/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023/a-69065980
(5) https://www.heise.de/en/news/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html
(6) https://www.bbc.com/news/technology-54204356
(7) https://www.dutchnews.nl/2024/09/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers/
(8) https://www.statista.com/topics/7011/cyber-crime-in-spain/#topicOverview
(9) https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
(10) https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
(11) https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
(12) https://www.softwareag.com/app/uploads/2025/08/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf
