El incidente de seguridad que toda organización teme llegó a Change Healthcare una mañana de febrero de 2024. Los atacantes, que utilizaron credenciales robadas de Citrix (credenciales sin protección mediante autenticación multifactorial), provocaron lo que se convertiría en la mayor filtración de datos sanitarios de la historia. En cuestión de semanas, se vieron comprometidos 192,7 millones de historiales de pacientes, las farmacias de todo el país se paralizaron y los daños en cadena revelaron lo vulnerables que siguen siendo las organizaciones modernas a los ataques basados en credenciales.
Este escenario no es excepcional. Según el informe «IBM 2025 Cost of a Data Breach Report», las organizaciones de todo el mundo siguen sufriendo violaciones de datos a un ritmo alarmante, y el 61 % de los incidentes están relacionados con credenciales comprometidas. El coste medio global se sitúa ahora en 4,44 millones de dólares por violación, mientras que las organizaciones estadounidenses se enfrentan a un máximo histórico de 10,22 millones de dólares. Para los profesionales de la seguridad encargados de proteger sus organizaciones, comprender cómo se producen las violaciones de datos —y cómo detenerlas— nunca ha sido tan importante.
Esta guía completa examina qué define una violación de datos, explora los vectores y técnicas de ataque que emplean los actores maliciosos, analiza las mega violaciones de 2024-2025 que están remodelando las estrategias de seguridad y proporciona enfoques prácticos de prevención y detección. Tanto si está creando un programa de respuesta a incidentes desde cero como si está reforzando las defensas existentes, este recurso ofrece la información basada en pruebas que los equipos de seguridad necesitan hoy en día.
Una violación de datos es cualquier incidente de seguridad en el que personas no autorizadas obtienen acceso a información confidencial, protegida o sensible. Esto incluye datos personales como nombres y números de la Seguridad Social, datos financieros como datos de tarjetas de crédito y cuentas bancarias, e información crítica para la empresa como secretos comerciales y propiedad intelectual. A diferencia de la exposición accidental, una violación implica un acceso no autorizado confirmado, normalmente por parte de actores maliciosos que buscan robar, vender o aprovechar los datos comprometidos para obtener beneficios económicos, espionaje o extorsión.
El alcance de las violaciones de datos sigue ampliándose. La violación de datos públicos nacionales de 2024 expuso 2900 millones de registros, incluidos números de la Seguridad Social, mientras que los dos incidentes de AT&T en 2024 afectaron a más de 73 millones de clientes. Estas megaviolaciones demuestran que ninguna organización, independientemente de su tamaño o sector, es inmune a esta amenaza.
Los profesionales de la seguridad deben distinguir entre conceptos relacionados pero distintos para garantizar una respuesta adecuada y el cumplimiento normativo.
Una violación de datos implica el acceso no autorizado confirmado a datos confidenciales por parte de actores maliciosos. Esto requiere pruebas de que los actores maliciosos realmente accedieron, vieron o filtraron información protegida. El incidente de Change Healthcare es un ejemplo de violación: los atacantes penetraron deliberadamente en los sistemas utilizando credenciales robadas y desplegaron ransomware para cifrar los datos mientras filtraban registros confidenciales.
Una fuga de datos describe una exposición involuntaria sin la participación de un agente malicioso. Por lo general, se debe a una configuración incorrecta, un error humano o controles de acceso inadecuados. Un depósito cloud sin proteger que contiene registros de clientes representa una fuga: los datos quedaron expuestos, pero ningún adversario los descubrió ni los explotó necesariamente.
Un incidente de seguridad abarca cualquier evento que pueda comprometer la seguridad de la información. Esta categoría más amplia incluye intentos de ataque fallidos, infracciones de políticas y actividades anómalas que pueden no implicar un compromiso real de los datos. No todos los incidentes constituyen una infracción, pero todas las infracciones comienzan como un incidente.
Estas distinciones tienen importantes implicaciones normativas. Según el RGPD, solo las infracciones confirmadas activan el requisito de notificación en un plazo de 72 horas a las autoridades de control. Las organizaciones que clasifican erróneamente las fugas como infracciones —o, lo que es peor, las infracciones como meros incidentes— se arriesgan tanto a sanciones normativas como a daños a su reputación.
El impacto comercial de las violaciones va mucho más allá de los costes inmediatos de reparación. Según la investigación de IBM de 2025, las organizaciones sufren efectos duraderos, como la pérdida de clientes, acuerdos legales y un escrutinio regulatorio prolongado. Las violaciones de AT&T dieron lugar a un acuerdo de 177 millones de dólares, lo que demuestra cómo los costes de las violaciones se multiplican a través de procedimientos legales años después del incidente inicial.
Comprender la mecánica de las infracciones permite a los equipos de seguridad priorizar las defensas donde más importan. Los ataques modernos suelen explotar múltiples vectores, combinando vulnerabilidades técnicas con factores humanos para lograr un acceso no autorizado.
Las credenciales comprometidas representan el vector de violación dominante, implicado en el 61 % de los incidentes según el análisis SailPoint 2025. Los atacantes obtienen las credenciales mediante phishing , ataques de relleno de credenciales utilizando bases de datos de contraseñas filtradas anteriormente y compras en la web oscura de datos de autenticación robados.
El peligro radica en cómo el robo de credenciales permite a los atacantes hacerse pasar por usuarios legítimos. Cuando un agente malicioso inicia sesión con credenciales válidas, las defensas perimetrales tradicionales lo detectan como un acceso autorizado en lugar de una intrusión. Esto explica por qué las organizaciones deben implementar análisis de comportamiento y capacidades de detección de apropiación de cuentas que identifiquen actividades sospechosas incluso cuando la autenticación se realiza correctamente.
El informe de investigaciones sobre violaciones de datos de Verizon 2025 revela que el 75 % de las intrusiones en sistemas ahora implican ransomware. Las operaciones modernas de ransomware han evolucionado más allá del simple cifrado para incluir el robo de datos y la extorsión: los atacantes extraen datos confidenciales antes de implementar el cifrado, lo que les permite ejercer una doble presión sobre las víctimas.
Malware sirve tanto como mecanismo de acceso inicial como herramienta posterior al compromiso. Los ladrones de información recopilan credenciales y tokens de sesión, mientras que las puertas traseras mantienen un acceso persistente para su futura explotación. La brecha de seguridad de Marquis Software, que afectó a 74 bancos y cooperativas de crédito, se originó cuando los atacantes aprovecharon una vulnerabilidad de SonicWall para desplegar ransomware, lo que ilustra cómo la explotación de vulnerabilidades se encadena con malware .
Phishing uno de los principales vectores de acceso inicial, ya que aparece en el 16 % de las violaciones de seguridad según los datos de IBM de 2025. Los atacantes diseñan campañas cada vez más sofisticadas utilizando IA generativa para producir mensajes gramaticalmente perfectos y sensibles al contexto que eluden la detección tradicional. La violación de seguridad de la Universidad de Princeton en noviembre de 2025 se originó a partir de un phishing telefónico dirigido a un empleado, lo que demuestra que la ingeniería social basada en la voz elude por completo los controles de seguridad del correo electrónico.
Las violaciones de datos suelen seguir un ciclo de vida predecible, que se corresponde con el marco de la cadena de ataque cibernético:
El informe DBIR 2025 de Verizon documenta un cambio drástico: el 30 % de las violaciones de seguridad ahora involucran a proveedores externos, el doble que el año anterior. Las vulnerabilidades en la cadena de suministro crean un impacto asimétrico: aunque representan menos del 5 % de las vulnerabilidades iniciales, afectaron al 47 % del total de víctimas de violaciones de seguridad en 2025.
El incidente de la plataforma Snowflake es un ejemplo de este patrón. Los atacantes comprometieron los entornos de los clientes de Snowflake mediante credenciales robadas, lo que afectó a AT&T, Ticketmaster, Neiman Marcus y muchas otras organizaciones. Un único punto débil en la cadena de suministro provocó una serie de violaciones de seguridad que afectaron a cientos de millones de personas.
Las infracciones de terceros cuestan a las organizaciones una media de 4,91 millones de dólares, lo que las convierte en el segundo vector de acceso inicial más costoso después de zero-day . Las organizaciones deben ampliar los requisitos de seguridad a los proveedores, contratistas y proveedores cloud con el mismo rigor que se aplica a los sistemas internos.
La inteligencia artificial introduce nuevas dimensiones tanto en el ataque como en la defensa. El informe 2025 de IBM revela que el 16 % de las violaciones de seguridad implicaron a atacantes que utilizaban IA, y es probable que esta cifra aumente a medida que las herramientas de IA sean más accesibles.
Los métodos de ataque basados en IA incluyen:
La IA en la sombra genera riesgos adicionales. Cuando los empleados utilizan herramientas de IA no autorizadas, pueden exponer inadvertidamente datos confidenciales a servicios de terceros. La investigación de IBM reveló que el 97 % de las organizaciones que sufrieron violaciones relacionadas con la IA carecían de controles de acceso adecuados a la IA, y que la IA en la sombra añadió 670 000 dólares al coste medio de las violaciones.
Las organizaciones deben establecer políticas de gobernanza de la IA que aborden tanto el despliegue defensivo de la IA como los riesgos derivados del uso no autorizado de la IA dentro de la empresa.
Las violaciones de datos se manifiestan de forma diferente según el vector de ataque, los datos objetivo y los objetivos de los autores de las amenazas. Comprender estas categorías ayuda a las organizaciones a priorizar las defensas y desarrollar estrategias de respuesta adecuadas.
Las violaciones de credenciales y autenticación tienen como objetivo los nombres de usuario, contraseñas, tokens de acceso y cookies de sesión. Estas violaciones permiten ataques adicionales, ya que las credenciales robadas proporcionan acceso a otros sistemas. La violación de datos públicos nacionales ejemplificó este riesgo: las credenciales en texto plano descubiertas en un sitio asociado permitieron el acceso al sistema principal.
Las violaciones de datos personales exponen información de identificación personal (PII), incluyendo nombres, direcciones, números de la Seguridad Social y fechas de nacimiento. Estos registros alimentan el robo de identidad, la creación de cuentas fraudulentas y las estafas dirigidas. Las organizaciones sanitarias se enfrentan a una exposición especial debido al tratamiento que dan a la información sanitaria protegida (PHI).
Las violaciones de datos financieros comprometen números de tarjetas de crédito, datos de cuentas bancarias e información de pago. La violación de Marquis Software, que afectó a 74 instituciones financieras, expuso los datos de las cuentas de los clientes de todo el sector bancario.
Las infracciones de la propiedad intelectual se dirigen contra secretos comerciales, códigos patentados, datos de investigación e inteligencia competitiva. Los actores estatales y los grupos de amenazas persistentes avanzadas se inclinan especialmente por esta categoría, buscando obtener ventajas económicas mediante el robo de innovaciones.
La violación de seguridad de Coupang ilustra el riesgo interno: un antiguo empleado aprovechó tokens de acceso no revocados para comprometer 33,7 millones de registros de clientes. Las organizaciones deben implementar la terminación inmediata del acceso y supervisar cualquier actividad anómala de los empleados que abandonan la empresa.
Los datos reales sobre violaciones de seguridad proporcionan un contexto fundamental para tomar decisiones sobre inversiones en seguridad y establecer prioridades en los programas. El periodo 2024-2025 fue testigo de varios incidentes sin precedentes que cambiaron la forma en que la industria entiende el riesgo de violaciones de seguridad.
El informe «IBM 2025 Cost of a Data Breach Report » (Informe de IBM sobre el coste de las violaciones de datos en 2025) documenta varias tendencias significativas:
Según el análisis de Secureframe, en la primera mitad de 2025, 166 millones de personas se vieron afectadas por filtraciones de datos, con 1732 filtraciones que representaron el 55 % del total del año 2024.
El ataque de ransomware a Change Healthcare se erige como la mayor filtración de datos sanitarios de la historia, afectando a 192,7 millones de personas según el análisis de HIPAA Journal.
Detalles clave:
Lecciones para los equipos de seguridad:
La empresa de verificación de antecedentes National Public Data sufrió una filtración que expuso 2900 millones de registros, analizados en detalle por Troy Hunt.
Detalles clave:
Lecciones para los equipos de seguridad:
AT&T sufrió dos violaciones de seguridad distintas en 2024, lo que dio lugar a un acuerdo por valor de 177 millones de dólares estadounidenses.
Detalles clave:
Lecciones para los equipos de seguridad:
La persistente posición del sector sanitario como la industria más cara refleja la sensibilidad de los datos médicos, los estrictos requisitos normativos y el atractivo del sector para los operadores de ransomware, que entienden que la interrupción de la atención sanitaria crea urgencia para pagar los rescates.
La detección y prevención proactivas reducen significativamente el impacto de las infracciones. El estudio IBM 2025 demuestra que las organizaciones con programas de seguridad maduros experimentan costes sustancialmente menores y una recuperación más rápida.
La detección moderna de brechas requiere visibilidad en redes, terminales, identidades y cloud . Ninguna herramienta por sí sola ofrece una cobertura completa; los programas eficaces combinan capacidades complementarias.
Detección y respuesta de red (NDR) analiza el tráfico de red en busca de patrones maliciosos, movimientos laterales e indicadores de exfiltración de datos. NDR destaca en la detección de amenazas que eluden los controles de los puntos finales y en la identificación de la actividad de los atacantes a lo largo de la cadena de ataque.
La detección y respuesta en los puntos finales (EDR) supervisa los dispositivos individuales en busca de malware , procesos sospechosos e indicadores de compromiso. EDR proporciona una visibilidad granular de la actividad de los puntos finales, pero puede pasar por alto los ataques basados en la red.
Gestión de información y eventos de seguridad (SIEM) correlaciona los registros de toda la empresa para identificar patrones que indiquen un compromiso. La eficacia del SIEM depende de la cobertura de los registros, la calidad de las reglas de detección y la capacidad de los analistas para investigar las alertas.
Detección y respuesta ante amenazas a la identidad (ITDR) se centra específicamente en el uso indebido de credenciales, la escalada de privilegios y los ataques basados en la identidad. Dado que el 61 % de las infracciones implican credenciales comprometidas, la detección centrada en la identidad aborda el vector de ataque dominante.
Análisis del comportamiento de usuarios y entidades (UEBA) establece bases de referencia de comportamiento y alertas sobre anomalías que pueden indicar un compromiso. El UEBA resulta especialmente valioso para detectar amenazas internas y cuentas comprometidas que muestran patrones inusuales.
Las organizaciones pueden comprobar si sus credenciales aparecen en violaciones conocidas a través de servicios como Have I Been Pwned, lo que permite una respuesta proactiva ante las credenciales expuestas antes de que los atacantes las aprovechen.
Las organizaciones que utilizan ampliamente la inteligencia artificial y la automatización en sus operaciones de seguridad detectan las infracciones 80 días más rápido y ahorran 1,9 millones de dólares en comparación con aquellas que no cuentan con estas capacidades. El tiempo medio de detección de amenazas de 241 días representa el mínimo en nueve años, lo que sugiere que las inversiones en seguridad basadas en la inteligencia artificial están dando sus frutos en todo el sector.
La prevención eficaz de infracciones combina controles técnicos con procesos organizativos:
Las organizaciones que cuentan con planes formales de respuesta ante incidentes ahorran 1,2 millones de dólares por cada violación de seguridad. Los planes eficaces deben abordar:
La Guía de respuesta ante violaciones de datos de la FTC ofrece orientación autorizada a las organizaciones que desarrollan capacidades de respuesta.
Los requisitos normativos establecen plazos específicos para la notificación de infracciones e imponen sanciones importantes por incumplimiento. Los equipos de seguridad deben comprender el panorama normativo para garantizar una respuesta adecuada y evitar agravar el impacto de las infracciones con incumplimientos normativos.
Las multas acumuladas por incumplimiento del RGPD han alcanzado los 5600-5900 millones de euros desde 2018, según el GDPR Enforcement Tracker, con más de 2200 sanciones individuales impuestas. Las organizaciones sujetas a múltiples jurisdicciones deben cumplir los requisitos aplicables más estrictos.
La Directiva NIS2 representa el avance normativo más significativo de la UE en materia de ciberseguridad desde el RGPD. La NIS2, que entrará en vigor en octubre de 2024, introduce varios requisitos nuevos para las organizaciones de 18 sectores críticos:
Las áreas de interés en materia de cumplimiento incluyen fallos de gobernanza, incidentes repetidos y falta de registro o notificación. Las organizaciones que operan en los sectores de la energía, el transporte, la salud, las finanzas y las infraestructuras digitales deben garantizar el cumplimiento de estos requisitos.
Las sanciones por infringir la HIPAA oscilan entre aproximadamente 100 dólares estadounidenses por infracción en caso de infracciones involuntarias y 50 000 dólares estadounidenses por infracción en caso de negligencia deliberada, con un límite anual de 1,5 millones de dólares estadounidenses por categoría de infracción. Las sanciones penales pueden alcanzar los 250 000 dólares estadounidenses y 10 años de prisión por el uso comercial indebido de información sanitaria protegida.
El enfoque de la aplicación de la ley en 2025 hace hincapié en los fallos en el análisis de riesgos y los retrasos en la notificación de infracciones. El acuerdo de PIH Health por valor de 600 000 dólares estadounidenses por una phishing en 2019 demuestra la continua atención de los reguladores a las deficiencias de los programas de seguridad.
Según el análisis de Foley & Lardner, los 50 estados, además del Distrito de Columbia, Puerto Rico y las Islas Vírgenes, cuentan con leyes de notificación de violaciones. Entre los avances más importantes se encuentran la medida de California de establecer un requisito de notificación en un plazo de 30 días, que entrará en vigor en enero de 2026, y las revisiones sustanciales de la ley de Oklahoma.
Las organizaciones deben realizar un seguimiento de los requisitos de notificación de todas las jurisdicciones en las que residen las personas afectadas, lo que supone una tarea compleja en el caso de las infracciones que afectan a clientes de todo el país.
MITRE ATT&CK proporciona un lenguaje común para comprender las técnicas de violación:
Los equipos de seguridad pueden utilizar ATT&CK para mapear la cobertura de detección, identificar brechas y priorizar las inversiones en control basándose en las técnicas más comúnmente observadas en las violaciones de datos.
El panorama de amenazas sigue evolucionando con ataques impulsados por la inteligencia artificial y sofisticados ataques a la cadena de suministro. Las estrategias de seguridad modernas deben adaptarse sin dejar de mantener controles fundamentales sólidos.
Las organizaciones que implementan ampliamente la inteligencia artificial y la automatización en las operaciones de seguridad obtienen resultados notablemente mejores:
La IA destaca en la correlación de señales en grandes volúmenes de datos, la identificación de anomalías de comportamiento sutiles y la priorización de alertas en función del riesgo real. Estas capacidades abordan el reto fundamental de las operaciones de seguridad modernas: demasiadas alertas y muy pocos analistas. Las organizaciones que carecen de experiencia interna pueden aprovechar los servicios gestionados de detección y respuesta para acceder a estas capacidades.
La detección y respuesta ampliadas (XDR) unifican la visibilidad en cloud red, terminales, identidades y cloud . En lugar de utilizar herramientas de detección aisladas, XDR correlaciona las señales en toda la superficie de ataque para identificar amenazas que abarcan múltiples dominios.
Este enfoque unificado resulta especialmente valioso para detectar ataques sofisticados que afectan a múltiples sistemas durante las fases de movimiento lateral y recopilación de datos. Un atacante que accede cloud desde un punto final comprometido utilizando credenciales robadas requiere una correlación entre cloud, el punto final y la telemetría de identidad para ser detectado, exactamente el escenario que aborda XDR.
La arquitectura de confianza cero parte de la base de que los atacantes lograrán el acceso inicial y se centra en limitar su capacidad para moverse lateralmente y acceder a recursos sensibles. Las organizaciones que implementan zero trust 1,04 millones de dólares por cada violación de seguridad al reducir el alcance y el impacto de los compromisos.
Los principios clave del modelo de confianza cero incluyen:
Dado que el 30 % de las infracciones ahora involucran a proveedores externos, las organizaciones deben ampliar los programas de seguridad a la cadena de suministro:
El enfoque Vectra AI para la detección de violaciones de datos se centra en Attack Signal Intelligence, que utiliza la inteligencia artificial para detectar y priorizar las amenazas basándose en el comportamiento de los atacantes, en lugar de en firmas conocidas. Esta metodología aborda la realidad de que los atacantes inevitablemente obtienen acceso inicial, por lo que el enfoque se centra en detectar actividades maliciosas como movimientos laterales, escalada de privilegios y preparación de datos antes de que se produzca la filtración.
Al supervisar simultáneamente el tráfico de red, cloud y los sistemas de identidad mediante capacidades NDR, las organizaciones pueden identificar indicadores de violaciones que las herramientas tradicionales pasan por alto. Esto resulta especialmente valioso para el 61 % de las violaciones que implican credenciales comprometidas, en las que los atacantes parecen legítimos para las herramientas basadas en firmas, pero muestran anomalías de comportamiento detectables cuando se analizan de forma holística.
El panorama de la ciberseguridad sigue evolucionando rápidamente, con las amenazas de violación de datos a la vanguardia de los nuevos retos. Durante los próximos 12-24 meses, las organizaciones deben prepararse para varios acontecimientos clave.
La inteligencia artificial está democratizando las capacidades de ataque sofisticadas. Las herramientas que antes requerían recursos estatales ahora permiten a actores menos sofisticados ejecutar campañas avanzadas. Se espera un crecimiento continuo en:
El 16 % de las infracciones que actualmente involucran a la IA representa un indicador temprano de una tendencia creciente. Las organizaciones deben invertir en defensas basadas en IA para igualar las capacidades que están desarrollando los atacantes.
La aplicación de la NIS2 se acelerará hasta 2025, a medida que los Estados miembros de la UE pongan en práctica los requisitos y apliquen las primeras sanciones. Las disposiciones de la directiva sobre la responsabilidad personal de los ejecutivos harán que los consejos de administración presten más atención a los programas de seguridad.
En Estados Unidos, las leyes estatales sobre privacidad y notificación de violaciones de datos siguen proliferando, lo que crea un panorama normativo complejo. Las medidas federales sobre las normas nacionales de notificación de violaciones de datos podrían simplificar este mosaico normativo, pero las organizaciones deben prepararse para una fragmentación normativa continuada.
La duplicación de la participación de terceros en las violaciones de seguridad indica un cambio estructural en la forma en que se desarrollan los ataques. A medida que las organizaciones refuerzan sus defensas directas, los atacantes se centran cada vez más en la cadena de suministro. Las recomendaciones de preparación incluyen:
Los responsables de seguridad deben dar prioridad a las inversiones que aborden los patrones de violaciones documentados:
Las organizaciones que alinean la inversión con la reducción de riesgos basada en pruebas obtendrán mejores resultados que aquellas que dependen del gasto genérico en seguridad.
Las violaciones de datos siguen siendo una de las amenazas más graves a las que se enfrentarán las organizaciones en 2025. El coste medio global de 4,44 millones de dólares —y de 10,22 millones de dólares para las organizaciones estadounidenses— representa solo el principio del impacto de las violaciones, como demuestra el acuerdo de 177 millones de dólares de AT&T. Para los profesionales de la seguridad, el camino a seguir requiere tanto comprender el panorama de las amenazas como implementar defensas basadas en pruebas.
Los patrones son claros: el 61 % de las infracciones implican credenciales comprometidas, el 30 % implican a proveedores externos y el 75 % de las intrusiones en el sistema incluyen ransomware. Las organizaciones que abordan estos vectores específicos mediante la protección de la identidad, la seguridad de la cadena de suministro y la resistencia al ransomware superarán a aquellas que persiguen mejoras genéricas en materia de seguridad.
Las inversiones en tecnología son importantes —la detección basada en inteligencia artificial permite una identificación 80 días más rápida y un ahorro de 1,9 millones de dólares—, pero la tecnología por sí sola no es suficiente. Las organizaciones que cuentan con planes formales de respuesta a incidentes ahorran 1,2 millones de dólares por cada violación de seguridad, mientras que la arquitectura de confianza cero reduce los costes en 1,04 millones de dólares. Estas capacidades organizativas multiplican el valor de los controles técnicos.
El panorama normativo sigue endureciéndose, y las disposiciones sobre responsabilidad ejecutiva de la NIS2 están llamando la atención de los consejos de administración de toda Europa sobre la seguridad. Las organizaciones que consideran el cumplimiento normativo como un mínimo y no como un máximo, y que utilizan los requisitos normativos como punto de partida para programas de seguridad integrales, serán las que demuestren una mayor resiliencia.
Para los equipos de seguridad que buscan reforzar las defensas de su organización contra las violaciones de datos, explorar cómo las modernas capacidades de detección y respuesta basadas en la inteligencia artificial abordan los patrones de ataque específicos documentados en los datos actuales sobre violaciones representa el siguiente paso lógico.
Una violación de datos es un incidente de seguridad en el que personas no autorizadas obtienen acceso a información confidencial, protegida o sensible. Esto incluye datos personales como nombres y números de la Seguridad Social, datos financieros como datos de tarjetas de crédito y cuentas bancarias, e información comercial como secretos comerciales y propiedad intelectual.
A diferencia de una fuga de datos, que implica una exposición accidental sin intención maliciosa, una violación requiere un acceso no autorizado confirmado, normalmente por parte de actores maliciosos que buscan robar, vender o explotar los datos comprometidos. El informe «IBM 2025 Cost of a Data Breach Report» proporciona el marco estándar del sector para definir y medir el impacto de las violaciones.
Las tres categorías principales de infracciones son:
Violaciones de credenciales y autenticación que implican el robo de contraseñas, tokens de acceso y cookies de sesión. Estas violaciones permiten nuevos ataques, ya que las credenciales robadas proporcionan acceso a otros sistemas. La violación de datos públicos nacionales de 2024, en la que las credenciales en texto plano permitieron el acceso a 2900 millones de registros, es un ejemplo de este tipo.
Violaciones de datos personales que exponen información de identificación personal (PII), información médica protegida (PHI) o registros financieros. La violación de Change Healthcare, que afectó a 192,7 millones de registros de pacientes, representa esta categoría.
Violaciones de seguridad causadas por empleados, ya sea por actos maliciosos o por negligencia. La violación de seguridad de Coupang en 2025, en la que un antiguo empleado aprovechó tokens de acceso no revocados para comprometer 33,7 millones de registros, es un ejemplo del riesgo que suponen los empleados.
Cada tipo requiere diferentes estrategias de prevención y respuesta, desde la seguridad de las credenciales y la gestión del acceso hasta la supervisión de las amenazas internas.
El coste medio global de las violaciones de seguridad en 2025 será de 4,44 millones de dólares, lo que supone una disminución del 9 % con respecto a los 4,88 millones de dólares de 2024, según un estudio de IBM. Sin embargo, esta media oculta variaciones significativas:
Los costes incluyen gastos directos, como los forenses y la reparación, costes indirectos, como la pérdida de clientes y el daño a la reputación, e impactos a largo plazo, como multas reglamentarias y acuerdos legales. El acuerdo de 177 millones de dólares de AT&T demuestra cómo los costes de las infracciones se acumulan a lo largo de los años a través de los litigios.
En 2025, las organizaciones tardarán una media de 241 días en identificar y contener una brecha de seguridad, lo que supone un mínimo en nueve años y una mejora con respecto a los 258 días anteriores. Esta métrica representa la media combinada del tiempo de detección (MTTD) y el tiempo de respuesta (MTTR).
Las organizaciones que utilizan ampliamente la inteligencia artificial y la automatización detectan las infracciones 80 días más rápido y ahorran 1,9 millones de dólares en comparación con aquellas que no cuentan con estas capacidades. Esta mejora espectacular demuestra el valor de las herramientas de seguridad basadas en la inteligencia artificial para la detección y respuesta ante infracciones.
El tiempo de detección varía significativamente según el tipo de ataque. Los ataques de ransomware con un impacto evidente se detectan rápidamente, mientras que las operaciones sofisticadas de robo de datos pueden persistir durante meses antes de ser descubiertas. La media de 241 días subraya por qué la prevención sigue siendo fundamental: a menudo se producen daños importantes antes de la detección.
Al descubrir una posible infracción, las organizaciones deben:
La Guía de respuesta ante violaciones de datos de la FTC ofrece orientación detallada para desarrollar procedimientos de respuesta.
Según un estudio de 2025, las credenciales comprometidas causan el 61 % de las violaciones de seguridad, lo que convierte el robo de credenciales en el vector de ataque predominante. Los atacantes obtienen las credenciales mediante phishing , relleno de credenciales utilizando contraseñas filtradas anteriormente y la compra de credenciales en mercados de la web oscura.
Otras causas importantes incluyen:
La violación de Change Healthcare ilustra múltiples factores: credenciales robadas (el vector de credenciales del 61 %) obtenidas a través de medios no revelados, utilizadas para acceder a un sistema que carecía de protección MFA, seguido del despliegue de ransomware (el factor ransomware del 75 %).
Los requisitos varían significativamente según la jurisdicción:
RGPD (Unión Europea): Las organizaciones deben notificar a las autoridades supervisoras en un plazo de 72 horas desde que tengan conocimiento de una infracción que afecte a residentes de la UE. Las sanciones pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual global.
NIS2 (Unión Europea): Las organizaciones de sectores críticos deben proporcionar una alerta temprana de 24 horas sobre incidentes significativos, seguida de un informe completo en un plazo de 72 horas. Las sanciones alcanzan los 10 millones de euros o el 2 % de los ingresos, y la directiva introduce la responsabilidad personal de los ejecutivos.
HIPAA (Estados Unidos): Las organizaciones sanitarias deben notificar a las personas afectadas en un plazo de 60 días desde el descubrimiento. Las infracciones que afecten a más de 500 personas requieren notificación a los medios de comunicación y comunicación al HHS. Las sanciones anuales máximas alcanzan los 1,5 millones de dólares por categoría de infracción.
Leyes estatales de EE. UU.: Los 50 estados tienen leyes de notificación de infracciones con requisitos variables. California pasará a un requisito de 30 días en 2026, mientras que otros estados varían desde un «plazo razonable» hasta un número específico de días.
Las organizaciones sujetas a múltiples jurisdicciones deben cumplir los requisitos aplicables más estrictos. Las transferencias internacionales de datos añaden una complejidad adicional, ya que las infracciones pueden dar lugar a obligaciones en todas las jurisdicciones en las que residen las personas afectadas.
Un plan de respuesta a incidentes es vital para abordar con rapidez y eficacia las violaciones de datos en caso de que se produzcan. Un plan bien preparado describe los pasos que hay que dar para contener la violación, evaluar los daños, notificar a las partes afectadas y restablecer los servicios, minimizando el impacto en la organización.
Normativas como el Reglamento General de Protección de Datos (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA) exigen medidas estrictas de protección de datos y la notificación de las violaciones de datos. El cumplimiento de estas normativas exige un enfoque proactivo de la seguridad de los datos, que incluya la aplicación de medidas sólidas de protección de datos y procedimientos de notificación de infracciones.
Las tendencias futuras incluyen la creciente adopción de inteligencia artificial y aprendizaje automático para la detección predictiva de amenazas, el uso de blockchain para el almacenamiento seguro de datos y transacciones, y el creciente énfasis en los principios de privacidad por diseño en el desarrollo de software para mejorar la seguridad de los datos desde el principio.