Fuga de datos: lo que deben saber los equipos de seguridad
Información clave
Las filtraciones de datos costarán a las organizaciones una media de 4,44 millones de dólares a nivel mundial en 2025, mientras que las organizaciones estadounidenses pagarán 10,22 millones de dólares, lo que supone un máximo histórico (IBM Cost of a Data Breach 2025).
Las credenciales comprometidas son la causa del 61 % de las filtraciones; los atacantes se autentican con datos de acceso robados en lugar de aprovechar fallos técnicos (SailPoint 2025).
Una empresa media tarda 241 días en detectar y contener una filtración de datos, mientras que aquellas que utilizan sistemas de detección basados en inteligencia artificial reducen ese plazo en 80 días (IBM 2025).
La participación de terceros representa actualmente el 30 % de las violaciones de seguridad, el doble que el año anterior, y se prevé que, en 2025, las vulnerabilidades en la cadena de suministro afecten al 47 % de todas las víctimas de violaciones de seguridad (Verizon DBIR 2025).
Las multas acumuladas en virtud del RGPD han alcanzado entre 5 600 y 5 900 millones de euros desde 2018, y la aplicación de la NIS 2 conlleva ahora la responsabilidad personal de los directivos por fallos de seguridad en 18 sectores críticos (GDPR Enforcement Tracker 2025).
Esta guía explica qué es una filtración de datos, cómo se producen estas filtraciones en los entornos empresariales actuales y qué pueden hacer los equipos de seguridad —desde analistas del SOC y personal de respuesta a incidentes hasta directores de seguridad de la información (CISO) y arquitectos de seguridad— para detectarlas, contenerlas y prevenirlas. Abarca los vectores de ataque, los costes de las filtraciones por sector, los indicadores de detección basada en el comportamiento, los plazos de notificación exigidos por la normativa y las lecciones operativas extraídas de incidentes recientes, entre los que se incluyen los de Change Healthcare, AT&T y National Public Data.
¿Qué es una violación de datos?
Una filtración de datos es cualquier incidente de seguridad en el que personas no autorizadas obtienen acceso a información confidencial, protegida o sensible. Esto incluye datos personales, como nombres y números de la Seguridad Social; datos financieros, como datos de tarjetas de crédito y cuentas bancarias; e información crítica para la empresa, como secretos comerciales y propiedad intelectual. A diferencia de la divulgación accidental, una filtración implica un acceso no autorizado confirmado, normalmente por parte de actores maliciosos que pretenden robar, vender o aprovechar los datos comprometidos con fines de lucro, espionaje o extorsión.
No todos los incidentes de seguridad cumplen los requisitos. La distinción entre violación, fuga e incidente determina qué plazo reglamentario comienza a correr y si se aplica el plazo de notificación de 72 horas.
Una filtración de datos consiste en un acceso no autorizado y confirmado a datos confidenciales por parte de actores maliciosos. Estos actores penetraron deliberadamente en los sistemas, accedieron a los datos o los sustrajeron, y provocaron una exposición confirmada.
Una fuga de datos se refiere a la divulgación involuntaria de información sin la intervención de un agente malintencionado; por ejemplo, un depósito cloud mal configurado que expone los registros de los clientes constituye una fuga; no es necesario que ningún atacante la haya descubierto o aprovechado.
Un incidente de seguridad abarca cualquier suceso que pueda poner en peligro la seguridad de la información, incluidos los intentos de ataque fallidos, las infracciones de las políticas y las actividades anómalas. No todos los incidentes constituyen una violación de la seguridad, pero toda violación de la seguridad comienza como un incidente.
Según el RGPD, solo las violaciones confirmadas dan lugar a la obligación de notificarlas a las autoridades de control en un plazo de 72 horas. Las organizaciones que califiquen erróneamente las fugas como violaciones, o viceversa, se enfrentan a sanciones normativas acumulativas y a un daño a su reputación.
¿Cómo se producen las filtraciones de datos?
La mayoría de las filtraciones de datos intencionadas siguen la misma secuencia: reconocimiento, compromiso del sistema, movimiento lateral, preparación y exfiltración; y los atacantes rara vez se saltan alguno de estos pasos. Hay tres causas fundamentales que están detrás de la mayoría de los incidentes: errores involuntarios de los empleados, personas malintencionadas con acceso autorizado y atacantes externos que actúan de forma independiente o como parte de grupos delictivos organizados.
Independientemente de cuáles sean esas causas fundamentales, la evolución desde el acceso inicial hasta el impacto total sigue cinco fases bien definidas, cada una de las cuales representa una oportunidad de detección concreta y un punto de fallo concreto en caso de que no se disponga de visibilidad.
Reconocimiento: Los actores maliciosos identifican las organizaciones objetivo, analizan a los empleados, las tecnologías y los posibles puntos de entrada mediante la investigación de fuentes abiertas y el escaneo de redes.
Infiltración inicial: Los atacantes consiguen su primer punto de acceso mediante phishing, robo de credenciales, explotación de vulnerabilidades o compromiso de la cadena de suministro. La filtración de Change Healthcare comenzó aquí, cuando los atacantes obtuvieron credenciales de Citrix que carecían de autenticación multifactorial.
Movimiento lateral: Una vez dentro, los atacantes recorren la red en busca de objetivos de gran valor. Las técnicas de movimiento lateral incluyen la recopilación de credenciales, el aprovechamiento de las relaciones de confianza entre sistemas y el pivote entre entornos cloud locales que comparten una identidad federada.
Recopilación y preparación de datos: Los atacantes recopilan datos del objetivo y los preparan para su exfiltración. Esta fase suele implicar un tiempo de permanencia prolongado, ya que los actores maliciosos acceden metódicamente a los repositorios confidenciales.
Exfiltración e impacto: Los datos salen de la organización, a menudo seguidos de la instalación de ransomware, demandas de extorsión o divulgación pública. El tiempo medio de detección de 241 días (IBM 2025) significa que muchas organizaciones descubren las filtraciones solo en esta fase final, cuando los datos ya se han trasladado.
Vectores de ataque habituales en las filtraciones de datos
El robo de credenciales por sí solo representa el 61 % de las filtraciones confirmadas, pero hay otros cinco vectores que contribuyen de manera significativa al número total de incidentes, cada uno con tasas de prevalencia distintas y requisitos de detección diferentes.
Vector de ataque
Descripción
Prevalencia en 2025
Ejemplo
Robo de credenciales
Datos de autenticación robados o comprometidos
El 61 % de las infracciones
Cambiar la asistencia sanitaria
Phishing e ingeniería social
Ataques basados en el engaño dirigidos a personas
16 % de infracciones
Universidad de Princeton
ransomware
Cifrado combinado con robo de datos
El 75 % de las intrusiones en el sistema
Software Marquis
Cloud
cloud protegidos de forma inadecuada
Vector de crecimiento
Datos públicos nacionales
Amenazas internas
Empleados maliciosos o negligentes
entre el 5 % y el 10 % de las infracciones
Coupang (antiguo empleado)
Compromiso de terceros
Incumplimiento por parte del proveedor o de la cadena de suministro
El 30 % de las infracciones
AT&T a través de Snowflake
Fuentes: IBM, «El coste de una filtración de datos en 2025»; Verizon, «DBIR 2025»; SailPoint, «2025»
Las vulnerabilidades de terceros generan un riesgo asimétrico. Aunque representaban menos del 5 % de los vectores de ataque iniciales, las brechas en la cadena de suministro afectaron al 47 % de todas las víctimas en 2025 (Verizon DBIR 2025). El incidente de la plataforma Snowflake ilustra el mecanismo: los atacantes comprometieron los entornos de los clientes mediante credenciales robadas, lo que afectó simultáneamente a AT&T, Ticketmaster, Neiman Marcus y otras empresas. Un único punto débil de un proveedor provocó una cascada de brechas que afectaron a cientos de millones de personas.
En 2025, el 16 % de las infracciones de seguridad se debieron a atacantes que utilizaron herramientas de IA: phishing generados por modelos de lenguaje grande (LLM) phishing burlan los filtros basados en el lenguaje, malware polimórfico malware se reescribe a sí mismo para eludir las firmas de detección y operaciones de reconocimiento automatizadas a una escala que antes requería la infraestructura de un Estado-nación (IBM 2025). Hace tres años, esa cifra era prácticamente nula.
El coste de una filtración de datos
El coste medio mundial de una filtración de datos, que asciende a 4,44 millones de dólares, subestima el riesgo financiero al que se enfrentan la mayoría de las grandes empresas. Las empresas estadounidenses pagan más del doble de la media mundial. Los costes se derivan de cuatro categorías: pérdida de negocio, detección y escalado, respuesta tras la violación de seguridad y notificación a las autoridades reguladoras, y se agravan debido a los acuerdos legales que se producen meses o años después del incidente. El sector sanitario ha registrado el coste medio más elevado por violación de seguridad de todos los sectores durante 14 años consecutivos, mientras que los sectores industrial y energético presentan una tendencia al alza en 2025.
Industria
Coste medio de una filtración (2025)
Evolución interanual
Sanidad
USD 7.42 millones
El más alto por decimocuarto año consecutivo
Servicios financieros
USD 6.08 millones
Estable
Industrial
USD 5.56 millones
Aumentando
Tecnología
USD 5.45 millones
Ligero descenso
Energía
USD 5.29 millones
Aumentando
Fuente: IBM, «El coste de una filtración de datos en 2025»
El momento en que se detecta una brecha determina la magnitud del coste más que casi cualquier otro factor individual. Las organizaciones que utilizan sistemas de seguridad basados en inteligencia artificial detectan las brechas 80 días antes y gastan, de media, 1,9 millones de dólares menos (IBM 2025). Las organizaciones con planes formales de respuesta a incidentes ahorran 1,2 millones de dólares por cada brecha. Las que operan con arquitecturas de confianza cero ahorran 1,04 millones de dólares. Las brechas que permanecen sin detectar durante más de 200 días cuestan significativamente más que las que se contienen en un plazo de 100 días, lo que convierte la velocidad de detección en una variable financiera directa, y no en una métrica de seguridad abstracta.
Cómo detectar una filtración de datos en curso
El 61 % de las brechas de seguridad se deben al uso de credenciales robadas, en las que los atacantes se hacen pasar por usuarios legítimos y realizan acciones que parecen autorizadas en sistemas que no detectan nada inusual. Los sistemas de detección que se basan en firmas de amenazas conocidas pasan por alto por completo estos ataques. El EDR supervisa el terminal. El SIEM supervisa los registros. Ninguno de los dos detecta al atacante moviéndose de un lado a otro entre las cargas de trabajo.
En todos esos entornos, hay siete anomalías de comportamiento que indican de forma fiable que se está produciendo una intrusión activa; cada una de ellas representa un punto en el que el movimiento del atacante se desvía de los patrones legítimos y se vuelve detectable antes de que los datos salgan del entorno.
Patrones de autenticación inusuales: credenciales legítimas que acceden a los sistemas a horas atípicas, desde ubicaciones desconocidas o con una frecuencia incompatible con la función asignada a la cuenta. Cuando los atacantes utilizan credenciales robadas para actuar como usuarios autorizados, determinar si una cuenta legítima ha sido comprometida depende del análisis del comportamiento, y no de la comparación de firmas.
Señales de movimiento lateral: escaneo interno , conexiones inesperadas entre sistemas que normalmente no se comunican entre sí, o cuentas de servicio que acceden a recursos fuera de su ámbito operativo.
Actividad de escalada de privilegios: cuentas que obtienen permisos elevados fuera de los periodos de control de cambios o sin que consten las correspondientes solicitudes administrativas. Para detectar cómo los atacantes escalan sus privilegios de acceso en entornos híbridos es necesario un seguimiento continuo del comportamiento de las identidades, y no auditorías periódicas.
Acceso anómalo a los datos: acceso masivo a directorios confidenciales, enumeración inusual de archivos o patrones de agregación de datos que preceden a la preparación y la sustracción de datos.
Comunicación de tipo «comando y control»: tráfico saliente cifrado hacia puntos finales externos desconocidos, túneles DNS o patrones de señalización a intervalos regulares que sugieren un comportamiento de conexión automática.
Indicadores de preparación para la exfiltración: archivos comprimidos de gran tamaño creados en directorios temporales, o traslados de datos hacia cloud o soportes extraíbles en volúmenes inusuales.
Comportamientos de evasión de la defensa: intentos de desactivar el registro, borrar los registros de eventos, desinstalar herramientas de seguridad o modificar las políticas de auditoría.
La detección y respuesta en endpoints supervisa los endpoints gestionados, pero no puede observar el tráfico este-oeste a través de la red ni detectar amenazas en dispositivos no gestionados, sistemas de IoT y cloud donde no es posible implementar agentes. Los sistemas SIEM reconstruyen los incidentes a partir de los registros una vez que la actividad ha tenido lugar, lo que requiere tiempo, una correlación manual y suposiciones sobre lo que es relevante. La detección y respuesta de red cubre esta falta de visibilidad analizando los patrones de tráfico en todo el entorno en tiempo real, incluyendo el tráfico cifrado, el movimiento lateral entre sistemas y el comportamiento de las identidades que nunca pasan por un punto final equipado con un agente.
El plazo medio de 241 días para la detección de brechas de seguridad refleja el tiempo que los defensores operan con una visibilidad incompleta antes de que la actividad sea detectable mediante las herramientas existentes. La detección basada en el comportamiento reduce ese plazo al identificar los avances del atacante mientras estos se producen, y no después de que los datos ya se hayan filtrado.
Cómo prevenir y actuar ante una filtración de datos
La prevención de brechas reduce la probabilidad de que se produzca una intrusión inicial y limita los movimientos del atacante una vez que ha obtenido acceso. La respuesta ante incidentes limita los daños una vez que se confirma la brecha. Ambas son imprescindibles: la prevención sin un plan de respuesta supone que las defensas son infalibles; un plan de respuesta sin prevención implica una exposición innecesaria.
Las medidas de control con una base empírica más sólida abordan el uso indebido de credenciales, la exposición a terceros y los factores humanos que facilitan la vulneración inicial; cada una de ellas cuenta con un impacto económico documentado, según un estudio de IBM de 2025.
Implemente la autenticación multifactorial en todos los puntos de acceso, especialmente en el acceso remoto y las cuentas con privilegios. La filtración de datos de Change Healthcare pone de manifiesto cómo una sola brecha en la autenticación multifactorial puede provocar un compromiso catastrófico y sistémico. Comprender cómo los atacantes eluden los controles de autenticación —mediante técnicas como el agotamiento de la autenticación multifactorial y el robo de tokens — permite identificar dónde se encuentran las brechas de seguridad que entrañan mayor riesgo.
Implemente una arquitectura de confianza cero que verifique todas las solicitudes de acceso, independientemente de su origen. Zero trust los costes de las violaciones de seguridad en una media de 1,04 millones de dólares (IBM, 2025).
Imparte cursos periódicos de sensibilización sobre seguridad que aborden phishing, la seguridad de las credenciales y la ingeniería social. Los factores humanos contribuyen a la mayoría de las brechas de seguridad iniciales en todos los vectores.
Amplíe los requisitos de seguridad a los proveedores externos mediante obligaciones contractuales, evaluaciones de seguridad y una supervisión continua de su estado de seguridad. Las brechas de seguridad en proveedores externos suponen un coste medio de 4,91 millones de dólares, lo que las convierte en el segundo vector de acceso inicial más costoso después de zero-day (IBM 2025).
Implemente políticas de gobernanza de la IA que regulen el uso autorizado de herramientas de IA y prevengan los riesgos de la «IA en la sombra», que aumentaron en 670 000 dólares el coste medio de las infracciones en las organizaciones que sufrieron incidentes relacionados con la IA (IBM 2025).
Mantén copias de seguridad cifradas fuera de línea, aisladas de las redes de producción. El ransomware no puede cifrar lo que no puede alcanzar.
Realice auditorías periódicas de las credenciales y aplique una política de rotación para reducir el tiempo de exposición derivado de credenciales comprometidas u obsoletas.
Mantenga una gestión rigurosa de los parches: la filtración de datos de Marquis Software se originó a través de una vulnerabilidad conocida de SonicWall que las organizaciones tuvieron tiempo de solucionar antes de que se produjera el ataque.
Una respuesta eficaz sigue una secuencia documentada: comienza con la contención antes de que se lleve a cabo cualquier medida correctiva y concluye con una revisión posterior al incidente que actualiza tanto los controles como las reglas de detección.
Contener la filtración y evitar una mayor pérdida de datos, al tiempo que se conservan las pruebas forenses para la investigación.
Evaluar el alcance identificando los sistemas afectados, los tipos de datos y el número de personas afectadas.
Notificar a las partes interesadas, incluidos los asesores jurídicos, la dirección ejecutiva, los clientes afectados y las autoridades reguladoras, dentro de los plazos establecidos.
Recurra a especialistas, como equipos forenses y asesores jurídicos con experiencia en incidentes de seguridad, y considere la posibilidad de contratar servicios de detección proactiva de amenazas para identificar indicadores de compromiso adicionales que las herramientas automatizadas puedan haber pasado por alto.
Solucione las vulnerabilidades que permitieron la filtración, abordando las causas fundamentales en lugar de los síntomas.
Documenta las lecciones aprendidas y actualiza los controles de seguridad, las reglas de detección y los procedimientos de respuesta antes de dar por cerrado el incidente.
Requisitos de notificación y cumplimiento en caso de filtración de datos
Las multas por el RGPD, que desde 2018 han ascendido a entre 5 600 y 5 900 millones de euros, no se impusieron principalmente por no haber evitado las violaciones de datos, sino que muchas de ellas se debieron al incumplimiento de los plazos de notificación, a la clasificación errónea de los incidentes y a la presentación de informes inadecuados (GDPR Enforcement Tracker 2025). El marco normativo al que está sujeta una organización determina qué plazo de notificación comienza en el momento en que se confirma una violación, y clasificar erróneamente una violación como un incidente de seguridad puede dar lugar a una segunda sanción independiente, además de la correspondiente al evento original.
Marco
Ventana de notificaciones
Pena máxima
Alcance
GDPR
72 horas para la autoridad
20 millones de euros o el 4 % de los ingresos globales.
Interesados de la UE
NIS2
Aviso con 24 horas de antelación + informe completo en 72 horas
10 millones de euros o el 2 % de los ingresos globales.
La NIS2, que entrará en vigor en octubre de 2024, introduce la responsabilidad personal de los directivos —una novedad en la legislación de la UE en materia de ciberseguridad— para las organizaciones de 18 sectores críticos, entre los que se incluyen la energía, el transporte, la sanidad y las finanzas. En Estados Unidos, California ha establecido un requisito de notificación de 30 días que entrará en vigor en enero de 2026, y los 50 estados, además del Distrito de Columbia, Puerto Rico y las Islas Vírgenes, cuentan con leyes de notificación independientes. Una organización que opera en EE. UU., la UE y el Reino Unido a menudo se enfrenta a tres plazos de notificación simultáneos, y el más corto de ellos marca la fecha límite operativa.
MITRE ATT&CK asigna las técnicas de los atacantes a identificadores específicos, lo que proporciona a los equipos de detección un vocabulario común para identificar las lagunas de cobertura. El acceso a credenciales y el uso indebido de cuentas válidas predominan en la primera mitad del ciclo de vida de una brecha de seguridad, mientras que las técnicas de recopilación y exfiltración definen la segunda; cada táctica representa una oportunidad distinta para la detección antes de que se produzca el impacto.
Táctica
Técnica
ID
Relevancia de la infracción
Acceso inicial
Phishing
T1566
16 % de infracciones
Acceso a credenciales
Cuentas válidas
T1078
El 61 % implica credenciales.
Colección
Datos del sistema local
T1005
Técnica de perforación del núcleo
Exfiltración
Exfiltración a través del canal C2
T1041
Método principal de robo de datos
Impacto
Datos cifrados para causar impacto
T1486
El 75 % de las intrusiones en el sistema
Fuentes: MITRE ATT&CK; IBM: El coste de una filtración de datos en 2025; Verizon DBIR 2025
Ejemplos destacados de filtraciones de datos
Tres incidentes recientes ilustran el funcionamiento de las violaciones de seguridad modernas, así como los fallos en la detección que permitieron que cada una de ellas pasara de la fase inicial de compromiso a su máximo impacto.
Fuga de datos de Change Healthcare (febrero de 2024)
Change Healthcare cayó en manos del grupo de ransomware ALPHV/BlackCat en febrero de 2024, después de que los atacantes aprovecharan unas credenciales de acceso remoto de Citrix que carecían de protección mediante autenticación de dos factores (MFA). El ataque, la mayor filtración de datos sanitarios de la historia, afectó a 192,7 millones de personas (HIPAA Journal), interrumpió las operaciones de las farmacias en todo el país durante meses y obligó a UnitedHealth Group a pagar un rescate de 22 millones de dólares, según se informó.
Detalles clave:
Acceso inicial: credenciales de Citrix robadas sin protección MFA
Proceso del ataque: acceso mediante credenciales seguido de la instalación del ransomware
Alcance del impacto: 192 ,7 millones de historiales de pacientes; interrupción del servicio farmacéutico en todo el país
Datos afectados: historiales de pacientes , información sobre seguros, historiales de tratamientos
Lecciones para los equipos de seguridad:
El protocolo MFA es imprescindible en los sistemas de acceso remoto, ya que un solo punto de entrada desprotegido genera un riesgo sistémico en todo un ecosistema sanitario interconectado.
La detección basada en el comportamiento de las actividades relacionadas con las identidades habría detectado el uso indebido de credenciales antes de que el ransomware llegara a los sistemas de producción.
Violaciones de datos de AT&T (marzo y julio de 2024)
AT&T sufrió dos filtraciones distintas en 2024, lo que dio lugar a un acuerdo extrajudicial por valor de 177 millones de dólares. El incidente de marzo provocó la filtración de datos de clientes debido a un ataque a una plataforma de terceros; el incidente de julio consistió en una filtración relacionada con Snowflake que afectó a los registros de llamadas de los clientes. Impacto total: más de 73 millones de clientes afectados.
Detalles clave:
Primer incidente (marzo de 2024): filtración de datos de clientes a raíz de un ataque a un proveedor externo
Segundo incidente (julio de 2024): una filtración relacionada con Snowflake que afectó a los registros de llamadas de los clientes
Repercusión total: más de 73 millones de clientes; acuerdo de demanda colectiva que abarca ambos incidentes
Lecciones para los equipos de seguridad:
cloud de terceros exigen un nivel de seguridad tan riguroso como el de los sistemas internos.
La acumulación de múltiples incidentes agrava el daño reputacional y económico mucho más allá de lo que habría causado cada una de las infracciones por separado.
Los costes derivados de una filtración de datos van mucho más allá de las medidas correctivas inmediatas, ya que incluyen acuerdos extrajudiciales que se alcanzan meses después de que se haya resuelto el incidente.
Violación de datos públicos nacionales (abril de 2024)
La empresa de verificación de antecedentes National Public Data sufrió una filtración que dejó al descubierto 2.900 millones de registros, entre los que se incluyen números de la Seguridad Social, nombres y direcciones.
Causa principal: las credenciales en texto plano de un sitio web asociado permitieron el acceso a la base de datos principal. Posteriormente, la empresa se declaró en quiebra.
Detalles clave:
Causa principal: las credenciales en texto sin cifrar de una propiedad conectada permitieron el acceso a la base de datos principal
Datos afectados: 2 .900 millones de registros, entre los que se incluyen números de la Seguridad Social, nombres y direcciones
Magnitud: una de las filtraciones de datos más grandes de la historia en cuanto al número de registros
Consecuencia: Declaración de quiebra tras la revelación del incumplimiento
Lecciones para los equipos de seguridad:
La gestión de credenciales debe abarcar todas las propiedades y dominios conectados, no solo los sistemas de producción principales.
La minimización de datos reduce el impacto de las filtraciones; la recopilación de datos innecesarios genera riesgos innecesarios a gran escala.
Las consecuencias económicas reales de una filtración a gran escala de datos personales no son meras hipótesis.
Cómo Vectra AI la detección de violaciones de datos
El enfoque Vectra AI para la detección de fugas de datos se centra en el análisis del comportamiento en cloud de la red, la identidad y cloud , identificando la actividad de los atacantes tras el acceso inicial, mientras aún se producen movimientos, antes de que los datos salgan del entorno.
Attack Signal Intelligence
Vectra AI Attack Signal Intelligence detectar y priorizar amenazas basándose en el comportamiento de los atacantes, en lugar de en firmas conocidas. Cuando los atacantes utilizan credenciales válidas —como ocurre en el 61 % de las brechas de seguridad—, las herramientas basadas en firmas lo interpretan como un acceso autorizado. La IA conductual identifica que la misma identidad está realizando reconocimientos, accediendo a sistemas fuera de su ámbito operativo y manipulando datos, incluso cuando cada acción individual parece legítima por sí sola. Esta distinción es lo que diferencia la detección que capta las brechas en curso de la detección que las descubre a través de su impacto posterior.
Detección y Respuesta en Red (NDR)
Al supervisar simultáneamente el tráfico de red, cloud y los sistemas de identidades, Vectra AI indicadores de brechas de seguridad que las herramientas tradicionales pasan por alto. NDR destaca en la detección de amenazas que eluden los controles de los puntos finales: movimiento lateral entre dispositivos no gestionados, tráfico cifrado de comando y control, y abuso de identidades en cloud locales y cloud . En el 61 % de las brechas provocadas por el robo de credenciales, en las que los atacantes parecen ser usuarios legítimos, el análisis de comportamiento a nivel de red proporciona la capa de visibilidad que cierra la brecha entre el compromiso inicial y el descubrimiento de la brecha.
Observabilidad unificada a lo largo de toda la cadena de ataque
Vectra AI el comportamiento de los atacantes en cada una de las cinco fases del ciclo de vida de una brecha de seguridad, desde el reconocimiento inicial hasta el movimiento lateral, la escalada de privilegios y la preparación de datos. Los equipos de seguridad tienen así la oportunidad de contener las amenazas antes de que se produzca la filtración de datos, en lugar de descubrirlas cuando ya se han producido repercusiones operativas o normativas.
Capacidad
Función
Se ha abordado la fase de la brecha
Detecciones de IA basadas en el comportamiento
Detecta patrones de actividad anómalos en la red, la gestión de identidades y cloud
Reconocimiento, desplazamiento lateral
Análisis del acceso privilegiado
Detecta el uso anómalo de privilegios y la escalada de privilegios fuera de los flujos de trabajo autorizados
Escalada de privilegios
Priorización de agentes de IA
Identifica las identidades y los hosts de mayor riesgo en función de la evolución del ataque
Todas las fases
Respuesta 360
Detecta identidades y dispositivos comprometidos en tiempo real
Exfiltración, impacto
Informes preparados para auditorías
Proporciona pruebas fehacientes de la cobertura de detección y las medidas de respuesta
Cumplimiento normativo tras una violación de la seguridad
Durante los 241 días que la mayoría de las organizaciones pasan sin darse cuenta de que se está produciendo una intrusión, el resultado no viene determinado por la sofisticación del atacante, sino por la capacidad de los defensores para detectar sus movimientos.
Conclusión
Las filtraciones de datos no son sucesos aleatorios. Los patrones son constantes: las credenciales comprometidas facilitan el acceso inicial, el movimiento lateral a través de flujos de trabajo legítimos prolonga el tiempo de permanencia del atacante, la visibilidad fragmentada retrasa la detección y las conexiones de terceros multiplican el impacto en las fases posteriores. Las organizaciones que abordan estos vectores específicos mediante la detección basada en el comportamiento, la seguridad de la identidad y una planificación formal de la respuesta ante incidentes obtienen sistemáticamente mejores resultados que aquellas que se limitan a introducir mejoras genéricas en materia de seguridad.
Para evaluar el nivel de riesgo actual de su organización, tenga en cuenta estas preguntas de diagnóstico:
¿Es capaz su equipo de seguridad de detectar el movimiento lateral y la escalada de privilegios en tiempo real tanto en dispositivos gestionados como no gestionados, o solo a posteriori mediante el análisis de registros?
¿Tu programa de detección identifica el uso indebido de credenciales y las anomalías de identidad, o se basa en firmas que consideran las credenciales válidas como acceso autorizado?
¿Cuánto tiempo tardaría su equipo en detectar una intrusión iniciada a través de una plataforma de terceros utilizando credenciales legítimas?
¿Puede presentar pruebas válidas para una auditoría sobre su cobertura de detección y sus medidas de respuesta en el plazo reglamentario de 72 horas?
¿Tiene una visión clara y constante de cómo se comportan en este momento las identidades —ya sean de personas, cuentas de servicio o no humanas— en toda su red?
Las organizaciones que subsanan estas deficiencias con mayor rapidez gastan menos, se recuperan antes y se presentan ante las autoridades reguladoras con datos, no con explicaciones.
Fuentes y metodología
Las estadísticas y las cifras sobre violaciones de seguridad que figuran en esta página proceden de las siguientes fuentes primarias:
Informe de IBM sobre el coste de una filtración de datos en 2025: costes medios de las filtraciones a nivel mundial y en EE. UU., comparativas de costes por sectores, datos sobre el tiempo de detección y el impacto financiero de la inteligencia artificial, zero trust y los programas de respuesta ante incidentes
Informe de Verizon sobre investigaciones de filtraciones de datos 2025: prevalencia del ransomware en las intrusiones en sistemas y tasas de vulnerabilidades de terceros
SailPoint 2025 — Índices de uso de credenciales
Seguimiento de la aplicación del RGPD en 2025: importes acumulados de las multas y número de sanciones individuales
Revista HIPAA — Modificación del recuento de registros sanitarios
Foley & Lardner 2025 — Novedades en la legislación estatal estadounidense sobre notificación
MITRE ATT&CK — identificadores de técnicas y clasificaciones de tácticas
Los incidentes de violación de datos mencionados se documentan a través de informes de dominio público y de la información facilitada por las propias organizaciones.
Preguntas frecuentes
¿Qué es una violación de datos?
Una filtración de datos es un incidente de seguridad en el que personas no autorizadas obtienen acceso a información confidencial, protegida o sensible, incluidos datos personales, registros financieros o propiedad intelectual, normalmente mediante el robo de credenciales, phishing o la explotación de sistemas.
¿Cómo se producen las filtraciones de datos?
La mayoría de las violaciones de seguridad intencionadas siguen cinco etapas: reconocimiento, compromiso inicial, movimiento lateral, recopilación y preparación de datos, y exfiltración. Las credenciales comprometidas son el método de acceso inicial más habitual, ya que están implicadas en el 61 % de los incidentes.
¿Cuáles son los vectores de ataque más comunes en las filtraciones de datos?
Los vectores más frecuentes son el robo de credenciales (el 61 % de las filtraciones), phishing la ingeniería social (el 16 %), el ransomware (el 75 % de las intrusiones en los sistemas), cloud , las amenazas internas y el compromiso de terceros o de la cadena de suministro (el 30 % de las filtraciones, y la cifra va en aumento). Fuentes: IBM 2025; Verizon DBIR 2025.
¿Cuánto tiempo se tarda en detectar una violación de datos?
Las organizaciones tardan una media de 241 días en detectar y contener una violación de seguridad (IBM 2025). Se trata del mínimo registrado en los últimos nueve años, lo que refleja una mejora en las capacidades de detección, pero sigue suponiendo meses durante los cuales los atacantes pueden desplazarse lateralmente, ampliar sus privilegios y preparar el robo de datos sin ser detectados.
¿Qué deben hacer los equipos de seguridad inmediatamente después de detectar una filtración de datos?
Limite la incidencia para evitar una mayor pérdida de datos, conservando al mismo tiempo las pruebas forenses. A continuación, evalúe el alcance, notifique a las autoridades reguladoras pertinentes dentro de los plazos establecidos, recurra a especialistas forenses y jurídicos, solucione las causas fundamentales y documente las lecciones aprendidas. No proceda a la solución antes de que se hayan conservado las pruebas.
¿Cuánto cuesta una violación de datos?
La media mundial será de 4,44 millones de dólares por incidente en 2025, y las empresas estadounidenses pagarán una media de 10,22 millones de dólares, lo que supone un máximo histórico. El sector sanitario es el más costoso, con 7,42 millones de dólares por incidente (IBM Cost of a Data Breach 2025).
¿Qué normativas exigen la notificación de las violaciones de datos?
Entre los principales marcos normativos se incluyen el RGPD (notificación a las autoridades de control en un plazo de 72 horas), la Directiva NIS 2 (alerta temprana en un plazo de 24 horas más un informe completo en un plazo de 72 horas), la HIPAA (60 días para informar a los interesados) y las leyes estatales de EE. UU., cuyos plazos oscilan entre 30 y 60 días. Los 50 estados de EE. UU., además del Distrito de Columbia, Puerto Rico y las Islas Vírgenes, establecen requisitos de notificación independientes.
¿Cómo ayuda la detección y respuesta de red a detectar filtraciones de datos?
NDR analiza el tráfico de red en tiempo real en dispositivos gestionados y no gestionados, cloud y sistemas de identidades, detectando movimientos laterales, uso indebido de credenciales y comunicaciones de comando y control que las herramientas basadas en terminales y registros no detectan. Se trata de la capa de visibilidad que reduce el lapso de tiempo entre la intrusión inicial y la detección de la violación de seguridad en el 61 % de los ataques motivados por el uso de credenciales válidas.
