En un mundo cada vez más digital, las violaciones de datos se han vuelto alarmantemente rutinarias. Aquí están los 10 ataques más destructivos de la historia.

Logan Voss | Unsplash
Las herramientas de colaboración de SharePoint de Microsoft $MSFT han enfrentado ataques generalizados en los últimos días, impactando a agencias federales y estatales de EE.UU., universidades, empresas energéticas y más. No debería sorprender: Cada año, miles de organizaciones son víctimas de ciberataques que comprometen información sensible, interrumpen operaciones y erosionan la confianza pública.
Contrariamente a la creencia popular, muchas filtraciones no son el resultado de sofisticadas explotaciones modernas, sino de fallas prevenibles cometidas debido a errores humanos muy básicos.
Según el Informe de Investigación de Brechas de Datos de Verizon $VZ, ha habido un incremento del 34% en atacantes explotando vulnerabilidades existentes de la empresa desde 2024. El costo promedio de una brecha de datos se ha disparado a alrededor de 9,36 millones de dólares en EE.UU. Estos costos crecientes reflejan no solo el daño técnico de una brecha sino también la ruina reputacional a largo plazo.
Ya sea por infraestructura obsoleta, error humano o ataques dirigidos, las consecuencias de una brecha pueden ser devastadoras tanto para la empresa como para sus usuarios. Detrás de cada titular sobre registros robados o sistemas comprometidos hay millones de individuos cuyas vidas privadas de repente quedan expuestas.
La empresa de la nube Zmanda reunió las 10 brechas de datos más caras de todos los tiempos, clasificadas por el daño total en general. Las 10 brechas que se presentan aquí son solo las más catastróficas de estos incidentes, representando solo una fracción de las amenazas observadas en los últimos años.

Check Point
Costo total: $10 mil millones
NotPetya surgió en junio de 2017, disfrazado de ransomware pero funcionando como un ataque de borrado de datos. Se propagó a través de una actualización maliciosa de M.E.Doc, el software fiscal más utilizado en Ucrania. El malware explotó EternalBlue, una herramienta filtrada de la NSA que permitió la ejecución de código remoto a través de Windows SMBv1 y Mimikatz, que extrae credenciales de la memoria del sistema. La empresa de logística Maersk tuvo que reconstruir 4,000 servidores y 45,000 PC globalmente dentro de los días posteriores a que su red fuera borrada. La mayoría de las infecciones ocurrieron en Ucrania, cerrando la infraestructura crítica, incluidos bancos, transporte y el sistema de monitoreo de Chernóbil. Los gobiernos de EE. UU. y el Reino Unido atribuyeron el ataque a la agencia de inteligencia militar GRU de Rusia.

TJX
Coste total: $4.5 mil millones
En 2007, los hackers infiltraron los sistemas de TJX explotando la débil encriptación WEP en una red inalámbrica en Marshalls en Florida. explotando la débil encriptación WEP en una red inalámbrica en Marshalls en Florida. Más de 45.6 millones de números de tarjetas de crédito y débito fueron robados durante un período de 18 meses, convirtiéndolo en la mayor violación de datos minorista en ese momento. Los atacantes instalaron espías para interceptar datos de transacciones no encriptados y credenciales de inicio de sesión. Más tarde, los investigadores encontraron que TJX había retenido datos prohibidos de Track 2 de tarjetas y violado múltiples controles del PCI DSS, lo que provocó reformas en toda la industria en la seguridad de datos de comerciantes.

Epsilon
Costo total: $4 mil millones
En marzo de 2011, Epsilon, una de las empresas de marketing por correo electrónico más grandes del mundo, sufrió una violación después de que los atacantes obtuvieran acceso no autorizado a su sistema de correo electrónico. Los piratas informáticos robaron nombres y direcciones de correo electrónico de clientes, incluidos JPMorgan $JPM Chase, Best Buy $BBY y Walgreens $WBA, afectando a se estima que 60 millones de usuarios. Si bien no se expusieron datos financieros, la información robada alimentó campañas de phishing generalizadas. La violación destacó los riesgos de las plataformas de marketing centralizadas y llevó a las empresas a reevaluar el intercambio de datos con terceros. Las notificaciones escalonadas de Epsilon también plantearon preocupaciones sobre la coordinación y transparencia de la respuesta a la violación.

Equifax
Costo total: Al menos $1.4 mil millones en 2017
Los atacantes explotaron CVE-2017-5638, una vulnerabilidad conocida en el marco web Apache Struts que Equifax no había parcheado durante más de dos meses en 2017 después de que se lanzó una solución. Esto permitió el acceso no autorizado a datos sensibles de 147 millones de estadounidenses, incluidos nombres, fechas de nacimiento, números de Seguro Social y detalles de licencias de conducir. La brecha pasó desapercibida durante 76 días debido a un certificado SSL expirado que deshabilitó el monitoreo del tráfico interno. Los investigadores más tarde encontraron que a Equifax le faltaba un inventario adecuado de activos y gestión de parches, contribuyendo a la magnitud del compromiso.

Dima Solomin | Unsplash
Costo total: $725 millones
Se reveló en 2018 que Cambridge Analytica había recopilado datos de aproximadamente 87 millones de usuarios de Facebook $META a través de una aplicación de cuestionarios llamada Esta es tu vida digital, which collected not only user data but also data from their Facebook friends due to Facebook's API permissions. The data was used to build psychographic profiles for targeted political advertising, including during the 2016 U.S. presidential election. The breach violated Facebook’s 2012 FTC consent order, later conduciendo a una multa de $5 mil millones y reformas de privacidad generales. Facebook luego restringió el acceso a datos de terceros y renovó su infraestructura de privacidad.

U.S. Department of Veterans Affairs
Costo total: $500 millones
En mayo de 2006, un analista de datos de VA se llevó a casa una computadora portátil y un disco duro externo que contenían datos personales sin cifrar de 26,5 millones de veteranos. personal sobre 26,5 millones de veteranos, incluidos nombres, fechas de nacimiento, números de Seguro Social y calificaciones de discapacidad. Los dispositivos fueron robados durante un robo, y el VA esperó 19 días para notificar a los veteranos afectados. La violación expuso fallas serias en la seguridad interna y la supervisión, lo que provocó audiencias en el Congreso y un esfuerzo gubernamental generalizado para políticas de cifrado y notificación de violaciones. Los equipos robados fueron recuperados más tarde y el análisis forense no encontró evidencia de acceso a los datos.

Target
Costo total: $292 millones
A finales de 2013, los atacantes infiltraron la red de Target $TGT usando credenciales robadas de su proveedor de HVAC, Fazio Mechanical Services. Una vez dentro, se movieron lateralmente e instalaron malware en los sistemas de punto de venta, capturando 40 millones de registros de tarjetas de pago y 70 millones de perfiles de clientes durante la temporada navideña. El malware raspó los datos de la tarjeta de la memoria del sistema durante las transacciones en vivo. El fracaso de Target para segmentar su red permitió a los atacantes acceder a sistemas sensibles desde un portal de proveedores. La violación provocó importantes reformas en la gestión del riesgo de terceros y aceleró la adopción de la tecnología de tarjetas con chip y NIP en los minoristas de EE. UU.

WRBC Inc.
Costo total: $252 millones
Entre el 7 de diciembre de 2007 y el 10 de marzo de 2008, un malware instalado en los servidores de casi 300 tiendas de Hannaford Bros. interceptó datos de tarjetas de crédito y débito durante el proceso de pago, exponiendo 4,2 millones de números de tarjeta. El software malicioso capturó datos en tránsito mientras las tarjetas eran autorizadas en lugar de desde bases de datos almacenadas, marcando una de las primeras grandes brechas de datos de transacciones en vivo. Se vincularon al menos 1.800 casos de fraude a la brecha. Hannaford cumplía con PCI en ese momento, lo que generó preocupaciones sobre la adecuación de los estándares de seguridad existentes y provocó llamados para un cifrado más fuerte de los datos de pago en vuelo.

Sony Interactive Entertainment
Costo total: $171 millones
La red PlayStation de Sony $SONY sufrió una violación que expuso datos personales de 77 millones de cuentas de usuario, incluidos nombres, direcciones de correo electrónico, fechas de nacimiento y credenciales de inicio de sesión. Sony confirmó que los datos de las tarjetas de crédito estaban cifrados, pero admitió que no podía descartar la posibilidad de robo. La interrupción comenzó el 20 de abril de 2011 y duró 23 días, convirtiéndola en una de las más largas en la historia de los videojuegos. Sony enfrentó críticas por retrasar la notificación a los usuarios y luego ofreció juegos gratuitos y protección contra el robo de identidad. La violación provocó importantes mejoras en la seguridad de la red y los protocolos de respuesta a incidentes de Sony.

Yahoo Inc.
Costo total: $152.5 millones
A finales de 2014, Yahoo sufrió una violación que expuso datos personales de 500 millones de cuentas de usuario, incluidos nombres, direcciones de correo electrónico, fechas de nacimiento, números de teléfono y contraseñas cifradas. Yahoo atribuyó el ataque a un actor patrocinado por un estado, aunque nunca se confirmó la nación en particular. La violación no se reveló hasta septiembre de 2016, lo que provocó críticas por la respuesta tardía de Yahoo. Aunque la mayoría de las contraseñas estaban cifradas utilizando bcrypt, algunas cuentas incluían preguntas de seguridad y respuestas sin cifrar. El incidente afectó la adquisición de Yahoo por Verizon $VZ y condujo a un escrutinio regulatorio y múltiples demandas.