Estudios

Las violaciones de datos financieros representaron 153,3 millones de registros filtrados desde enero de 2018 hasta junio de 2022.

$Las infracciones financieras representaron 153,3 millones de registros filtrados desde enero de 2018 hasta junio de 2022 (1)$

Desde enero de 2018, las empresas financieras han sufrido casi mil violaciones de datos, que afectaron a más de 153,3 millones de registros.

Nuestro equipo de investigadores analizó datos desde 2018 hasta junio de 2022 para descubrir la causa principal de estas infracciones, cuántos registros se han visto afectados cada mes y año, las organizaciones financieras más afectadas y qué estados de EE. UU. sufren la mayor cantidad de infracciones financieras.

Nuestro estudio cubrió infracciones que afectaron a millones de personas, algunas de las cuales llevaron a la explotación de datos financieros personales, lo que dejó a muchas víctimas sin dinero. Los datos bancarios, los números de la Seguridad Social, las credenciales/contraseñas y los números de identificación fiscal son sólo algunos ejemplos de los tipos de datos que los delincuentes roban de las entidades financieras.

2021 fue el peor año en cuanto a filtraciones de datos financieros, con un aumento del 12 por ciento con respecto a la cifra de 2020 (pasando de 233 filtraciones a 260). Hasta ahora, 2022 parece más tranquilo en cuanto al número de infracciones cometidas (hasta finales de junio, solo se han registrado 37 infracciones). Sin embargo, la cantidad media de registros afectados es la más alta desde 2018 y, dado que muchas infracciones se reportan varios meses después de que ocurrieron, es probable que estas cifras aumenten con el tiempo.

Resultados clave:

982 filtraciones de datos financieros desde enero de 2018 hasta junio de 2022
153.334.145 registros individuales se vieron afectados como consecuencia de estos incumplimientos
2021 fue el año con mayor número de infracciones financieras con 260 reportadas (el segundo más alto fue 2018 con 247)
2019 fue el año con mayor número de registros afectados, con más de 101 millones en total (2021 fue el segundo más alto, pero con una cifra mucho menor de 23,2 millones).
El vasto recuento de registros de 2019 se debe principalmente a la violación en Capital One, N.A., donde se robaron 100 millones de registros (compuestos de detalles de pagos y tarjetas) de las víctimas.
2022 es el año con mayor número (hasta ahora) de registros afectados por filtraciones de datos financieros: 3633
Las compañías de seguros han sufrido la mayor cantidad de filtraciones de datos, seguidas de cerca por los bancos y las compañías de inversión.
La piratería fue el tipo de infracción más común y representó más del 50 por ciento de las infracciones (508 de 982).
Los ataques de ransomware son una amenaza creciente para las violaciones de datos financieros y han aumentado significativamente en los últimos años.

Si bien los 50 estados de EE. UU. tienen notificación obligatoria de violaciones de datos , hay algunas variaciones. Por ejemplo, algunos tienen requisitos diferentes según la cantidad de registros afectados, p. En Alaska, si es necesario notificar una infracción a más de 1.000 personas, también se debe notificar a las agencias de informes del consumidor. Del mismo modo, sólo algunos estados tienen listas disponibles públicamente de las notificaciones de violación de datos que han recibido. Por lo tanto, es probable que las cifras que hemos encontrado apenas toquen la superficie del verdadero alcance de las violaciones de datos financieros.

Los años más importantes para las filtraciones de datos financieros

2021 fue el año con mayor número de filtraciones de datos financieros, con 260 en total. 2018 también registró una gran cantidad de infracciones con 247 reportadas, pero tuvo la menor cantidad de registros afectados con solo 3,5 millones.

Si se excluyeran los 100 millones de registros afectados por la filtración de datos de Capital One en 2019, los registros vulnerados han aumentado año tras año de 3,5 millones en 2018 a 18,3 millones en 2020 y un aumento adicional a 23,2 millones en 2021.

Del mismo modo, si observamos el número medio de registros afectados cada año, hubo fuertes aumentos de 2018 a 2019 (aumentando un 145 por ciento de 585 a 1433) y de 2019 a 2020 (aumentando un 100 por ciento de 1433 a 2872). Esto se redujo ligeramente de 2020 a 2021 (una caída del 1,5 por ciento a 2.828), pero aumentó un 28 por ciento de 2021 a 2022 (aumentando a 3.633). A esto se suma el hecho de que los ataques parecen ser cada vez más específicos en su enfoque.

¿Cómo será el año 2022 en cuanto a las filtraciones de datos financieros?

Durante los primeros seis meses de 2022, se reportaron 37 violaciones de datos financieros con 7.056.706 registros afectados. Si bien estas cifras pueden parecer pequeñas ahora, es probable que aumenten en los próximos meses. Sin embargo, a lo largo de nuestra Filtración de datos e informes de ransomware, estamos notando una caída en 2022. Esto quizás se deba a que se están llevando a cabo ataques más dirigidos. Podemos ver esto con el ataque de ransomware a Professional Finance Company, donde se informa que más de 650 proveedores de atención médica y un número creciente de víctimas (1,9 millones y contando) se vieron afectados por este ataque.

Violaciones de datos por tipo de empresa financiera

Cuando desglosamos los datos por tipo de empresa financiera afectada por la violación de datos, podemos ver los tipos de organizaciones a las que se dirige y cómo esto ha cambiado año tras año.

Tenga en cuenta: una empresa ha sido categorizada según su servicio principal. Por ejemplo, algunas empresas de inversión también pueden ofrecer asesoramiento sobre pólizas de seguros, pero han sido clasificadas como empresas de inversión.

En general, las compañías de seguros son las organizaciones más atacadas y representan el 23 por ciento (223) de todas las filtraciones de datos financieros que hemos rastreado desde 2018. Les siguen los bancos (170 filtraciones) y las empresas de inversión (162 filtraciones). Sin embargo, año tras año, son las compañías de seguros las que han experimentado el mayor crecimiento. Los ataques a bancos alcanzaron su punto máximo en 2020, mientras que los ataques a inversiones disminuyeron en 2020, pero volvieron a aumentar en 2021.

Las compañías hipotecarias también han experimentado un crecimiento en los ataques, aumentando un 33 por ciento (de 15 a 20) de 2020 a 2021. Por el contrario, las compañías de ahorro y préstamo han experimentado menos ataques anualmente, pasando de 25 ataques en 2018 a 11 en 2021.

En lo que respecta a los registros afectados por estos ataques, la banca fue la más afectada, pero la mayoría de ellos (100 millones de 104,7 millones) fueron de la violación de Capital One. Las compañías de seguros también han visto afectados un gran volumen de registros, con casi 20 millones afectados durante el período del informe.

Si miramos elmedianaregistros afectados por tipo de organización financiera, las organizaciones más afectadas cambian. Las criptomonedas (53.080) y los bancos de Internet (3,75 millones) tienen las medianas más altas, pero esto se debe a que solo unas pocas empresas fueron atacadas en sus respectivas categorías, lo que sesga las medianas aquí. Sin embargo, en un mayor número de infracciones, son las empresas de jubilación/pensiones las que ven la mediana más alta de registros afectados: 22.661.

Esto es significativamente más alto que el de seguros (con una mediana de 1.527), bancos (con una mediana de 2.401) y compañías de inversión (con una mediana de 1.076). Y mucho más alto que todas las demás categorías que hemos cubierto: contabilidad e impuestos (1999), firmas de corretaje (4365), cooperativas de crédito (5671), asesores financieros (357), tecnología financiera (1103), compañías hipotecarias (1928). ), y ahorros y préstamos (1.479).

Las mayores filtraciones de datos financieros conocidas desde enero de 2018 hasta junio de 2022

Según nuestros hallazgos, ha habido 13 violaciones de datos financieros en las que se han visto afectados un millón o más de registros. Estos son:

2019, Capital One, N.A. = 100 millones de registros afectados: Un pirata informático accedió ilegalmente y obtuvo información personal y bancaria de 100 millones de usuarios de tarjetas de crédito de Capital One debido a una mala configuración de un firewall. Esto permitió al intruso acceder a los datos del usuario almacenados por Capital One en Amazon Web Services.
2021, Cash App Investing, LLC = 8,2 millones de registros afectados: Los datos personales de los clientes de Cash App se vieron comprometidos después de que un ex empleado descargara informes internos sin permiso. Los datos expuestos incluyeron su número de cuenta de corretaje, así como su actividad comercial reciente.
2020, Dave, Inc. = 7,5 millones de registros afectados: Una parte malintencionada obtuvo acceso no autorizado a Dave, Inc (una aplicación de finanzas personales).
2020, Infinity Insurance Company = 5,72 millones de registros afectados: Tras la investigación, Infinity Insurance descubrió acceso no autorizado a archivos en ciertos servidores de la empresa dentro de su red durante dos días.
2021, Insurance Technologies Corporation = 4,34 millones de registros afectados: Insurance Technologies Corp. se vio obligada a pagar 11 millones de dólares en una demanda colectiva por violación de datos ante el Tribunal de Distrito de Estados Unidos. La empresa no protegió ni aseguró adecuadamente la información del cliente, lo que resultó en que una parte no autorizada explotara la información personal.
2022, Elephant Insurance Services, LLC = 2,76 millones de registros afectados: Después de sospechar una actividad inusual en su red, Elephant Insurance determinó que es posible que se haya visto o copiado información del consumidor de su red, incluidos nombres, números de licencia de conducir y fecha de nacimiento.
2021, Lakeview Loan Servicing, LLC = 2,53 millones de registros afectados: Esta violación financiera causó revuelo cuando Lakeview Loan Servicing no notificó a los consumidores afectados durante tres meses. Los miembros del grupo sufrieron gastos de bolsillo y su información personal se vio comprometida.
2022, la Sociedad Financiera Profesional = 1,9 millones de registros: Afectada por un ataque de ransomware en febrero de 2022, la empresa de cobro de deudas Professional Finance Company informó al Departamento de Salud y Servicios Humanos de EE. UU. que más de 1,9 millones de registros de pacientes se vieron afectados.
2022, Departamento de Seguros de Texas = 1,8 millones de registros afectados: La información personal de casi 2 millones de texanos estuvo expuesta y disponible públicamente durante casi tres años debido a una falla en el código de la aplicación web del departamento.
2021, Horizon Actuarial Services, LLC = 1,54 millones de registros afectados: En este ataque de ransomware, se pagó a un grupo de piratas informáticos una cantidad de dinero no revelada a cambio de que la información robada fuera eliminada y no distribuida ni utilizada indebidamente. Se accedió a dos servidores informáticos sin autorización.
2021, Flagstar Bank (Accellion de terceros) = 1,54 millones de registros afectados: Flagstar tardó seis meses en reconocer que había habido acceso no autorizado a su red, lo que provocó el robo de sus números de Seguro Social a 1,5 millones de clientes.
2018, SunTrust Banks, Inc = 1,5 millones de registros afectados: Un ex empleado robó copias impresas de listas de contactos de clientes, incluidos nombres, direcciones, números de teléfono, saldos de cuentas y correos electrónicos.
2020, Arthur J. Gallagher & Co. = 1,14 millones de registros afectados: Gallagher detectó un evento de ransomware que afectó a sus sistemas internos. Los piratas informáticos obtuvieron datos personales de clientes de alto perfil, incluidos pasaportes, números de identificación fiscal, información de tarjetas de crédito, firmas electrónicas, nombres de usuario y contraseñas.

Estas violaciones de datos financieros de mayor rango cubrieron una variedad de tipos de violaciones de datos, incluida la piratería informática, el ransomware, la divulgación y las violaciones de información privilegiada. Consulte el gráfico a continuación sobre cuál fue el tipo de violación de datos más popular utilizado.

La piratería ha demostrado ser el método más popular para las violaciones de datos, y más de la mitad de las violaciones ocurren de esta manera (508 de 982 violaciones). Los ataques de piratería aumentaron un 16 por ciento de 2019 a 2020 y más de un 30 por ciento de 2020 a 2021.

Algunos de los mayores aumentos en los últimos años provienen del ransomware, que fue la fuente de 5 infracciones en 2018, 2 en 2019, 17 en 2020 y 26 en 2021. Este tipo de infracciones, en las que los actores maliciosos exigen una suma paga en La devolución por destruir o devolver de forma segura datos robados se está volviendo cada vez más popular. Esto es algo que hemos observado en nuestro seguimiento continuo de los ataques de ransomware en EE. UU., mediante los cuales los piratas informáticos utilizan tácticas de extorsión de 'doble inmersión'. Esto implica que los delincuentes encripten los sistemas para provocar un tiempo de inactividad paralizante para las organizaciones y, al mismo tiempo, robar datos que pueden retener para pedir un rescate o venderlos en otros lugares.

Por el contrario, estamos viendo una disminución en las infracciones físicas: no se reportaron ninguna en 2020 y 2021. Esto refleja el movimiento de muchos documentos a formatos en línea, lo que, si bien es conveniente, pone a estos documentos en mayor riesgo de explotación mediante piratería, como podemos. ver.

Los 5 estados más afectados por violaciones de datos financieros y registros afectados

Si echamos un vistazo al número de filtraciones por estado de EE. UU., podemos ver que California tuvo con diferencia la mayor cantidad, representando 115 (casi el 12 por ciento) de las 982 filtraciones de datos.

Violaciones de datos financieros y registros afectados por año y estado

Estado	Número total de infracciones	Número total de registros afectados	Población del Estado	# de registros afectados por cada 100.000 personas	Número total de infracciones	Número total de registros afectados	Número total de infracciones	Número total de registros afectados	Número total de infracciones	Número total de registros afectados	Número total de infracciones	Número total de registros afectados	Número total de infracciones	Número total de registros afectados
Alabama	13	5,830,381	5,039,877	115,685	4	9,429	4	71,488	3	5,733,064	dos	16,400	0	0
Alaska	1	0	732,673	0	0	0	0	0	0	0	1	0	0	0
Arizona	7	203,829	7,276,316	2,801	1	0	1	825	1	0	4	203,004	0	0
Arkansas	3	503	3,025,891	17	1	0	0	0	0	0	dos	503	0	0
California	115	8,733,256	39,237,836	22,257	16	100,272	24	170,707	29	8,025,329	40	263,840	6	173,108
Colorado	quince	2,272,681	5,812,069	39,103	3	4	dos	1,867	4	28,215	5	323,654	1	1,918,941
Connecticut	18	220,729	3,605,597	6,122	4	53,865	4	45,624	1	0	8	114,232	1	7,008
Delaware	7	2,538,188	1,003,384	252,963	1	752	3	167	dos	8	1	2,537,261	0	0
Distrito de Columbia	9	156,106	670,050	23,298	1	0	4	5,671	dos	14,637	dos	135,798	0	0
Florida	42	866,384	21,781,128	3,978	13	16,391	8	22,967	7	694,222	14	132,804	0	0
Georgia	veintiuno	3,110,174	10,799,566	28,799	7	1,504,624	5	4,975	6	49,124	3	1,551,451	0	0
Hawai	3	60,340	1,441,553	4,186	0	0	1	55,840	0	0	dos	4,500	0	0
Idaho	1	17,438	1,900,923	917	0	0	1	17,438	0	0	0	0	0	0
Illinois	57	1,288,539	12,671,469	10,169	quince	58,156	7	11,960	16	1,194,196	18	24,227	1	0
Indiana	35	886,001	6,805,985	13,018	quince	818,357	5	9,603	6	379	8	57,540	1	122
Iowa	26	372,257	3,193,079	11,658	6	7,007	7	40,924	3	26,834	10	297,492	0	0
Kansas	8	191,639	2,934,582	6,530	0	0	1	1,639	3	19,211	4	170,789	0	0
Kentucky	7	37,446	4,509,394	830	dos	1,573	1	1,527	1	1,548	dos	23,216	1	9,582
Luisiana	6	329,705	4,624,047	7,130	0	0	dos	42,385	1	170,426	3	116,894	0	0
Maine	3	2,914	1,372,247	212	0	0	dos	2,038	0	0	1	876	0	0
Maryland	30	214,702	6,165,129	3,483	10	3,773	14	121,478	4	1,226	dos	88,225	0	0
Massachusetts	41	349,793	6,984,723	5,008	14	274,959	8	8,109	5	19,733	once	45,039	3	1,953
Michigan	25	1,867,666	10,050,811	18,582	4	4,304	5	65,258	6	94,818	8	1,697,534	dos	5,752
Minnesota	29	823,154	5,707,390	14,423	8	2,346	5	93,960	8	28,081	7	698,592	1	175
Misisipí	3	21,764	2,949,965	738	1	7,690	1	0	1	14,074	0	0	0	0
Misuri	16	503,865	6,168,187	8,169	4	819	6	11,298	0	0	6	491,748	0	0
Montana	4	1,910	1,104,271	173	dos	489	0	0	1	1,311	0	0	1	110
Nebraska	once	60,318	1,963,692	3,072	6	12,241	3	41,401	0	0	1	3,531	1	3,145
Nevada	1	0	3,143,991	0	0	0	0	0	1	0	0	0	0	0
Nuevo Hampshire	9	7,517	1,388,992	541	3	298	1	1	1	168	4	7,050	0	0
New Jersey	33	304,124	9,267,130	3,282	9	4,244	7	8,269	9	27,533	8	264,078	0	0
Nuevo Mexico	5	242,573	2,115,877	11,464	0	0	0	0	dos	0	dos	12,825	1	229,748
Nueva York	80	916,599	19,835,913	4,621	veintiuno	88,364	quince	123,973	veintiuno	262,105	veintiuno	381,850	dos	60,307
Carolina del Norte	18	320,154	10,551,162	3,034	4	105,990	3	2,378	6	21,658	4	190,128	1	0
Dakota del Norte	3	6,955	774,948	897	0	0	0	0	1	0	1	6,955	1	0
Ohio	29	235,817	11,780,017	2,002	5	106,256	8	23,750	9	10,640	6	91,050	1	4,121
Oklahoma	8	240,594	3,986,639	6,035	1	7,013	0	0	7	233,581	0	0	0	0
Oregón	7	8,207,909	4,246,155	193,302	dos	1,090	dos	3,991	1	0	dos	8,202,828	0	0
Pensilvania	48	275,387	12,964,056	2,124	once	23,356	8	15,048	quince	88,615	12	116,249	dos	32,119
Rhode Island	dos	547	1,095,610	cincuenta	1	262	1	285	0	0	0	0	0	0
Carolina del Sur	4	58,377	5,190,705	1,125	0	0	0	0	dos	11,424	1	28,201	1	18,752
Dakota del Sur	7	39,824	895,376	4,448	0	0	dos	1	4	39,823	0	0	1	0
Tennesse	quince	56,080	6,975,218	804	5	4,605	1	1,513	3	12,366	4	37,313	dos	283
Texas	63	7,594,826	29,527,941	25,721	18	223,320	once	50,370	18	1,053,993	13	4,438,350	3	1,828,793
Utah	13	306,618	3,337,975	9,186	7	2,963	3	23,544	1	220,245	dos	59,866	0	0
Vermont	4	5,596	645,570	867	dos	0	dos	5,596	0	0	0	0	0	0
Virginia	38	103,128,306	8,642,274	1,193,301	10	2,637	9	100,199,323	10	146,493	6	17,166	3	2,762,687
Washington	quince	36,275	7,738,692	469	dos	2,560	5	8,341	4	8,310	4	17,064	0	0
Virginia del Oeste	1	5,114	1,782,959	287	0	0	0	0	1	5,114	0	0	0	0
Wisconsin	veinte	374,821	5,895,908	6,357	8	28,691	dos	223	6	23,302	4	322,605	0	0
Wyoming	3	8,450	578,803	1,460	0	0	1	8,450	1	0	1	0	0	0

Nueva York (80), Texas (63), Illinois (57) y Pensilvania (48) son los otros cuatro estados más afectados. Sin embargo, como todos estos se encuentran entre los estados más poblados de EE. UU., esto quizás no sea una gran sorpresa.

En lo que respecta al número de registros afectados, el panorama cambia un poco.

Virginia ocupa el primer lugar en cuanto al número de registros afectados, ya que representa casi el 65 por ciento de los registros afectados en todos los estados (103 millones de 151,7 millones de registros). Sin embargo, la mayoría de ellos provienen de la violación de datos de Capital One antes mencionada. Como la oficina central está ubicada en Virginia, los registros están asignados a este estado, pero los residentes de todo Estados Unidos se habrán visto afectados.

Sin embargo, incluso si ignoramos la violación de Capital One, Virginia aún ocuparía el quinto lugar en cuanto a registros afectados debido a que otros 3.128.306 se vieron afectados en el estado.

California registra el segundo mayor número de registros afectados con 8,7 millones de registros violados, seguida de cerca por Oregón (8,2 millones), Texas (7,6 millones) y Alabama (5,8 millones).

Georgia, Delaware, Colorado, Michigan e Illinois también registraron violaciones de más de 1 millón de registros.

No hace falta decir que Virginia vuelve a encabezar la lista de registros afectados por cada 100.000 personas. Pero cuando miramos a los principales estados restantes, comenzamos a ver qué estados pueden haber sido los más afectados por las violaciones de datos financieros.

Delaware registra el segundo mayor número de registros violados por cada 100.000 personas con 252.963 registros. Le siguieron de cerca Oregón (193.302 registros afectados por cada 100.000 personas) y Alabama (115.685 registros afectados por cada 100.000 personas).

Estos cuatro estados fueron los únicos que tuvieron más de 100.000 registros de afectados por cada 100.000 habitantes. Por ejemplo, el siguiente estado más alto fue Colorado con 39.103 registros afectados por cada 100.000 personas, lo que muestra cuántos registros financieros perdieron esos estados en comparación.

Metodología

Para obtener una visión completa de las violaciones de datos financieros que se han producido en los últimos 4,5 años, nuestro equipo buscó en recursos de la industria, herramientas estatales de notificación de violaciones de datos y fuentes de noticias para recopilar una lista extensa de violaciones de datos que se remontan a 2018. .

Cuando sea posible, el incumplimiento se asigna al año y mes en que se produjo. Por ejemplo, es posible que se haya producido una infracción en 2020, pero que solo se haya revelado en 2021. Por lo tanto, asignaríamos esto a las cifras de 2020, ya que fue entonces cuando ocurrió la infracción.

Cada vulneración se asignó a un tipo de vulneración cuando fue posible; muy a menudo no se reveló suficiente información sobre la vulneración de datos y en ese caso se asignó que la vulneración era desconocida.

Las compañías de seguros de salud no se han incluido en este informe ya que las clasificamos en salud organizaciones en nuestros otros informes.

Investigador de datos:charlotte bono