El día internacional para la protección de datos personales se conmemora el 28 de enero, con el objetivo de concientizar sobre la importancia de proteger y promover el derecho a la privacidad de la información de las personas.
Este día internacional de la protección de datos personales fue proclamado en 2006 por la Unión Europea en homenaje a la firma del Convenio 108 de 1981.
En la Argentina rige la ley de protección de datos personales N.º 25.326, que resguarda los datos de las personas para que no sean utilizados sin su consentimiento.
Sin embargo, uno de los retos para conseguir ese objetivo es la falta de conocimiento en los usuarios de las tecnologías de la información y la comunicación (TIC) sobre los riesgos que corren sus datos personales y cómo blindar su información en Internet.
Un estudio de la empresa de seguridad informática Kaspersky indica que el 35% de los usuarios latinoamericanos de Internet no sabe cómo se recopilan sus datos personales en línea.
El desconocimiento conlleva al mal manejo de los datos personales, ya sea con consentimiento o de manera involuntaria.
Una encuesta de Kaspersky indica que el 44% de los usuarios de Internet en la Argentina, 47% en Chile, 45% en Colombia, 37% en Perú, 35% en Brasil, y 24% en México, proporciona sus datos personales a cambio de descuentos o cupones, sin verificar si estos son reales o se trata de una estafa.
El estudio también señala que la mayoría de los usuarios (76%) estaría abierto a publicar información comprometedora a cambio de algún beneficio o pago y que más de un cuarto (28%) comparte información sensible de sus datos personales en redes sociales.
Expertos de Kaspersky advierten que el mal resguardo de la privacidad, que va de la mano con la cultura de compartir de más en línea, puede culminar en consecuencias importantes para los usuarios, como el «doxing», la práctica de hacer pública y subir a Internet la información privada de una persona (nombre, datos personales, información financiera, dirección, etc.), y la venta de datos personales en los mercados clandestinos en la web.
«Antes de publicar información personal, especialmente en redes sociales, es recomendable que los usuarios consideren cómo el contenido que comparten en línea puede ser interpretado y utilizado por otros. La cautela y la prevención, especialmente cuando se trata de información sensible, son muy buenos aliados», propuso Fabio Assolini, director del equipo de investigación y análisis para América latina en Kaspersky, en un comunicado que me envió esta empresa.
“Los ciberdelincuentes encuentran un terreno cada vez más extenso en el mundo digital para llegar a los usuarios a través de estrategias que les permiten apoderarse de sus datos personales”, explicó Sebastián Stranieri, fundador y director general ejecutivo de la empresa VU, en un comunicado que me envió esta empresa.
Hernán Carrascal, director de ventas de VU para la región andina sostuvo que «la ciberdelincuencia es un fenómeno criminal que abarca ataques a los sistemas informáticos, accesos ilegítimos y destrucción de información. También la utilización de esos sistemas para cometer otros delitos como los fraudes a través de Internet”.
Los cinco ataques más comunes a tus datos personales
Los ciberataques son intentos de exponer, robar, cambiar o destruir datos personales o dañar una red mediante un acceso no autorizado.
Estas amenazas están diseñadas para atacar a las empresas o personas, y a veces incluso a las naciones. Los más comunes, según VU, son los siguientes:
«Phishing»
Estafas orientadas a engañar a los usuarios con el objetivo de que revelen información confidencial para ser utilizada con fines fraudulentos.
El atacante puede llamar, enviar un correo electrónico o WhatsApp a la víctima haciéndose pasar por una organización o entidad.
«Ransomware»
Como parte de un ataque de phishing, el delincuente manda a la víctima un mensaje con un archivo adjunto malicioso o un enlace que la redirige a un sitio web engañoso donde descarga el programa malicioso.
«Malware»
Término amplio que contempla diferentes clases de software malicioso, entre ellos virus, gusanos y «spyware». Estos ataques aprovechan una vulnerabilidad y se introducen en la red para plantar el código nocivo.
«Password spraying»
Técnica utilizada para obtener credenciales de acceso válidas que consiste en probar contraseñas de uso común en varias cuentas de usuario.
«Doxing»
Consiste en revelar información y datos personales de una persona, como su nombre real, dirección particular, lugar de trabajo, teléfono, datos financieros, etc., para luego divulgarlo al público sin el permiso de la víctima.
«El doxing ocurre cuando una persona recopila y comparte información privada sobre otra persona en línea sin su consentimiento, para avergonzar, herir o poner en peligro al objetivo», explicó Assolini.
«Cualquier persona puede ser víctima del doxing ya que no se basa en la popularidad, posición económica o el rol que el objetivo desempeñe en la sociedad. Es más, el atacante puede ser un desconocido, o alguien que busca tomar alguna ventaja personal, desee perjudicar a la víctima o hasta un admirador/a secreto”, alertó Assolini.
SIM «swapping»
Es un fraude que les permite a los criminales el secuestro del número de teléfono al duplicar la tarjeta SIM. Esta técnica se produce por la falta de implementación de protocolos de verificación a la hora solicitar una copia de la tarjeta SIM.
Recomendaciones para proteger tus datos personales
Desde Kaspersky y VU me compartieron las siguientes recomendaciones para que protejas tus datos personales
Infórmate y no subestimes los riesgos de tus datos personales en línea
Conoce el marco legal, las instituciones y herramientas que existen para garantizar el derecho a la privacidad de los datos personales en tu país.
También averigua sobre los riesgos de compartir información sensible en Internet que puede ocasionar el robo de tus datos personales.
Al respecto, expertos en seguridad cibernética alertan sobre la venta de los datos personales en la web oscura y su uso para abrir registros indebidos en plataformas o en fraudes reales
Crea contraseñas únicas con protección reforzada
Los servicios de gestión de contraseñas ayudan a almacenarlas y también generan claves fuertes y únicas para cada servicio en línea, y el usuario sólo tendrá que recordar la contraseña principal.
Además, gestores de contraseñas rastrean Internet y la web oscura y alertan si los datos personales del usuario se han visto comprometidos y ofrecen recomendaciones sobre qué hacer ante tal situación.
Utiliza la doble autenticación
Para reforzar la protección de la información sensible, es importante activar la autenticación de dos factores en aquellas aplicaciones o sitios que así lo permitan, porque esto añade una capa de seguridad adicional.
Si utilizas este método, los estafadores no podrán entrar a las cuentas en línea sin tener acceso al segundo código, que puede enviarse por SMS, por ejemplo. La doble autenticación es también una protección adicional en caso de una filtración de contraseñas.
Configura los permisos de las aplicaciones
Verifica siempre la configuración de permisos en las aplicaciones que usas para minimizar la probabilidad de que tus datos sean compartidos o almacenados por terceros, y más allá, sin tu conocimiento.
Lee todos los términos y condiciones de las páginas web
Uno de los riesgos potenciales en Internet es aceptar los términos y condiciones de los sitios web sin haberlos leído antes, ya que puedes pasar por alto cuál es el nivel de seguridad que te proporcionan al confiar tus datos personales, así como contraseñas, que muy posiblemente utilices en otras cuentas.
Leer en forma detenida y conocer el tratamiento de los datos podrá salvaguardar tus datos personales.
Aprende a detectar el phishing
Es el ataque más popular del mundo, basado en técnicas de ingeniería social. Si te llegan mensajes promocionales que incluyen enlaces o archivos adjuntos, evita hacer clic o descargar contenido.
Una forma para evitar caer en trampas es asegurarse que la marca del sitio o mail remitente esté bien escrita. Verificar la reputación de los vendedores en línea y que el sitio sea el oficial.
Conectate a Internet por vías seguras
Protege la red Wifi hogareña con una contraseña robusta y, en lo posible, evita compartirla. Al hacer transacciones fuera de casa no utilices las redes públicas sino la conexión de datos del teléfono móvil.
Evita el ingreso de los datos de la tarjeta dos veces
Mientras se demora el tiempo de aprobación del pago, es recomendable no «refrescar» al navegador, y por supuesto, no compartir los datos de la tarjeta con desconocidos.
No envíes contenido personal por canales poco seguros
Ten cuidado con el envío de datos sensibles como fotografías de la tarjeta de crédito y/o débito y del documento de identidad y/o pasaporte a través de medios no seguros como chats, WhatsApp, correo electrónico o enlaces en la nube informática.
Atento a las estafas de los códigos QR
Desactivar en el celular la opción de abrir en forma automática los enlaces de los QR, no los escanees si son de procedencia dudosa, desconocidos o no oficiales. Al escanearlos, revisar si la URL de la página web a la que redirigen es la correcta.
Controla el movimiento físico de la tarjeta
Para evitar ser víctima del robo de datos y el «skimming», es decir, la captura de datos de la banda magnética, no entregar las tarjetas a cualquier persona.
Instala las actualizaciones del sistema operativo y del software
Asegurarse de que todos los dispositivos utilizados en la red cumplan con esta política, tanto computadoras como teléfonos móviles y tabletas y televisores conectados a Internet.
Datos personales: obligaciones para las organizaciones
Según la consultora Gartner, para 2024, el 75% de la población mundial tendrá sus datos personales cubiertos por alguna normativa sobre privacidad.
Desde la creación del día de la privacidad de datos personales en 2007, el panorama de la legislación mundial sobre la privacidad cambió mucho. Leyes integrales como el reglamento general de protección de datos (GDPR, sigla en inglés) europeo y el acta de privacidad de los consumidores de California (CCPA, sigla en inglés) imponen requisitos estrictos a las empresas y otorgan nuevos derechos a las personas.
En el tercer trimestre de 2022 se produjo la primera aplicación de la CCPA, con una multa de 1,2 millones de dólares a Sephora, empresa de retail, por vender datos personales de los consumidores a empresas de seguimiento en línea sin su consentimiento.
En enero de 2023, la empresa matriz de Facebook, Meta, fue condenada a pagar dos multas: una, de 210 millones de euros (222,5 millones de dólares) por infracciones del GDPR, y la segunda, de 180 millones de euros, relacionada con infracciones de la misma ley por parte de Instagram. Combinadas, las sanciones ascienden a 390 millones de euros (414 millones de dólares).
Desde la empresa WatchGuard Technologies recomendaron, en un comunicado que me envió, las siguientes acciones que pueden facilitar el cumplimiento de las normas sobre datos personales por parte de las organizaciones:
- Identificar los marcos regulatorios sobre los datos personales que afectan a una organización del Estado, empresa o del sector civil. De esta forma, los encargados de seguridad podrán determinar las herramientas necesarias para satisfacer las regulaciones.
- Evaluar los riesgos que permita la detección de los agujeros en la seguridad de la organización, entender los procesos de seguridad actuales y, en caso de que exista algún desfase, priorizar su solución según el nivel de gravedad. Trazar una hoja de ruta con los pasos a seguir según las prioridades detectadas en la evaluación de riesgos.
- Realizar copias de seguridad. Protegen a las organizaciones contra fugas y pérdidas de datos, datos corruptos y otros problemas relacionados con ellos.
- Formar a los empleados en materia de protección de datos es un imperativo, según WatchGuard Technologies, porque es la manera de asegurarse de que el error humano no intervenga en el cumplimiento normativo de la compañía.
Si te gustó o sirvió algo que publiqué, te ofrezco dos alternativas para agradecer y permitir la continuidad de mi trabajo en Bahía César, haciendo clic sobre ellas:
