Los datos personales son uno de los principales blancos del crimen digital, por lo que es imperiosa la importancia de tomar precauciones cuando desarrollás y compartís tu vida en línea.

Los datos personales comprenden cualquier información que pueda identificarnos como individuos, tanto la información pública, como la información sensible o privada: nombre completo, datos de contacto, números de tarjetas y credenciales bancarias, datos sobre la salud, entre otros.

Cuando se comparte información en línea de manera pública y fácilmente localizable en perfiles de redes sociales, sin saberlo se permite que sea recopilada y usada por terceros.

Así como cada vez es más frecuente que las empresas utilicen tecnología de inteligencia artificial para rastrear las preferencias de los usuarios, por ejemplo, también los actores maliciosos intentan sacar provecho de la información personal.

Datos personales: ignorancia alarmante

Los criminales digitales aprovechan el desconocimiento de usuarios y organizaciones sobre las leyes y los derechos que protegen los datos personales, que es alto en América latina, según una investigación realizada por la empresa de seguridad informática Kaspersky con la consultora Corpa.

La investigación, compartida desde la compañía a iProfesional, señala que más de la mitad de los usuarios en América latina (55%) desconocía si existe alguna ley en su país para proteger los datos personales en Internet.

Aplicaciones y redes sociales intentan bloquear el acceso a los datos personales por parte de terceros.

Así lo afirmaron el 70% de los encuestados en Chile, 68% en la Argentina, 57% en Perú, 48% en México, 46% en Brasil y 41% en Colombia. Casi un 13% de los usuarios de la región dijo no saber cuáles son sus derechos en materia de protección de datos personales.

El ranking en la región fue encabezado por Brasil con un 20% de usuarios que dijo desconocer estos derechos sobre la protección de datos personales, seguido por Chile (16%), la Argentina (15%), Colombia (10%), México (8%) y Perú (6%).

"Es importante que los usuarios sepan lo básico: los datos personales son privados y su control está garantizado por la ley. Un escenario muy común es recibir llamadas no solicitadas para ofrecernos algún producto o servicio", dijo Claudio Martinelli, director general de Kaspersky para las Américas.

"En los casos en donde no hay interés, debemos solicitar siempre la eliminación de nuestro nombre de las bases de datos. Si continuamos recibiendo llamadas después de hacer la solicitud, es importante saber que es posible apoyarnos en la justicia para que la empresa cumpla con nuestra petición", recomendó Martinelli.

Para las empresas, sean pymes o corporaciones, la falta de conciencia respecto a la legislación de protección de datos también tiene consecuencias, pues filtraciones de información personal pueden resultar en multas severas.

El estudio de Kaspersky muestra que casi la mitad de las empresas en América latina (47%) dijo que no capacita a sus empleados sobre la normativa vigente. Este ranking fue encabezado por las empresas chilenas (57%) y argentinas (56%), seguidas por el 50% de las compañías brasileñas, 49% peruanas, 38% mexicanas y el 32% de las colombianas.

Debés configurar tu celular para proteger tus datos personales.

De los usuarios encuestados en la región, solo el 32% afirmó recibir capacitación relacionada con este tema en su empresa. Los menos capacitados fueron en la Argentina y Chile (16%), seguidos por el 30% en Perú, 32% de brasileños, 42% en México y el 57% en Colombia.

"Es fundamental capacitar a los empleados sobre cómo identificar estafas y cómo protegerse. Como muestra el estudio, el factor humano es el eslabón más débil de la seguridad empresarial y es el que determinará cuán sólida es la protección de la organización", dijo Martinelli.

"Si la mitad de las personas que trabajan en ella no saben que sus acciones pueden resultar en multas para la empresa, significa que su seguridad es muy frágil", advirtió el ejecutivo de Kaspersky.

¿Por qué los criminales digitales quieren tus datos personales?

La empresa Eset difundió un análisis de las razones principales por las que la información personal es blanco del cibercrimen y la importancia de tomar precauciones cuando se comparte la vida en línea.

"Mis datos no son importantes, no tienen relevancia, ¿a quién podrían interesarle?" "Esta frase, comúnmente escuchada al hablar sobre hábitos de ciberseguridad, refleja una perspectiva que subestima el valor de los datos personales y omite los riesgos del actual entorno cibernético", advirtió Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de Eset Latinoamérica, en un análisis que esta compañía compartió con iProfesional.

"En la era digital, nuestros datos personales se han convertido en moneda de cambio y los cibercriminales buscan explotar toda información valiosa, desde detalles financieros hasta perfiles completos en redes sociales", afirmó.

Criminales aprovechan desconocimiento de usuarios sobre leyes que protegen los datos.

A continuación, las razones por las que, según Eset, los datos personales se convirtieron en un tesoro atractivo para los delincuentes digitales:

Fraude financiero

Los datos personales facilitan el acceso a tus recursos financieros, y el fraude es la razón principal del interés de los ciberdelincuentes en cualquier tipo de información que les facilite obtener ganancias financieras ilícitas.

Como dicta el sentido común, los números de tarjetas bancarias son datos que se deben proteger, aunque es importante también extender esta precaución a cualquier detalle que nos identifique y cuidar activamente los datos sobre cuentas bancarias.

Robo de identidad

Tu identidad es única y para los cibercriminales es un recurso valioso: cuanta más información obtengan, más herramientas tendrán para realizar acciones maliciosas, como crear perfiles falsos en redes sociales o realizar estafas a tus contactos.

El robo o suplantación de identidad les permite realizar actividades fraudulentas en tu nombre, afectando no solo tus finanzas, sino también tu reputación y credibilidad.

"Ransomware" y extorsión

Imaginá perder acceso a tus archivos personales o incluso a tu dispositivo de un momento a otro. Los cibercriminales lo saben y por eso emplean ransomware para cifrar datos y luego exigir un rescate. La amenaza de perder información vital lleva a muchas víctimas a pagar grandes sumas de dinero, convirtiendo tus datos en una valiosa moneda de rescate.

En los últimos años se expandió el ransomware

Venta en la web oscura

Hace tiempo que los datos personales se han convertido en un bien comercializable en foros del mercado clandestino digital. La compraventa de datos, desde credenciales de acceso hasta detalles de la tarjeta de seguridad social, alimenta un mercado clandestino en el que los cibercriminales pueden vender esta información a compradores interesados, ya sea para realizar otros ataques o para otros fines.

Robo de cuentas

El acceso no autorizado a tus cuentas en línea es otra razón clave por la cual los cibercriminales buscan tus datos personales. Ya sea por una filtración sufrida por alguna empresa, cuenta o servicio que guardaba datos o gracias a la información que compartimos en línea, los atacantes pueden descifrar contraseñas débiles sirviéndose de la combinación de nombres, apellidos, fechas de nacimiento u otros datos obtenidos.

El robo de cuentas les proporciona a los delincuentes un punto de entrada directo a tu vida digital, ya sea a través de redes sociales, del correo electrónico, o de cualquier otra cuenta a la que puedan ingresar.

Utilizan esta información para realizar actividades fraudulentas, propagar malware o incluso comprometer tu identidad en línea. Por eso la utilización de contraseñas robustas, almacenadas de manera segura y la autenticación de doble factor son defensas poderosas contra este tipo de amenazas.

Espionaje corporativo

Los datos personales no solo interesan a los criminales comunes; las empresas rivales, gobiernos y otros grupos también buscan información confidencial. Los datos de las empresas, individuos, clientes y la población en general pueden convertirse en herramientas para realizar ataques dirigidos que pueden afectar no solo la privacidad personal, sino incluso la seguridad nacional.

Ingeniería social

Los estafadores despliegan tácticas de ingeniería social para engañar y obtener acceso a los datos de sus víctimas. En la era de la inteligencia artificial esto se ha intensificado gracias a la posibilidad de automatizar y escalar los ataques, o de recolectar grandes cantidades de datos personales.

Las herramientas de inteligencia artificial juegan un nuevo papel central en el phishing.

Los atacantes pueden elaborar perfiles de sus víctimas a partir de la recopilación de datos personales y utilizarlos para fraudes dirigidos, mucho más convincentes que los que son masivos y genéricos.

El objetivo es usar esa información para persuadir y revelar información sensible, como claves de acceso o respuestas de seguridad, usando la manipulación psicológica a través de todas las vías disponibles: estafas telefónicas, por redes sociales, mediante aplicaciones de mensajería o correo electrónico.

Correos de "phishing"

Un apartado especial, dentro de las técnicas de ingeniería social, son los correos de estafas digitales ("phishing") en los que los cibercriminales emplean datos individuales para personalizar los ataques.

Utilizan detalles específicos como tu nombre, correo electrónico personal o laboral, la empresa en la que trabajas, el rol que ocupas, e incluso otros datos como antecedentes, ubicación o historial de compras, para aumentar la autenticidad de los correos electrónicos maliciosos.

Estos mensajes aparentemente legítimos pueden llevar a la revelación inadvertida de contraseñas, información financiera y datos sensibles. Las herramientas de inteligencia artificial juegan un nuevo papel central, ya que pueden utilizarse para generar correos electrónicos de phishing más convincentes que los que se generan manualmente.

En este contexto, desde Eset destacaron que cuidar los datos personales es esencial, así como tener conciencia e información sobre las amenazas actuales que circulan en línea e implementar prácticas de seguridad adecuadas, para reducir el riesgo de caer en las garras de los cibercriminales.

Recomendaciones para evitar filtraciones de datos personales

Desde Kaspersky compartieron las siguientes recomendaciones para evitar filtraciones de datos personas en empresas:

• Capacitación constante para sensibilizar a todos los empleados y explicar la importancia de la protección de datos personales, como cuentas y contraseñas, actualización de programas, navegación en línea segura, entre otras mejores prácticas.
• Creación de políticas de seguridad que mitiguen el error humano: además de las reglas para crear y cambiar contraseñas, es importante que las organizaciones puedan controlar el acceso a datos confidenciales.
• Acceso a alertas sobre nuevas estafas, que permitan bloquear direcciones falsas a las que se pueda intentar acceder dentro de la red de la empresa o desde dispositivos corporativos.

En el caso de los usuarios, las recomendaciones desde Kaspersky y Eset son las siguientes:

• Informáte y no subestimés los riesgos de tu información en línea: conocé el marco legal, las instituciones y herramientas que existen para garantizar el derecho a la privacidad de los datos en tu país, así como los riesgos de compartir información sensible en Internet que puede ocasionar el robo de tus datos confidenciales.
• Configurá los permisos de las aplicaciones: siempre verificá la configuración de permisos en las aplicaciones que usas para minimizar la probabilidad de que tus datos sean compartidos o almacenados por terceros, y más allá, sin tu conocimiento.
• Leé por completo los términos y condiciones de las páginas web: uno de los riesgos potenciales en Internet es aceptar los términos y condiciones de los sitios web sin haberlos leído antes, ya que podés pasar por alto cuál es el nivel de seguridad que te proporcionan al confiar tu información personal, así como contraseñas, que probablemente utilices en otras cuentas. Leer detenidamente y conocer el tratamiento de los datos podrá salvaguardar tu información.
• Ser cuidadosos con la información que se comparte en línea: evitá compartir datos personales innecesarios.
• Utilizá contraseñas seguras y únicas para cada una de las cuentas: también cambiálas con frecuencia.
• Activá la autenticación de doble factor en cada cuenta que lo permita.
• Instalá software de seguridad actualizado y multicapa en los dispositivos.