¿Qué son los datos personales?
Los datos personales son cualquier tipo de datos que pueden ser usados para identificar de forma directa o indirecta a una persona: nombre, foto, número de teléfono, dirección, dirección de IP, nombre de usuario, o la propia imagen. Por tanto siempre se refieren a personas físicas.
Una mala gestión de los datos, su uso indebido o no consentido, su robo u obtención fraudulenta por ciberdelincuentes, pueden dar lugar a que se suplante la identidad de esa persona por ejemplo utilizando su propio perfil de redes sociales, usando sus cuentas bancarias o realizando pagos y compras con los datos de su tarjeta.
En el caso de las empresas, éstas no son personas físicas cuyos datos estén amparados y protegidos por la normativa de datos personales reservado a las personas físicas pero sí les afecta en una doble vertiente:
Como obligados ya que esas leyes prevén la obligación de las empresas de proteger y tratar adecuadamente los datos personales de sus clientes, proveedores, trabajadores, con la amenaza de cuantiosas sanciones. En caso de no tratar adecuadamente los datos personales se enfrentan a sanciones de cuantías muy importantes. Por ejemplo, si se usan esos datos sin consentimiento como sucede en el envío de una información comercial no consentida o si se obtienen datos sin consentimiento, como cuando se compran datos para esas innumerables llamadas de marketing telefónico, en ambos casos es una infracción, se puede denunciar y habrá sanciones.
Las empresas están formadas por personas físicas, que en definitiva son las que realizan las operaciones del día a día de la empresa, cuyos datos personales deben ser protegidos y tratados adecuadamente para evitar el uso indebido o no consentido de esos mismos datos, que puede dar lugar a perjuicios no solo para esas personas sino para la empresa, como puede ser la suplantación de identidad, la realización de pagos o el carding y el uso de tarjetas bancarias de la empresa por desconocidos.
Por último las empresas disponen de datos secretos o reservados, son datos e información de vital importancia para personas o empresas: secretos industriales, propiedad intelectual, saber hacer, datos de clientes y proveedores u otra información relevante. Estos datos merecen unas medidas y protocolos de seguridad especiales ya que su robo o uso indebido podría dar lugar a perdida de clientes, de negocio, de reputación o incluso de existencia de la empresa.
Así pues, la protección de datos personales de personas físicas o de datos reservados o secretos de empresas deviene de vital importancia en un mundo digitalizado.
¿Cómo obtienen los ciberdelincuentes nuestros datos personales?
Lo hacen principalemnte a través del:
a) Phishing: Los ciberdelincuentes utilizan “cebos”, mensajes fraudulentos para atraer a sus víctimas hacia sitios falsificados (ejemplo: links en mensajes de whatsapp, en mensajes de texto o emails indicando que si clickeas en el enlace accedes a un premio, o que es tu banco solicitando que facilites algunos datos…), de modo que introduzcan en ellos información personal como nombres de usuario, contraseñas y datos bancarios. Muchas veces de amigos o personas que conoces cuya cuenta han hackeado previamente o de perfiles falsos en redes sociales, de modo que introduzcan en ellos información personal como nombres de usuario, contraseñas y datos bancarios los cuales van a obtener los delincuentes.
b) Pharming: utiliza malware para redirigir a los usuarios desprevenidos hacia versiones falsificadas de sitios web, con el fin de que introduzcan sus datos personales.
c) Keylogging: Este spyware registra en secreto todo lo que escribe una persona para obtener información de sus cuentas y otros datos personales incluido claves y contraseñas.
d) Sniffing: Si se conecta a una red Wi-Fi pública no protegida y no cifrada (cafetería, hotel, aeropuerto, etc), los hackers pueden robarle los datos “olfateando” su tráfico de Internet con herramientas especiales.)
¿Cuáles son los principales puntos vulnerables en la protección de nuestros datos?
1) Herramientas de acceso remoto: protocolos de escritorio remoto son susceptibles a la infiltración, o el uso de un portátil robado o perdido.
2) Amenazas de terceros que forman parte de tu cadena de suministro (clientes, proveedores) que acceden a los sistemas de tu negocio para hacer su trabajo. Su mal uso, sus descuidos o su falta de protección afectan tu sistema.
3) Correo electrónico y mensajería instantánea que contenga datos personales o información reservada, es fácil que caigan en manos ajenas.
4) Compartir archivos de forma insegura. Bien sea sin o con software para compartir archivos o colaborar.
5) Publicar información en foros o blogs de una empresa. Los usuarios suelen publicar solicitudes de soporte, blogs u otros mensajes relacionados con el trabajo en internet. Intencional o no, esto puede incluir datos confidenciales y archivos adjuntos que pueden poner en riesgo tu negocio.
6) Bots en Redes Sociales. En especial llevamos tiempo viendo como los bots, que es como se conoce a las cuentas automatizadas, están haciéndose con una buena parte de las plataformas y redes sociales y representan el 37,9% del tráfico web mundial. Tinder tiene más de 50 millones de usuarios y según un estudio de la Universidad de Arizona el 23,4% de esos perfiles son bots difíciles de detectar. La mayoría de los perfiles de los bots incluyen una biografía, escuela, trabajo, tienen unos 60 contactos en Facebook y 4 imágenes. Sus mensajes en muchas ocasiones incluyen URLs falsas cometiendo pishing, usan servicios de acortamiento de urls para no permitir a los usuarios juzgar el contenido del enlace, suelen enviar 6 mensajes y cada mensaje contiene unas 15 palabras. Así, mediante estos bots, los ciberdelincuentes roban datos personales y bancarios a sus víctimas o cometen estafas, también alientan la suscripción de servicios maliciosos. Estos perfiles se crean masivamente y a pesar de que las apps dicen emplear herramientas para destruirlos su creación va a mayor ritmo que su destrucción.
7) Fake news. Las fake news tienden a la polarización, a crear corrientes extremas y al posicionamiento de sus destinatarios, despiertan emociones y sentimientos de pertenencia a grupo lo que incita e invita a participar. Por tanto no son pocas las fake news que llegan por diversos medios whatsapp, email u otros con enlaces o URLs que pretenden obtener nuestros datos personales y cometer alguna infracción o delito con ellos.
Todas éstas amenazas pueden prevenirse si se dispone de la ciberseguridad adecuada, de medidas de prevención y reglas y costumbres de uso adecuados.