Blog

Protege tu información de identificación personal (PII)

Protege tu información de identificación personal

La información de identificación personal (PII) es un término relacionado con los diversos entornos de la seguridad de la información. Si bien en función de cada país puede tener varias acepciones, en términos generales, hace referencia a los datos que las organizaciones pueden utilizar, junto con otra información, para identificar, contactar o ubicar a una persona en concreto.

En la Unión Europea, la Directiva 95/46/CE del Parlamento Europeo define los datos de identificación persona como la información que puede identificar a un individuo a través de factores específicos:

Identidad física, fisiológica, mental, económica, cultural o social.

Es importante distinguir la PII confidencial de la PII no confidencial.

En líneas generales, la PII confidencial es la que, cuando se divulga mediante cualquier medio, tiene el potencial de poder causar daños o perjuicios a una persona.

Tanto en su integridad, su patrimonio, sus bienes o su reputación

Por ejemplo, el nombre y la dirección de correo electrónico de un empleado que se encuentra en una base de datos manejada por el personal de recursos humanos no son datos confidenciales.

Pero el número de teléfono privado (fijo y móvil) y la dirección postal del profesional, sí que entrarían dentro de esta categoría.

La información clínica, número de la seguridad social, fecha y lugar de nacimiento, y los datos bancarios también.

Y el Reglamento General de Protección de Datos de la Unión Europea (RGPD) establece como debe manejarse esta información, independientemente de la tecnología utilizada para su tratamiento.

Pero la PII también incluye direcciones IP, identificadores de redes sociales, grabaciones de videovigilancia, y datos de geolocalización, que no se consideran confidenciales.

El rango de edad, lugar de nacimiento, puesto de trabajo, género, ciudad y país, tampoco.

Esta información se puede recopilar fácilmente a partir de registros públicos, guías telefónicas, directorios corporativos y sitios web.

Custodia de la información

  • Los datos almacenados en un disco o en una base de datos se denominan «datos en reposo».
  • Los datos transferidos a través de una red corporativa (o a través de cualquier red) se denominan «datos en movimiento».

Y ambas versiones son vulnerables a los atacantes.

Por lo tanto, la estrategia principal para protegerlos es el cifrado: aunque un atacante consiga comprometer un servidor o una red interna, el cifrado dejaría inutilizable la información robada.

También es responsabilidad del usuario proteger sus datos y la información a la que tiene acceso.

Los ataques de ingeniería social son los métodos más empleados para robar credenciales, y en este sentido, las personas deben aprender a reconocerlos y denunciarlos.

¿Por qué deberíamos preocuparnos por nuestros datos de información de identificación personal?

En el mejor de los casos, esta información puede utilizarse con fines de marketing.

Pero también para perpetrar un robo de identidad, una estafa, un fraude bancario, crear cuentas falsas, y otras actividades delictivas.

Muchas empresas acostumbran a hacer copias de seguridad de la información personal de sus empleados y clientes, para tener una salvaguarda en caso de un error fatal, o un ataque de ransomware.

Si bien normalmente la suelen guardar en sus instalaciones mediante algún medio de almacenamiento externo, también lo hacen en la nube, y otros «sitios espejo», por lo que los datos pueden acabar dispersos por todos lados.

Y siempre existe el riesgo de que el servicio donde está alojada la información sufra un incidente de seguridad.

Las consecuencias podrían derivar en el robo, la pérdida, la fuga, la destrucción o la adulteración de datos.

Según la ley, las personas afectadas deberían ser notificadas si se espera un impacto adverso.

Pero a veces, entre que se detecta la infracción y se avisa a los damnificados, puede pasar un tiempo, por lo que los datos pueden haber sido vendidos en foros de ciberdelincuentes.

Por otro lado, si un villano sabe exactamente quién es una persona, dónde vive, su fecha de nacimiento y cómo comunicarse con ella, le será mucho más fácil planear un ataque mediante ingeniería social.

Medidas para proteger la información de identificación personal

  • Evitar compartir información personal en las redes sociales.
  • Usar contraseñas seguras y complejas y/o la autenticación en múltiples factores.
  • Navegar en modo privado en ordenadores compartidos.
  • Mantenerse alejado de las encuestas y cuestionarios de Internet.
  • Conocer las medidas de seguridad de las empresas a quienes se confía la información.
  • Cerrar sesión en todas las aplicaciones. No basta con cerrar la ventana del navegador.
  • En dispositivos compartidos hay que borrar las cookies, los datos de los sitios web y el historial de formularios.
  • No autentificarse en cuentas en línea (sobre todo bancarias) mediante dispositivos compartidos o de terceros, ni usando wifi público.
  • Proporcionar solamente los datos estrictamente necesarios.
  • El DNI no es una tarjeta de visita. No hay que proporcionárselo a cualquiera que lo pida.

Según el RGPD, las personas también pueden tener el control sobre lo que sucede con su información de identificación personal.

Además de solicitar que se elimine, también pueden ver toda la información almacenada, corregir los posibles errores, e incluso exportarla para su revisión y uso personal.

Temas:

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

Que es el envenenamiento de SEO y como afecta a nuestra seguridad
DuckDuckGo ya no es tan privado como pensábamos
Una extensión maliciosa pretende actualizar Flash Player
Privacidad y seguridad en las redes sociales
Lo que una aplicacion VPN no debe hacer
Los sitios alojados de la web oscura serán más difíciles de descubrir
Riesgos de permitir recibir notificaciones de los sitios web