A cuánto se venden los datos personales en internet (y qué hacer si exponen los nuestros)

La Ley N° 29733, Ley de Protección de Datos Personales, está vigente desde 2011 en Perú. El caso más reciente que involucra esta norma es la filtración y venta de información personal de ciudadanos en redes sociales, la cual fue alertada por la Asociación de Bancos (Asbanc) en el mes de mayo. Esta podía incluir desde nombres completos hasta imágenes de huellas digitales, e incluso detalles de vehículos.

MIRA: Probamos la inteligencia artificial de Google que te entrena para entrevistas de trabajo y este es nuestro veredicto

La información privada es, por ende, uno de los bienes más importantes de las personas en la actualidad, por lo que debe ser protegida. “Vivimos en una era digital en la que los datos personales se han convertido en el activo más preciado de toda sociedad. Con lo cual, si los datos van a ser procesados por medios informáticos o vías digitales, todas las aplicaciones o programas deben hacerlo con la configuración adecuada. Es decir, deben cumplir con las medidas de seguridad que la ley exige”, afirmó Paola Gálvez Callirgos, abogada experta en nuevas tecnologías.

Por su parte, Óscar Montezuma Panez, también abogado especialista en tecnología, señaló que no es posible que en la actualidad algún negocio o empresa no se apegue a lo que ordena la ley vigente. “Con el auge que han tenido las legislaciones de protección de datos personales en el mundo, es imposible y totalmente inviable que un negocio digital no haya hecho una validación adecuada del cumplimiento con la legislación”, aseveró.

¿Cuánto pueden costar nuestros datos personales en los mercados negros?

Estos son el producto más ofertado en lo que se denomina como ‘dark web’. De acuerdo con Sol González, investigadora de ciberseguridad de ESET, “la información personal es el petróleo del siglo XXI” y por lo tanto puede ser utilizada de muchas maneras.

La venta de datos personales vulnera el derecho constitucional a la intimidad, según Gálvez Callirgos. “De este se desprende el derecho a la protección de datos personales y el derecho a la autodeterminación informativa. Esto quiere decir que cada persona titular de su información es la única que puede decidir quiénes tienen acceso a sus datos, bajo qué condiciones y en qué medida”, afirmó la abogada.

En el caso más reciente de filtración en el Perú, mencionado líneas atrás, el acceso a los datos personales de alguien costaba tan solo S/. 120 (US$ 30). Estos podían incluir la ficha RENIEC de la persona, sus teléfonos, información de familiares, características y datos de sus vehículos, información laboral, de su AFP y de riesgo, así como correos. Sin embargo, este precio podía superar los S/. 170 (US$ 45) en algunos casos, pues dependía de quién era la persona objetivo y cuántos datos tenían disponibles los cibercriminales.

MIRA: Meta enfrenta demandas en Estados Unidos por incentivar adicción digital en adolescentes

Fabio Assolini, analista senior de seguridad en Kaspersky, señaló que existe un rango de precio en dólares para los diferentes tipos de información. “Ellos pueden comenzar desde tan solo 50 centavos de dólar por una identificación o US$ 40 para selfies con documentos personales”, afirmó.

Asimismo, González recordó como ejemplo que entre 2020 y 2021 “una filtración [de datos personales] de Snapchat la podían llegar a vender a menos de US$ 100”. El bajo precio de estas listas con datos personales de miles de personas causa preocupación en la investigadora. “Muchas veces estas filtraciones de datos que se le hacen a una empresa, a través un hackeo, terminan en internet gratuitamente. Si la cifra que se les ofrece a los cibercriminales es muy baja dentro de la dark web, la información puede terminar en data leaks”, añadió.

Gónzalez comentó también que, al tener todo tipo de datos personales gracias a una posible filtración o exposición, los cibercriminales pueden realizar ataques dirigidos. “Al saber qué sectores de usuarios, por ejemplo, están interesados en un banco X y que se sitúan dentro de una zona, el atacante puede armar una campaña bien dirigida y persuasiva. Arma un email del banco, se hace pasar por alguien de este y ofrece un producto que convenza a los usuarios. Además, podría atacar directamente a las personas con esta información”, aseguró.

Montezuma señaló que el ransomware, un tipo de malware que “secuestra” la información de la víctima y pide un pago para no publicarla o perder acceso a esta para siempre, ha tomado más fuerza en la actualidad. “Hace tres, cuatro años atrás, en el Perú, el ransomware no tuvo tanto éxito porque la gente no pagaba. El ‘rescate’ que pedían era en criptomonedas. Como era una divisa tan poco usada en ese momento, no tuvo tanto éxito. Ahora el mundo ha cambiado y el cripto es una moneda mucho más difundida”, afirmó el abogado. Es decir, la tecnología cambia con el paso del tiempo, pero también lo hace la cibercriminalidad.

MIRA: ¿Editar videos en celular o en PC? ¿Qué prefieren y qué recursos usan los profesionales?

¿Cómo prevenir un posible mal uso de nuestros datos personales?

Las empresas o personas naturales que generan aplicaciones o páginas webs deben proporcionar a los usuarios los términos y condiciones, así como la política de privacidad y tratamiento de datos personales de su producto. Es responsabilidad de las personas leer ambos documentos para estar informados sobre qué se está aceptando al utilizar estos servicios.

“Son dos documentos fundamentales en cualquier aplicación o sitio web online. Los términos y condiciones te desarrollan todas las reglas de juego aplicables al uso que hagas de estos: qué puedes y no puedes hacer con ellos. Y la política de privacidad específicamente se refiere a cómo se utiliza tu información personal”, aseguró Montezuma.

MIRA: TikTok: ¿cómo surgió la aplicación que desafía a Instagram, Facebook, Snapchat y YouTube?

Asimismo, las personas no pueden alegar ignorancia tras aceptar estos documentos. “Si la página o la aplicación tiene estos términos y condiciones, y tú no los leíste, pero los aceptaste, entonces estás sujetándote a esas reglas de juego. Si estos te decían que van a usar tu información de cualquier manera en sus políticas de privacidad, ya le has dado esa autorización”, señaló Montezuma.

González afirmó que tenemos la obligación de resguardar nuestra información. Por este motivo, también somos responsables de documentarnos e investigar sobre qué se está haciendo con esta. “Si vamos a dar nuestros datos, tenemos que ver cómo la aplicación o página web está velando por la seguridad de ellos”, aseveró.

Por su parte, Assolini señaló que debemos estar mentalizados en una posible situación donde nuestros datos personales ya fueron vulnerados. “Consideremos siempre cómo el contenido que compartimos en línea puede ser interpretado y utilizado por otros”, afirmó. Además, aconsejó investigar y utilizar las herramientas de seguridad de los dispositivos que usamos día a día, pues estos últimos contienen mucha información sobre nosotros.

Gálvez Callirgos señaló que también es importante que todas las personas podamos conocer los derechos que tenemos y también los deberes como usuarios de internet responsables. “Revisemos la política de privacidad, si es una página segura, si es que realmente los datos que se están solicitando son proporcionales a la finalidad del tratamiento. Si yo debo llenar un formulario, por ejemplo, donde me piden mi DNI y mi dirección, pero no necesitan la segunda porque no me van generar un envío, es entonces desproporcional. Por lo tanto, no es necesario dar esos datos”, comentó.

¿Qué hacer si nuestros datos personales han sido vulnerados?

El primer paso es, de acuerdo con Montezuma, “tratar de hacer un control de daños”, dentro de lo que se pueda. “Cambiar claves de redes sociales o correos, bloquear movimientos en cuentas de banco. Es decir, medidas prácticas y concretas”, afirmó.

MIRA: Elon Musk acusa a YouTube de propagar ‘anuncios fraudulentos’

El segundo paso es proceder con denuncias formales. Según Gálvez, las personas pueden utilizar dos vías. La primera es realizar el reclamo ante el proveedor o empresa. Este debe ser a través del formulario del Libro de Reclamaciones. “Inmediatamente se solicita ejercer sus derechos ARCO, los cuales son los que establecen la normativa. Derechos de Acceso, de Rectificación, de Cancelación y de Oposición”, indicó la abogada.

La otra vía que deben seguir los afectados es la que establece la norma al realizar una denuncia a la Autoridad de Protección de Datos Personales, la cual está en función del Ministerio de Justicia. “La denuncia se debe hacer explicando lo ocurrido. Lo que se recomienda es que se puedan adjuntar pantallazos o pruebas que le permitan a la autoridad analizarlos e iniciar de oficio un procedimiento sancionador”, aseguró Gálvez. La abogada también señaló que los afectados siempre deben presentar los reclamos o denuncias correspondientes utilizando las dos vías para alertar que “no se está llevando los procedimientos adecuados con relación a las medidas de seguridad”.

Montezuma, por su parte, argumentó que si es una persona la infractora, se tendría primero que identificar para luego llamar a las autoridades. “Si has identificado con claridad al cibercriminal, puedes dirigirte a la Divindat (División de Investigación de Delitos de Alta Tecnología) de la Policía Nacional del Perú. Ellos te van a orientar en qué pasos dar para ubicar al infractor. (...) En el Perú también existen fiscalías de cibercrimen porque tenemos la Ley de Delitos Informáticos. Hay jueces penales especializados en ello”, afirmó.

Sin embargo, Montezuma señaló que existe un gran inconveniente cuando estos ciberdelincuentes no se encuentran en Perú. “Si es un sitio web o una app que está fuera del país, no va servir mucho denunciar porque las leyes son territoriales”, explicó. Por este motivo, recomendó estar preparados para una posible vulneración de nuestros datos personales. “En el mundo digital ya no es protegerte para que no te pase, sino estar listo porque te va a pasar”, concluyó.