Durante octubre se registraron dos casos de filtraciones masivas de datos personales en el portal de la Municipalidad de Miraflores y la plataforma de Interbank. El escenario abierto da lugar a la interrogante sobre si la ciudadanía tiene medios para evitar el uso malicioso de información sensible. A lo anterior se pueden agregar otras inquietudes como en qué contexto se pueden producir estos ataques y la necesidad de entender por qué nuestros datos son importantes.
LA PROTECCIÓN DE DATOS PERSONALES EN NUESTRA CULTURA
En el Perú existe un marco legal que ampara al ciudadano en la protección de su información dentro del espectro de los servicios informáticos, pues es un derecho considerado por la Constitución en el numeral 6 de su segundo artículo y normado por la Ley de Protección de Datos Personales (N° 29733).
No obstante, las normativas y mecanismos legales para la protección de la información sensible solo deberían ser una parte del entendimiento de la gestión de los datos personales. Así lo considera Diego Bassante, Líder de Asuntos Gubernamentales y Regulatorios de IBM para América Latina, quien pone en un marcado primer lugar la toma de conciencia sobre la importancia de esta información y la introducción de esta idea como parte esencial de la cultura civil.
“Lo que el ciudadano debe hacer —no sólo en Perú, sino en buena parte de América Latina— es incorporar en su cultura política, entre sus valores, el principio de la protección de los datos personales. Desde un punto de vista cultural, tenemos que concientizarnos sobre que nuestros datos tienen valor”, explicó Bassante en diálogo con este medio.
El experto indica que en un contexto en el que las plataformas digitales se han convertido en parte de la vida cotidiana y también se ha normalizado que estas soliciten y gestionen la información de sus usuarios, es necesario tener siempre presente el principio de minimización de datos.
Citando la definición de la Agencia Española de Protección de Datos, esto último consiste en la aplicación de “medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento, reduciendo la extensión del tratamiento y limitando a lo necesario el plazo de conservación y su accesibilidad”. Reduciéndolo a términos más sencillos, el usuario solo debe entregar la información mínima indispensable para el uso de un servicio y los prestadores de este deben usar esos datos únicamente para dicha actividad.
Según información del Estado, la Autoridad Nacional de Protección de Datos Personales (parte del Ministerio de Justicia) impuso multas por más de S/ 7,6 millones durante el 2023. La recaudación por este concepto se redujo a S/ 2,75 millones debido a que diversos entes sancionados se acogieron a la reducción de un 40% de la multa por el beneficio de pronto pago, mientras que otros se encontraban aún dentro del plazo de cancelación de la multa o impugnaron directamente la resolución.
A decir del especialista de IBM, es crucial que las personas analicen qué tipo de información están brindando y la pertinencia real de los permisos que otorgan a diversos servicios.
“Tal vez estoy entregando más datos de los que se necesita, violando yo mismo el principio de minimización de datos que está presente en la regulación de datos personales. Lo más importante es que entendamos que nuestros datos tienen un valor, porque si no tenemos esa conciencia como paso previo a todo lo demás, no van a tener sentido las acciones de protección y a lo mejor ni siquiera voy a conocer los mecanismos que la ley me ofrece para protegerme”, sostiene Bassante.
DISMINUCIÓN DE RIESGOS
El riesgo ante las filtraciones no solo se encuentra del lado del individuo común, sino también de las entidades, pues la explotación de las brechas de seguridad tiene un gran impacto económico para cualquier institución. Una investigación de IBM lo deja claro al revelar que el costo promedio de una filtración de datos era de 2,76 millones de dólares para una entidad privada o estatal.
A pesar de que los ataques informáticos se han hecho más comunes y sofisticados, la seguridad también ha ido adoptando medidas para afrontar dicha problemática, siendo la introducción de inteligencia artificial una ayuda importante.
"Las organizaciones que desplegaron completamente la automatización y la inteligencia artificial en la seguridad lograron un ahorro de 65.2% frente a las que no"
“Sabemos por un estudio reciente de IBM que las organizaciones que desplegaron completamente la automatización y la inteligencia artificial en la seguridad lograron un ahorro de 65.2% frente a las que no”, comentó Diego Bassante, quien considera que la inversión y actualización tecnológica son una necesidad.
En la misma línea se mantiene Luisa Esguerra, líder de Ciberseguridad de Microsoft en Sudamérica quien señala que la innovación es un componente importante de la seguridad informática.
“Sin referirnos a casos particulares, existen tecnologías avanzadas y potenciadas por inteligencia artificial que ayudan a mantener los activos digitales protegidos, que son capaces de monitorear millones de señales, detectar anomalías, intrusiones y vulnerabilidades, mitigar los impactos de un posible ataque y mejorar la precisión y los tiempos de respuesta”, respondió Esguerra a este medio a través de un correo electrónico.
“Sin embargo, lo cierto es que ningún sistema es completamente infalible. Estamos ante un aumento constante de la cantidad y sofisticación de los ataques por parte de los cibercriminales. Según el Foro Económico Mundial, el cibercrimen ha crecido hasta convertirse en la tercera economía más grande del mundo después de Estados Unidos y China”, agregó.
"No importa cuánta tecnología y cuánta inversión se haga para proteger a una organización, es el factor humano y la cultura de seguridad digital que desarrollemos a nivel individual y colectivo son esenciales"
La especialista de Microsoft hizo enfásis en que pese a la sofisticación de los sistemas de seguridad informáticos, las personas suelen ser los “eslabones más débiles de la cadena”, por lo que se requiere del desarrollo de una mayor cultura sobre la materia entre la población y que el usuario adopte buenas prácticas para reforzar la protección de su información.
“No importa cuánta tecnología y cuánta inversión se haga para proteger a una organización, es el factor humano y la cultura de seguridad digital que desarrollemos a nivel individual y colectivo lo esencial. Se trata de una responsabilidad compartida, pues el error de una sola persona puede afectar a toda una organización y poner en jaque sus operaciones”, argumentó. “Es fundamental promover la seguridad en los dos frentes (organizaciones y ciudadanía), con tecnología segura y soluciones que protejan a los usuarios, su data y sus dispositivos, y además con buenas prácticas e higiene de seguridad digital”, apuntó Esguerra.
Un estudio de Kaspersky facilitado por dicha firma a este diario cita que el secuestro de datos por la vía del ransomware es la principal amenaza para las empresas. Los ataques informáticos de este tipo se concentran en entidades financieras como Interbank y también del sector logístico y de transporte.
MEDIDAS PUNTUALES
Teniendo en cuenta que la legislación local y muchos sistemas informáticos siguen sin ser tan avanzados como los de países desarrollados en la materia, la labor del ciudadano debe orientarse hacia lo preventivo. Luisa Esguerra considera que hay herramientas puntuales que se pueden usar para minimizar el riesgo de filtraciones de datos personales.
“En navegadores (web) como Microsoft Edge, los usuarios pueden ajustar las configuraciones de privacidad para controlar y eliminar datos de rastreo. Edge ofrece tres niveles de prevención de rastreo: Básico, Equilibrado y Estricto. Además, es posible eliminar el historial de navegación, cookies y otros datos de sitios web desde la configuración del navegador”, mencionó la representante de Microsoft.
En cuanto a las organizaciones, la experta en ciberseguridad indicó que se “deben monitorear los sistemas de manera continua, capacitar regularmente al personal para que reconozca y evite amenazas comunes”. También mencionó como una necesidad el contar con un plan de respuesta a incidentes para actuar rápidamente en caso de filtraciones.
Al ser consultada de forma más específica, Microsoft brindó las siguientes recomendaciones directas para una buena gestión de la seguridad informática y la protección de los datos personales.
Acciones clave para usuarios
- Utilizar contraseñas fuertes y únicas para cada cuenta, combinando letras, números y símbolos, así como evitar emplear la misma contraseña en diferentes cuentas evitando reutilizar la misma contraseña en varias plataformas.
- Habilitar la autenticación multifactor (MFA), que añade una capa adicional de seguridad. Esto puede incluir el uso de un código enviado al teléfono móvil o generado por una aplicación de autenticación, lo que dificulta el acceso no autorizado, incluso si alguien obtiene la contraseña.
- Monitorear regularmente las cuentas para detectar actividades sospechosas, como accesos no autorizados o cambios inesperados en la configuración.
- Eliminar periódicamente su historial de navegación, cookies y otros datos de sitios web y evitar proporcionar información sensible como números de identificación personal, contraseñas o datos financieros en sitios web que no sean seguros.
Acciones clave para instituciones
- Implementar la autenticación multifactor (MFA): Esta es una de las formas más simples y efectivas de proteger las cuentas de usuario. Al añadir una segunda capa de verificación, como un código enviado al teléfono, incluso si las contraseñas son comprometidas, los atacantes no podrán acceder fácilmente a las cuentas.
- Adoptar herramientas de detección y respuesta avanzada (XDR): Estas herramientas permiten detectar y detener ataques en tiempo real, además de recopilar información útil para futuras defensas. Contar con sistemas automatizados que detecten y respondan a amenazas es clave para evitar la filtración de datos.
- Mantener los sistemas actualizados: Los sistemas desactualizados representan una vulnerabilidad importante. Al asegurar que todos los sistemas operativos, aplicaciones y firmware estén actualizados, las organizaciones pueden evitar que los atacantes exploten brechas conocidas.
- Aplicar los principios de “confianza cero” (Zero Trust): Este enfoque asume que nadie debe ser automáticamente confiable, ni siquiera los usuarios internos. La verificación constante de identidad y la implementación de políticas como la autenticación multifactor y contraseñas seguras son esenciales para minimizar el riesgo.
- Limitar el acceso a los datos: Solo las personas que realmente necesiten acceso a ciertos datos deben tenerlo, lo que limita la posibilidad de que los atacantes aprovechen cuentas comprometidas.