Cada 28 de enero se celebra, desde el 2006, el Día Internacional de la Protección de Datos Personales o Día de la Privacidad con el objetivo de recordar a todo el mundo la importancia de cuidar los datos. Se trata de ser conscientes sobre qué pasa con la información personal, cómo gestionar el respeto de la intimidad y tener la capacidad de decidir con quién compartir esos datos privados.
A nivel normativo existen muchas reglas para proteger los datos personales en todo el mundo. Como usuarios de diversas plataformas, los ciudadanos comparten información privada y las leyes buscan su protección, porque los cibercriminales están siempre al acecho para poder comercializarlas en la darkweb o en redes sociales, con consecuencias catastróficas tanto para los individuos como para las empresas, que pierden la confianza del consumidor.
RockYou2024 fue, en julio pasado, una de las más grandes fugas de datos ejecutadas: robaron nada menos que 9,949 millones de registros únicos de usuarios y contraseñas de todo el mundo. Ya habían hecho una gran filtración en 2021, pero esta vez superaron su propio récord. Según Kaspersky, solo el 4% de las contraseñas obtenidas eran seguras, lo que muestra la falta de concientización sobre la materia existente.
Años atrás hubo otra fuga similar en volumen: 11 mil millones de registros de clientes de CAM4, un sitio para adultos que, felizmente, solo duró muy pocas horas. En aquella ocasión se pudo rescatar la información personal, que incluía desde orientación sexual hasta medios de pago. No corrió la misma suerte el portal de citas de Ashley Madison.
«La vida es corta. Ten una aventura», es el eslogan que usó para seducir a personas casadas de todo el mundo. El gran problema surgió cuando unos hackers revelaron en 2015 los datos personales de 32 millones de suscriptores del servicio, ocasionando desde matrimonios rotos hasta suicidios, según un reportaje de la BBC.
Ejemplos alrededor del mundo hay muchos, incluyendo a gigantes como Facebook con 533 millones de usuarios perjudicados en 2019 o los 1100 millones de datos biométricos de ciudadanos indios registrados en la Autoridad de Identificación Única de la India (UIDAI) (Aadhaar) en 2018. En 2023 volvió a sucederse otra fuga, afectando a 815 millones de indios, que vieron sus datos comercializados en el mercado negro por pocos dólares.
«Prevenir fugas de datos sensibles es fundamental para mantener la confianza de clientes, socios y empleados, y para asegurar la estabilidad de las operaciones a largo plazo».
Claudio Martinelli, director general para las Américas en Kaspersky
En Latinoamérica también suceden este tipo de incidentes con bastante frecuencia y tienen una tendencia creciente. Un estudio de Kaspersky reveló que 42% de las empresas en América Latina ha sufrido una fuga de datos confidenciales tras una brecha de ciberseguridad en los últimos dos años y para el 20% de las empresas representa un desafío cumplir con la normativa de protección vigente.
El alza de incidentes sigue muy dinámica. Según welivesecurity.com, en Brasil el Centro de Prevención, Tratamiento y Respuesta a Ciberincidentes (CIRT) había registrado en 2023 cerca de 906 filtraciones de datos y hasta setiembre del 2024 ya iban por los 4 mil.
En Uruguay, solo en los primeros meses las filtraciones de datos contabilizadas por el sitio mefiltraron.com ya se habían duplicado la cantidad de correos electrónicos filtrados respecto al total de 2023. En Argentina, un solo grupo se atribuyó el robo de registros del Estado y expuso la información de más de 5 millones de ciudadanos.
«Es fundamental trabajar en formar una cultura de prevención en las organizaciones y capacitar al recurso humano, que es donde suelen darse la mayor cantidad de fallas».
Dr. Erick Iriarte Ahon, CEO de eBIZ
En el Perú el 2024 ha sido un año con muchos incidentes que han dejado expuesta información confidencial. No solo siguen comercializándose alrededor de 30 millones de datos del Registro Nacional de Identificación y Estado Civil (Reniec) filtrados años atrás, sino que hubo sonados casos, como el de Interbank, que generaron pánico entre los clientes del banco al conocerse una presunta filtración de datos sensibles de unos tres millones de clientes.
También fue muy sonado el año pasado el caso de la Municipalidad de Miraflores, porque los criminales podían identificar la dirección de personajes públicos de interés del distrito y secuestrarlos, chantajearlos, acosarlos, estafarlos o simplemente robarles. Además, los criminales pueden cruzar la data con otras bases de datos filtradas para concretar sus delitos.
Los expertos de Kaspersky recomiendan acatar las regulaciones de protección de datos críticos y adecuarse a las nuevas normativas emitidas para garantizar la continuidad de los negocios y evitar la exposición de la privacidad de los clientes, que pueden generar cuantiosas multas y devastar la reputación de las empresas.
«Las empresas deben garantizar la protección de los datos personales que gestionan contra accesos no autorizados, filtraciones y usos indebidos, cumpliendo las regulaciones pertinentes. Esto no solo resguarda la privacidad de los usuarios, sino que también mitiga riesgos de seguridad, legales, económicos y reputacionales para las organizaciones. Prevenir fugas de datos sensibles es fundamental para mantener la confianza de clientes, socios y empleados, y para asegurar la estabilidad de las operaciones a largo plazo», comentó Claudio Martinelli, director general para las Américas en Kaspersky.
Los sectores gubernamentales, manufacturero, de retail, servicios de TI, salud y educación, son especialmente atractivas para los cibercriminales, explicó, por lo que es recomendable que implementen políticas de ciberseguridad robustas que consideren el cifrado de datos sensibles para evitar que los atacantes puedan acceder a ellos. Además, se debe reducir el número de personas con acceso a datos sensibles, revocar los accesos a los exempleados, segmentar la red interna y proteger las áreas críticas de la infraestructura.
«Es fundamental trabajar en formar una cultura de prevención en las organizaciones y capacitar al recurso humano, que es donde suelen darse la mayor cantidad de fallas», añadió el Dr. Erick Iriarte Ahon, CEO de eBIZ. Es un error común no revertir la falta de formación del personal en protección de datos porque se confía exclusivamente en sistemas de ciberseguridad, advirtió. Las normas se cumplen no solo con el diseño de políticas y la ejecución de auditorías, sino poniéndolas en práctica en el día a día, añadió.
