Pedir una pizza o hacer un pago se ha vuelto muy fácil gracias a las aplicaciones digitales. En pocos pasos, lo que antes nos costaba mucho tiempo, ahora lo podemos hacer desde el celular. Y, con el impulso de la pandemia, cada vez más personas usan estos servicios en el Perú y el mundo.
Sin embargo, pocas veces pensamos en cómo se manejan nuestros datos personales sensibles como el número de tarjeta de crédito y clave, nuestros datos biométricos o dirección. A veces, brindamos acceso a información sensible sin conocer si las empresas dueñas de las aplicaciones o páginas web manejarán bien nuestros datos o si hay detrás un ciberdelincuente.
LEE TAMBIÉN: Las 5 modalidades de robo de contraseñas más usadas y cómo prevenirlas
Así, tener poco cuidado en el mundo digital puede traer graves consecuencias, pues quien tenga acceso a nuestra información clave puede suplantarnos, quedarse con nuestro dinero, incluso chantajearnos.
Por ello, es importante conocer cómo cuidar nuestra información personal y adquirir hábitos de seguridad. El Comercio conversó con Diana Robles, líder de IBM Security para Colombia, Perú, Ecuador, Venezuela y Región Caribe, sobre este y otros temas a propósito del Día Mundial Protección de Datos, que se celebra cada 28 de enero.
“Si tenemos en cuenta que 8 de cada 10 peruanos reutilizan contraseñas, la filtración de uno de nuestros registros en un sitio web puede provocar la pérdida de información y/o acceso en otros sitios”, advierte la especialista.
- ¿Cuáles son los datos personales en mayor riesgo en el mundo digital?
Por un lado, tenemos la “información personal”, que es cualquier información relativa a una persona física identificada o identificable; es decir, que incluye el nombre, edad, dirección de su casa, código postal, entre otros. Estos datos, al combinarse, nos pueden permitir identificar a un individuo, saber exactamente quién es. Por otro lado, está la “información personal sensible”, que, si se pierde, se pone en peligro o se divulga, podría dañar, avergonzar, incomodar o resultar en un trato injusto de una persona de manera financiera, laboral o social. Algunos de estos datos son los siguiente: información crediticia, datos biométricos, fecha de nacimiento, información de salud, así como también nuestros registros personales ante el gobierno como licencia de conducir, documentación de identidad, partida de nacimiento, etc.
De acuerdo con el estudio Costo de las filtraciones de seguridad de datos 2021 de Ponemon Institute e IBM Security, el robo de credenciales (usuarios y contraseñas), es el método más común utilizado como punto de entrada por los ciberdelincuentes. A partir de allí, casi la mitad (45%) de las filtraciones analizadas expusieron datos personales de clientes como nombre, correo electrónico, contraseña o incluso datos médicos, lo que representa el tipo más común de registro filtrado en el informe.
A su vez, uno de los principales factores que pone en riesgo los datos personales es la reutilización de contraseñas, ocasionada por la fatiga de las contraseñas a causa de la sobrecarga de cuentas. Esta es una tendencia muy peligrosa y, de acuerdo con el estudio sobre comportamientos digitales de los consumidores durante la pandemia, el 85% de los peruanos encuestados afirmó que reutiliza sus claves.
- Muchas veces las aplicaciones y servicios digitales solicitan permisos de acceso en nuestros dispositivos. ¿Qué permisos otorgados a las apps (acceso a cámara, contactos, etc.) ponen en mayor riesgo nuestros datos personales?
El Internet de las cosas (IoT) en su concepción más sencilla y básica, no es más que la conexión entre un objeto a la red internet, cualquiera sea su dimensión o función. Como ejemplo, tenemos cámaras de vigilancia, televisores, automóviles, termostatos, válvulas, candados, teléfonos, etc. Cualquier “aparato” que se conecte a internet es considerado un dispositivo IoT. Muchos de esos dispositivos vienen con sus propias apps.
Las aplicaciones suelen solicitarnos permisos para acceder a diferentes partes de nuestros dispositivos, como puede ser la geolocalización, por ejemplo. Aquí, la clave radica en entender a qué necesita realmente tener acceso esta aplicación para brindarme el servicio que ofrece, ya que muchas veces las apps piden acceso a todo [en nuestro celular], incluso aquello que no necesitan, por ejemplo, por lo general, un videojuego no necesita acceso a las fotos. Esto es una mala práctica en el desarrollo de apps, pero es algo que se ve comúnmente.
Lo que sí es una buena práctica de higiene digital es examinar periódicamente estas aplicaciones y tomar los cuidados (según el caso de cada dispositivo), con el fin de implementar restricciones adecuadas. Es importante hacer inventario de las apps. Elimine las que no usa y considere si es necesario aceptar ciertos permisos para usarlas.
- ¿De qué manera los datos personales que manejan las empresas pueden ser utilizados por ciberatacantes tras una filtración?
Cuando una empresa sufre una filtración de datos, su información pasa a otras manos que buscan esos datos para perjudicar, tanto a los usuarios/clientes, como a las organizaciones. Esos datos quedan expuestos y pueden ser utilizados por los atacantes para extorsionar a los usuarios y acceder a otras plataformas y servicios online que utilizan las personas. Pensemos en esto, en otro hallazgo del estudio sobre comportamientos digitales que mencioné anteriormente: se encontró que más de un tercio (37%) de los encuestados millennials prefiere realizar un pedido mediante una aplicación o sitio web potencialmente inseguro en vez de llamar o visitar un lugar en persona. En estos sitios se suele solicitar la información de la tarjeta de crédito para realizar el pago. Si estos datos son robados y filtrados, toda nuestra información queda expuesta y, si tenemos en cuenta que 8 de cada 10 peruanos reutilizan contraseñas, la filtración de uno de nuestros registros en un sitio web puede provocar la pérdida de información y/o acceso en otros sitios.
Además, la filtración de datos expone a las personas a problemas de suplantación de identidad, delitos cibernéticos y hasta venta de información privada de la víctima en la Dark Web. El robo de identidad, por ejemplo, se utiliza para realizar transacciones financieras mediante cuentas a nombre de otra persona, que incluyen desde hacer compras usando un número de tarjeta de crédito o pedir un préstamo para un automóvil. Con menos frecuencia, se utiliza para obtener un seguro médico, presentar declaraciones de impuestos fraudulentas, hacerse pasar por otra persona durante un arresto, abrir servicios telefónicos o inalámbricos, o incluso intentar chantajear.
- ¿Las personas y empresas entienden cuán importante es proteger los datos personales?
Se están tomando medidas para disminuir las filtraciones y la exposición de datos personales, pero los atacantes siguen avanzando, mejorando cada vez más sus técnicas y aprovechando también nuevas tecnologías para crear ataques más sofisticados, desde ransomware hasta robo de datos. Así que todavía queda un largo camino por recorrer.
En la sociedad digital actual, la privacidad de los datos es clave y las organizaciones deben tomar medidas para asegurar que su información está protegida, almacenada de forma segura y que es utilizada de manera responsable. Sin duda la gestión responsable y segura de los datos debe ser igual, no puede variar de acuerdo con el lugar donde vive alguien o desde dónde accede a Internet. A esto también se suma la responsabilidad de cada uno de nosotros como usuarios, tanto para mantener una correcta higiene digital y complicarle el trabajo a los atacantes, pero también debemos ser activos en cuanto a entender, decidir y monitorear cómo están siendo usados nuestros datos.
- ¿Cuáles deben ser las buenas prácticas de las empresas para no poner en riesgo los datos personales de los usuarios en filtraciones, por ejemplo?
Las empresas se han vuelto cada vez más dependientes de una interacción digital con los consumidores, y esto se aceleró como resultado de la pandemia, por lo que deben considerar el impacto que esto tiene en sus perfiles de riesgo de ciberseguridad. A la luz de los cambios en los comportamientos y preferencias de los consumidores en torno a la conveniencia digital, IBM Security sugiere a las organizaciones considerar las siguientes recomendaciones de seguridad:
Enfoque de confianza cero: En vista del incremento de los riesgos, las empresas deben considerar evolucionar hacia un enfoque de seguridad de “confianza cero”, que opera bajo el supuesto de que una identidad autenticada, o la propia red, ya pueden estar comprometidas y, por lo tanto, se debe validar continuamente las condiciones de conexión entre usuarios, datos y recursos, para determinar la autorización y la necesidad de acceder a la información. Este enfoque requiere que las empresas unifiquen sus datos de seguridad y enfoque, con el objetivo de abarcar en forma envolvente el contexto de seguridad alrededor de cada usuario, dispositivo e interacción.
Modernización de la gestión de identidad y acceso del consumidor: Para las empresas que desean seguir aprovechando los canales digitales para interactuar con el consumidor, proporcionar un proceso de autenticación continuo es importante. Invertir en una estrategia modernizada de gestión de identidad y acceso del consumidor (CIAM, por sus siglas en inglés) puede ayudar a las organizaciones a aumentar la interacción digital, ofrecer una experiencia de usuario sin fricciones en las diferentes plataformas digitales y utilizar análisis de comportamientos para ayudar a disminuir el riesgo de uso fraudulento de las cuentas.
Protección de datos y privacidad: Más usuarios digitales significa que las empresas también tendrán más datos sensibles de los consumidores que proteger. Las organizaciones deben implementar fuertes controles de seguridad de datos para proteger contra el acceso no autorizado, desde monitorear datos para detectar actividades sospechosas, hasta encriptar datos sensibles donde sea que viajen (tecnologías, fronteras, etc.). Las empresas también deben implementar las políticas de privacidad adecuadas en su infraestructura local y en la nube para ayudarles a mantener la confianza del consumidor.
Poner la seguridad a prueba: Con el uso y dependencia en las plataformas digitales cambiando rápidamente, las organizaciones deben considerar la realización de pruebas dedicadas para verificar que las estrategias y tecnologías de seguridad en las que antes confiaban sigan siendo válidas en este nuevo escenario. Reevaluar la efectividad de los planes de respuesta a incidentes y probar las aplicaciones para detectar vulnerabilidades de seguridad son componentes importantes de este proceso.
- ¿Qué medidas deben tomar las personas para proteger sus datos personales en el entorno digital?
- Piense críticamente. Si un email es extraño, puede ser una estafa o si es demasiado bueno para ser verdad, probablemente sea una estafa.
- Antes de hacer clic en cualquier link o abrir archivos adjuntos en un e-mail, pregúntese: ¿el remitente realmente necesita que le comparta esa información? Si no está seguro, llame al remitente para verificar la solicitud.
- No confíe en el identificador de llamadas de su teléfono. Muchos delincuentes tienen acceso a la tecnología de falsificación (CallerID Spoofing), que hace que un número de teléfono se vea como el que ellos que deseen. Por ende, pueden fingir que lo están llamando desde un número de teléfono en el que normalmente confía, como su banco.
- Utilice un administrador de contraseñas. No solo genera contraseñas más seguras, también le almacena información de cada sitio web en el que tiene cuentas sin tener que memorizarlas.
- No divulgue demasiada información personal en los sitios de redes sociales (o Internet en general), como su ciudad de nacimiento o su cumpleaños.
- Mienta en las preguntas de restablecimiento de contraseña. A menudo los atacantes pueden obtener información que la mayoría de las personas utilizarían para restablecer sus contraseñas en redes sociales, como el nombre de la mascota, de su escuela secundaria, etc. Sin embargo, si usted no responde con la verdad, el atacante no puede adivinar.
- La MFA (Autenticación Multifactor) es su amiga. Incluso si un cibercriminal tiene acceso a su contraseña, si usa MFA, tiene una última línea de defensa en la que finalmente mantiene el control.
- Solo use conexiones Wi-Fi de confianza. A los hackers les encanta usar puntos de acceso falsos de Wi-Fi que se conectan directamente a los dispositivos de ellos.
VIDEO RELACIONADO
TE PUEDE INTERESAR:
- IBM: ¿Qué son las nubes híbridas y por qué su demanda sigue creciendo entre las empresas peruanas?
- Ciberdelincuencia en 2022: ¿cómo han evolucionado las amenazas digitales y cómo podemos protegernos?
- Ciberseguridad en 2022: ¿Qué amenazas y desafíos nos esperan en el mundo digital el próximo año?
- ¿Qué peligros acechan a mis niños en las redes sociales y qué puedo hacer como padre para protegerlos?
- El 48% de los padres utiliza aplicaciones de control parental para vigilar el comportamiento ‘online’ de sus hijos