• Identificación y protección de la IIP (información de identificación personal)

Identificación y protección de la IIP (información de identificación personal)

Blog

Aprenda qué es la información de identificación personal (PII), cómo proteger la suya y los requisitos legales que deben cumplir las empresas para garantizar la privacidad.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 8 minutos
Identificación y protección de la IIP (información de identificación personal)
Índice-

¿Quién querría que su información personal identificable y sus datos sensibles se vieran comprometidos y fueran utilizados por alguien para actividades fraudulentas? Pero la triste realidad es que esto se ha convertido en una práctica habitual.

Recientemente se reveló que casi el 50% de las violaciones de datos entre 2021 y 2023 fueron de la Información de Identificación Personal (PII) de los clientes, y el 40% de esos datos eran de empleados. Estos datos se registraron durante a encuesta en octubre de 2023.

La PII no es muy complicada, pero es importante comprender qué es y por qué es importante identificarla y protegerla. Esta guía contiene todas las respuestas para ayudarle a proteger su PII y a usted mismo. 

 

Puntos clave

  1. La IIP incluye información sensible y no sensible que puede utilizarse para identificar a las personas.
  2. La PII sensible puede causar daños significativos si se ve comprometida, mientras que la PII no sensible es menos peligrosa por sí sola.
  3. Las empresas deben contar con medidas sólidas para proteger la IIP que recopilan y almacenan.
  4. Las filtraciones de datos pueden producirse por diversos métodos, como el phishing y el malware, lo que subraya la necesidad de estar alerta.
  5. El cumplimiento de leyes como GDPR e HIPAA es esencial para que las empresas salvaguarden la información personal y eviten sanciones.

¿Qué es la información de identificación personal?

La IIP, o Información de Identificación Personal, es información que constituye una parte significativa de su identidad y puede apuntar directamente a usted. 

Imagínatelo como un código secreto que, por sí solo o mezclado con otra información, puede revelar tu identidad. Por tanto, no es sólo tu nombre y dirección; es como las piezas de un puzzle que, cuando se juntan, crean la imagen completa de "ti". 

Por ejemplo, supongamos que usted se llama Juan. Hay muchas otras personas en todo el mundo que tienen el mismo nombre, por lo que no puede considerarse IIP. Pero, ¿qué ocurre si decimos que se llama John Doe, vive en Manhattan y tiene un número de la seguridad social AXY123? Ahora, se convierte en una IIP y puede identificarle de forma única de otros Johns que viven en otras zonas.

La IIP puede dividirse en no sensible y sensible. Lo trataremos a continuación.

 

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

Información PII no sensible y sensible

El Departamento de Defensa de los Estados Unidos proporciona una lista de ejemplos relacionados con la PII. Desde los números de la seguridad social hasta las direcciones personales, todos estos datos pueden considerarse información de identificación personal. Identificar y proteger la PII confidencial es precisamente lo que debe intentar hacer. 

Echemos un vistazo a las dos categorías distintivas de IIP: 

Información confidencial

La PII sensible es información que puede identificar a un individuo muy fácilmente. Este tipo de IIP puede ser perjudicial para la persona a la que pertenece si la recupera un ciberdelincuente. 

Ejemplos de información sensible de identificación personal

  • Número de la Seguridad Social (SSN)
  • Permiso de conducir
  • Dirección postal
  • Datos de la tarjeta de crédito
  • Información sobre el pasaporte
  • Información financiera
  • Historial médico

IIP no sensible

Cualquier información, como un apellido de soltera, que pueda identificar a una persona pero que no pueda utilizarse para perjudicarla se define como IIP no sensible. 

Ejemplos de datos de identificación personal no sensibles

  • Nombre
  • Código postal
  • Carrera
  • Género
  • Fecha de nacimiento
  • Lugar de nacimiento
  • Religión

Si usted o cualquier empresa desea recopilar información de identificación personal, tendrá que utilizar formularios en línea, encuestas y redes sociales, preferiblemente con un acuerdo de confidencialidad adjunto. Asegúrate de que, siempre que proporciones tu IIP a alguien, comprueba si dispone de un plan adecuado para utilizar, almacenar y proteger la información.

¿Por qué es importante la IIP?

Identificar y proteger la información de identificación personal (PII) es fundamental, ya que protege sus datos. Cualquier empresa u organización que tenga su PII está legalmente obligada a protegerla a toda costa. Esto garantiza la seguridad y protección de su información personal.

Las empresas pueden utilizar tu información para múltiples fines, como:

  • Publicidad dirigida
  • Prevención del fraude
  • Cumplimiento de la ley
  • Calificación crediticia
  • Selección de personal

¿Cómo se puede robar información de identificación personal?

Cómo puede ser robada la IPI

Ataques como ingeniería social utilizando un nombre de dominio o un correo electrónico falsos pueden engañar a la gente para que revele información personal. También es posible que se filtre información privada a través de cuentas de correo electrónico pirateadas, filtraciones de datos, etc.

Estas son algunas de las formas más habituales de robo de información personal: 

  1. Correos electrónicos de phishing: Correos electrónicos falsos que incitan a las víctimas a revelar su información personal.
  2. Infracciones de datos: Los atacantes aprovechan las vulnerabilidades de los sistemas para violar bases de datos sensibles
  3. Basurero: Recuperación de documentos eliminados de la basura que contengan información confidencial.
  4. Ingeniería social: Manipulación de víctimas desprevenidas para que compartan información personal.
  5. Malware: software malicioso que se infiltra en los archivos que contienen información de identificación personal en su ordenador.
  6. Amenazas internas: Sus propios empleados revelan información de identificación personal con malas intenciones o por dinero.
  7. Ciberespionaje: escuchas de comunicaciones en línea para robar información personal.
  8. Cuentas de correo electrónico pirateadas: Obtención de acceso a cuentas de correo electrónico para leer chats que contienen PII.
  9. Ataques Man-in-the-middle: El atacante intercepta las comunicaciones en línea para robar información personal.
  10. Ataques de fuerza bruta: Obtención de acceso no autorizado a las cuentas mediante el uso de la fuerza bruta como constantes recuperaciones, y luego robar PII.

Métodos para salvaguardar la IIP

Varios países han adoptado múltiples leyes de protección de datos para crear directrices para las empresas que recopilan, almacenan y comparten la información personal de los clientes. Veamos las formas de identificar y proteger la información de identificación personal.

  • Utilice contraseñas seguras siempre que sea necesario.
  • Tenga cuidado con los datos que comparte en Internet.
  • Controle periódicamente sus informes crediticios en busca de indicios de fraude.

Si es usted empresario, debería tener en cuenta los pasos que se indican a continuación:

  • Recopilar únicamente la IIP necesaria para prestar un servicio específico.
  • El cifrado utilizado en las empresas debe ser robusto para impedir el acceso no autorizado a la información personal de sus empleados y clientes.
  • El acceso a la IIP debe limitarse únicamente a aquellos empleados que la necesiten para desempeñar sus funciones.
  • Debe celebrarse una sesión de formación para instruir a los empleados sobre cómo proteger la IIP.
  • Esté siempre atento a cualquier fallo de seguridad que pueda producirse repentinamente.
  • Debe existir un plan de respuesta a la violación de datos para que pueda utilizarse rápidamente para responder a una violación de datos y minimizar los daños.

Para reforzar aún más las prácticas de protección de datos, muchas organizaciones optan por colaborar con desarrolladores remotos que puedan implantar sistemas seguros y protocolos de cifrado avanzados. Al crear un equipo distribuido con experiencia demostrada en ciberseguridad, las empresas pueden garantizar una supervisión coherente, una respuesta rápida a las amenazas y el cumplimiento de la normativa mundial sobre datos.

El Departamento de Seguridad Nacional de EE.UU. también ha publicado un esclarecedor documento en el que se explica cómo proteger y compartir de forma segura la información de identificación personal.

Importancia de proteger la información personal frente a las filtraciones de datos

Una violación de datos se produce cuando alguien que no tiene autorización de la empresa accede a los sistemas informáticos, lo que puede dar lugar a la adquisición de información confidencial

Mientras investigábamos, encontramos un estudio que mostraba que más de 6 millones de registros en todo el mundo en 2023. Es uno de los factores que más preocupan a los responsables de las empresas.

Estas violaciones de datos pueden deberse a varias razones, como:

  • Malware
  • Hackear
  • Errores humanos

Las empresas pueden seguir las prácticas que se mencionan a continuación para proteger sus datos de las filtraciones:

  • Aplicar medidas de seguridad adecuadas.
  • Educar a sus empleados en las mejores prácticas dentro de la ciberseguridad .
  • Disponga de un plan de respuesta y reparación en caso de que se produzcan violaciones de datos repentinas.

Legislación y normativa sobre IPI

La PII está regulada por muchas leyes y normativas. Éstas garantizan que la privacidad de las personas esté a salvo y que no tengan que preocuparse por amenazas como la suplantación de identidad. Algunas de estas leyes federales son:

1. Ley de Privacidad de 1974

La Ley de Privacidad de 1974 establece las normas para los agentes federales a la hora de recopilar, utilizar y revelar información de identificación personal. Esta ley también obliga a los organismos federales a informar a los ciudadanos si pueden revelar su IIP, y se prevén sanciones en caso de incumplimiento. Sin embargo, hay algunos casos especiales y excepciones.

2. Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios

Luego está la HIPAA, la Ley de Portabilidad y Responsabilidad del Seguro Médicoel superhéroe de los historiales médicos. Exige que las instituciones sanitarias y los proveedores mantengan en secreto la información de los pacientes y no divulguen sus historiales médicos sin consentimiento.

3. Ley de libertad de información

Y no se olvide de la FOIA, la Ley de Libertad de Información. Es el billete de oro para la gente que quiere indagar en los archivos del gobierno. Les dice a las agencias federales: "Muestren sus tarjetas a menos que sea super secreto". Así que, básicamente, es el pase entre bastidores del público a la información gubernamental. Sin embargo, la FOIA también actúa como protector de la IIP al pedir a los organismos encargados de hacer cumplir la ley que retengan información que pueda ser personalmente identificable o perjudicial.

4. Reglamento general de protección de datos (RGPD) 

En 1995 existía la Directiva de Protección de Datos, pero más tarde, GDPR tomó el relevo para salvaguardar la información personal. Ahora, cualquier empresa que maneje datos personales de ciudadanos de la UE, ya tenga su sede en la UE o en otro lugar (sí, incluso en Estados Unidos), tiene que seguir el mismo conjunto de normas.

El incumplimiento de determinadas disposiciones puede dar lugar a cuantiosas multas -el 4 % de sus ingresos anuales globales o 20 millones de euros, lo que resulte más doloroso-. Además, los particulares tienen derecho a reclamar si consideran que se han vulnerado sus derechos en virtud del RGPD. 

Recuerde que el GDPR es el sheriff mundial de la privacidad de los datos, que se asegura de que las empresas no jueguen a la ligera con la información personal de los ciudadanos. Es el guardián de tus datos, que mantiene el mundo digital bajo control.

¿Cómo pueden las empresas proteger los datos de sus clientes?

Las empresas que busquen formas de identificar y proteger la información de identificación personal (PII) para mejorar su seguridad pueden tener en cuenta estos prácticos consejos:

  • Implemente la segmentación de la red: Piense en ello como si construyera muros dentro de su reino digital. Si un área es violada, las otras pueden permanecer fuertes. Es como tener compartimentos secretos en tu bóveda de datos.
  • Haga cumplir las políticas y procedimientos de seguridad: Establece las normas y asegúrate de que todo el mundo las cumple. Es como tener un manual de seguridad: todo el mundo sabe lo que está permitido y lo que está prohibido.
  • Haz copias de seguridad de los datos con frecuencia: Imagina tus datos como un tesoro y las copias de seguridad como un escondite secreto. Si vienen los piratas (es decir, si hay una filtración de datos), aún tienes tu escondite secreto al que recurrir. 
  • Establezca un plan integral de respuesta a las violaciones de datos: Planifique cada movimiento, desde la detección del problema hasta su solución. 

Repercusiones del robo de identidad y del uso indebido de la información de identificación personal

El robo de identidad no es ninguna broma: puede traer graves quebraderos de cabeza financieros. Imagina que alguien se hace pasar por ti y se va de compras o pide un préstamo a tu nombre sin preguntar... ¡o peor aún, lleva a cabo actividades ilegales! 

La usurpación de identidad y el robo de IPI pueden dar lugar a: 

  1. Graves perjuicios económicos 
  2. Angustia emocional y ansiedad 
  3. Turbulencias legales por delitos cometidos en su nombre
  4. Pérdida de credibilidad y reputación en el sector 
  5. Pérdida de confianza de los clientes

Palabras finales

Un vector popular para recuperar información de identificación personal son los correos electrónicos de phishing que suplantan o falsifican su nombre de dominio. Recomendamos configurar un DMARC para sus correos electrónicos y dominios con el fin de identificar y proteger la PII. ¡Y no hay mejor manera de configurar y supervisar su implementación de forma segura que con PowerDMARC! Somos un equipo de expertos en seguridad de dominios que se especializa en ayudarle a minimizar el fraude por correo electrónico mediante la autenticación. Póngase en contacto hoy mismo para obtener una prueba gratuita de DMARC gratuita. 

Recuerda compartir la menor cantidad posible de información personal en Internet. Mantente seguro y alerta en Internet.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Estudio de caso de DMARC MSP: Cómo Systemgemisch automatizó la seguridad de la autenticación del correo electrónico...Mezcla de sistemasAtaques de phishing con dominios similaresAtaques de phishing con dominios similares