La información personal, expresada en datos bancarios, medios, credenciales de usuarios, propiedad intelectual y otros, constituyen información sensible que debe ser protegida a toda costa con independencia de si lo hace la propia persona o una organización. Lo esencial es que se cumpla lo establecido en la ley 149/2022 que protege este tipo de información.
Uno de los grandes problemas está en la dependencia de dispositivos y aplicaciones en esta esfera, más si se ha tornado tan común la práctica del BYOD (trae tu propio dispositivo) en las operaciones habituales de las organizaciones.
Esto hace que junto a los datos personales coexisten información de instituciones y que al trabajar de forma habitual en diversos entornos, ambos están en peligro.
Se ha demostrado que en 2024, 1700 millones de personas vieron comprometidos sus datos personales, respecto a los 419 millones afectados en 2023. Esto es una clara expresión de la existencia de pérdidas en muchas esferas, en especial, las finanzas.
Una puerta de entrada que ha venido incrementando su presencia en este tipo de incidente es la de los dispositivos móviles tan utilizados hoy día para acceder a servicios, que a la vez exhiben mecanismos de protección muy endebles, entre los que cabe destacar la carencia de antivirus, que es muy común en nuestro entorno, a pesar de la necesidad de su presencia.
Se ha detectado en múltiples ocasiones en los dispositivos personales, la presencia de aplicaciones maliciosas que pululan en las redes y que llegan a los medios cuando las personas descargan desde cualquier sitio sin tomar precauciones. Esto genera, potencialmente, una amenaza dada la posibilidad de que se instale un software malicioso.
Es esta una vía importante, que destaca entre las causales de la fuga de datos, porque el atacante obtiene acceso al área confidencial de la información al poder actuar como si fuera la propia persona. Luego de que la aplicación maliciosa recibe los permisos, puede actuar libremente en el dispositivo. La causa, entonces, está en la negligencia, las políticas de seguridad deficientes o una gestión inadecuada de los datos.
Y debe anotarse el hecho de que con el BYOD se extiende el problema a los datos de la organización donde se labora, si no hay una protección eficiente, de ello se desprende que la responsabilidad va más allá del campo de lo personal.
Los servicios en la nube, tan difundidos hoy, son un arma con “filo, contrafilo y punta” tomando la frase del eminente intelectual y político Carlos Rafael Rodríguez en el prólogo de su obra “Letra con filo” (1987) para dar mayor significado al problema.
En un dispositivo móvil, es común que se tengan aplicaciones que gestionan los datos en la nube con comodidad, pero también permiten, en caso de compromiso, escalabilidad, lo que induce a riesgos cuyo impacto puede ser muy alto, porque se instalan aplicaciones controladas por ciberdelincuentes, que junto a las debilidades que se detectan de manera habitual en estos terminales, permiten que las fallas de confidencialidad de datos sean una realidad, a lo que se añade las fallas de los sistemas de los proveedores.
A las fallas mencionadas se suman las criptográficas que permitido la realización de ataques “hombre en el medio” o la obtención de permisos de lectura a repositorios de datos como consecuencia de las debilidades.
Puede sumarse además en uso de protocolos criptográficos desactualizados, como el TLS 1.2 a pesar de su obsolescencia conocida.
Se añade además el hecho de la existencia de claves criptográficas generadas mediante hardcoding, uso de MD2, generadores de números aleatorios inseguros o reutilización de la mismo enigma criptográfico.
Al principio se menciona que al comprometerse el dispositivo, quedan expuesto no solo las credenciales, sino también los tokens de autenticación, la información personal y los datos de las organizaciones si se almacenan en el propio dispositivo.
Esto permite la “fuga silenciosa” de datos, pues cuando se hace una transmisión lícita, junto a ella de forma enmascarada se produce, muchas veces, el envío de los datos personales al ciberdelincuente.
Además puede que se produzcan otras situaciones como la “escucha del teclado” por medio de aplicaciones de keylogging que guardan y envían las pulsaciones del teclado, lo que se agrava si se hace en interfaces de usuario que muestren el texto sin el uso de una máscara.
El impacto de la pérdida de los datos personales es muy delicado y va más allá de que se escurran datos propios. Cuando se colecta y se guarda información de terceros, debe hacerse con mucha responsabilidad y por razones muy justificadas, porque una filtración de los mismos implica una negligencia que puede tener responsabilidad civil, e incluso penal.