No importa qué tipo de dispositivo esté utilizando o qué esté haciendo en él, constantemente se crean datos que pueden rastrearse hasta usted.
La información de identificación personal (PII) se presenta en muchas formas y, en muchos casos, se crea sin que usted se dé cuenta. Esos datos pueden usarse para aprender cosas sobre usted, sus hábitos, sus intereses, y pueden ser monetizados o utilizados por actores maliciosos para robar su identidad o piratear sus cuentas.
Saber qué es la PII, para qué se utiliza y cómo protegerla son partes esenciales para mantenerse seguro en línea.
VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (República Tecnológica)
Qué es la PII y qué no es
El proveedor de autenticación multifactor Okta, en su informe Costo de privacidad de 2020, enumera 13 categorías distintas de datos que pueden considerarse PII:
Nombres de usuario y contraseñas Correos electrónicos y mensajes enviados Datos ingresados en formularios en línea Perfiles en línea Historial de Internet Ubicación física cuando está en línea Historial de compras en línea Historial de búsqueda Publicaciones en redes sociales Dispositivos utilizados Trabajo realizado en línea Videos en línea vistos Música en línea, listas de reproducción
El informe Okta enumera esas categorías en orden descendente (como se ve arriba) para mostrar qué tan conscientes estaban los encuestados de que esos tipos de datos eran PII. Cuando llega a la “ubicación física cuando está en línea”, menos de la mitad de los encuestados se dio cuenta de que ese tipo de datos podría usarse para identificar a un usuario de Internet.
VER: Política de mejores prácticas de certificados SSL (Premium de TechRepublic)
El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. define la PII de manera bastante amplia como “cualquier información sobre un individuo mantenida por una agencia, incluida cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, como nombre, número de seguro social, fecha y lugar de nacimiento, apellido de soltera de la madre o registros biométricos y cualquier otra información que esté vinculada o pueda vincularse a un individuo, como información médica, educativa, financiera y laboral”.
Esa definición divide la PII en dos categorías: datos vinculados, que son datos directamente conectados a una persona; y datos vinculables, que no están directamente asociados con la identificación de una persona pero que pueden usarse para conectarse con ella con un poco de trabajo.
La definición de PII del NIST va más allá de los datos en línea e incluye documentos en papel, tarjetas de identificación, facturas, extractos bancarios y otros registros. En el caso de los datos en línea, muchos de ellos pertenecen a lo que el NIST llama datos “vinculables”, especialmente si esos datos son anónimos o no contienen datos sobre usted como persona, como algunas cookies de seguimiento, direcciones IP e ID de máquinas.
Algunas de las formas más ambiguas de PII, como las direcciones IP, han sido discutidas en ambos sentidos y no ha surgido nada claro tras más de una década de debate sobre si pueden usarse para identificar a alguien.
En 2009, el Johnson contra Microsoft La decisión encontró que las direcciones IP no eran PII porque las direcciones IP identifican una computadora, no una persona. Esto entra en conflicto con un caso judicial de 2008 en Nueva Jersey, que sostuvo que los clientes tenían una expectativa razonable de privacidad con respecto a las direcciones IP. También entra en conflicto con la orientación del NIST que describe las direcciones IP como PII.
Los datos ambiguos se presentan en muchas formas, como datos de seguimiento de sitios web, cookies, perfiles publicitarios y otra información que puede mantenerse separada de la PII más fácilmente vinculada, pero que las empresas que operan esos servicios pueden combinar. En 2016, Google modificó su política de privacidad (que desde entonces ha sido modificada) para permitirle conectar la información de las cookies a la PII con el fin de “mejorar los servicios de Google”.
VER: Calendario editorial TechRepublic Premium: políticas de TI, listas de verificación, kits de herramientas e investigaciones para descargar (Premium de TechRepublic)
Cómo se utiliza la PII
La PII se utiliza tanto de forma legítima como ilegítima. El historial de navegación de un usuario, las cookies proporcionadas por los sitios web y el historial de búsqueda se utilizan a menudo para mostrar anuncios dirigidos, razón por la cual los anuncios en las redes sociales pueden ser tan extrañamente específicos.
Son los usos ilegítimos de la PII los que generan más interés y deberían ser motivo de mayor preocupación para los usuarios de Internet. Sí, los anuncios dirigidos y las violaciones de privacidad que se han cometido al brindarles servicio son un problema, pero las consecuencias de que un ciberdelincuente obtenga acceso a su PII pueden ser mucho peores.
Las filtraciones de PII fueron el principal tipo de filtración de datos en 2018 debido a lo valiosos que son esos datos: con un bit de información, un atacante puede concentrarse en un objetivo individual para un ataque de phishing, usar esos datos para buscar información adicional sobre una persona, o úselo para ingresar directamente a una cuenta en línea.
La PII también se puede utilizar para lanzar ataques de ingeniería social, que son uno de los métodos de piratería más populares actualmente en uso: ¿por qué pasar por el trabajo de desarrollar un truco complicado cuando puedes simplemente usar la PII robada en una infracción y algunas publicaciones en las redes sociales para ¿Adivinas tu camino hacia la cuenta de alguien?
VER: Política de uso de VPN (Premium de TechRepublic)
Protegiendo su PII
Puede ser difícil proteger su PII, especialmente porque gran parte de ella se recopila en segundo plano en sitios web y servicios que utiliza todos los días. En otros casos, los sitios web en los que confía con PII más confidencial, como su nombre, dirección, dirección de correo electrónico e información bancaria, pueden ser vulnerados y no hay nada que pueda hacer al respecto.
Sin embargo, eso no significa que sea completamente incapaz de proteger su PII. Hay muchas precauciones que puede tomar para minimizar su huella de PII y proteger su información cuando sea absolutamente necesario proporcionarla.
El proveedor de protección contra robo de identidad NortonLifeLock recomienda los siguientes pasos de protección de PII:
Tenga cuidado con lo que publica en las redes sociales: es fácil adivinar sugerencias de contraseñas y otra información personal de las publicaciones. Cuando sea posible, limite su audiencia en las redes sociales a personas que conoce. Invierta en una trituradora de papel para proteger la PII física.
No se limite a proporcionar información confidencial, como su número de seguro social, cuando se le solicite; primero descubra por qué es necesaria y cómo se protegerá.
Deje documentos confidenciales, como su tarjeta de seguro social y pasaporte, en casa a menos que los necesite.
Otros pasos incluyen el uso de un servicio de pago intermediario como PayPal o Privacy.com en lugar de darles a los proveedores su tarjeta de crédito o información bancaria. Los usuarios también pueden descubrir cómo los navegadores web pueden bloquear las cookies de seguimiento y habilitar el modo de no seguimiento (no siempre efectivo), o instalar un complemento del navegador como Ghostery que permite a los usuarios bloquear elementos individuales que pueden estar rastreando o recopilando datos.
Además, debe borrar periódicamente el historial de su navegador, las cookies y otros archivos temporales que contienen PII, usar una VPN cuando maneje información confidencial o navegue por la web en una red Wi-Fi pública no segura y use el modo de incógnito en su navegador web para evitar el seguimiento y almacenamiento de registros vinculados a su identidad.