Significado

La información personal de identificación, también conocida como PII​ (del inglés Personally Identifiable Information), es todo conjunto de datos que pueden ser usados para identificar a un individuo en específico. Se consideran datos delicados, y son la información que se usa en el robo de identidades. La PII podría ser simplemente un nombre de usuario, dirección y fecha de nacimiento, o tan sensible como el nombre completo, dirección, número de seguridad social y datos financieros. En una filtración de datos, la PII es un objetivo para los atacantes debido a su alto valor cuando se vende en los mercados de la darknet o red oscura.

¿Qué se considera PII?

No existe una regla rígida que diferencie cuál información se considera PII y cuál no. La identificación personal es en general un conjunto de datos, pero cualquiera de sus datos componentes por separado también se puede considerar PII. Por ejemplo, un nombre completo no es suficiente información de identificación personal como para ser usada por un atacante, pero un número de seguridad social sí identifica a un individuo específico. Un nombre y apellido definen mejor la identidad de un individuo, pero sin una dirección e información más específica, el individuo podría mantener su anonimato. Para que sea eficaz, debe suministrar suficiente información como para identificar a un individuo específico entre millones de personas.

Si bien no existe una única definición, la siguiente lista podría considerarse PII si se filtrase una cantidad suficiente de estos datos. Uno o toda la siguiente información podría usarse en una filtración de datos:

  • Nombre
  • Apellidos
  • Dirección de facturación
  • Dirección física
  • Número de seguridad social
  • Información del pasaporte (o una imagen de este)
  • Número de licencia de conducir (o una imagen de esta)
  • Datos de una tarjeta de crédito (número, CVV, fecha de expiración)
  • Fecha de nacimiento
  • Número de teléfono
  • Credenciales de autenticación (nombre de usuario y contraseña)

La información anterior se puede usar para identificar a una persona, pero los datos adicionales pueden resultar incluso más útiles a un atacante.

La siguiente información por sí misma no resulta útil a los atacantes, pero sí se puede usar en conjunto con la información anterior para robar la identidad de un usuario objetivo:

  • Solo el nombre o el apellido, no el nombre completo
  • País y/o ciudad
  • Sexo
  • Raza
  • Intervalo de edad (p. ej., 30-40 años)
  • Cargo o información profesional

Los ítems listados anteriormente no son una lista exhaustiva. Cualquier información que se pueda usar para identificar a un individuo se puede considerar PII. Es esta información lo que las corporaciones procuran proteger de los atacantes.

PII delicada vs. no delicada

Es importante distinguir entre lo que es PII delicada y no delicada, porque la información delicada está regulada por las normativas de conformidad y debe protegerse cumpliendo con ciertos estándares de ciberseguridad determinados por los organismos reguladores. Los datos sumamente delicados, como los números de seguridad social y datos financieros, requieren de fuertes medidas de seguridad para la protección contra ataques.

Al igual que ocurre con las definiciones de identificación personal de datos, no hay un conjunto predefinido de reglas o estándares para definir lo que son los datos delicados. Una buena práctica es determinar si la información está disponible públicamente, en contraposición a lo que no aparecería en un listín telefónico o base de datos pública. Los números telefónicos pueden ser privados, pero los números telefónicos y nombres públicos no se consideran datos privados. El nombre y dirección de correo electrónico de un empleado que aparecen en un directorio corporativo no son datos delicados, pero el número telefónico privado y la dirección del empleado sí se consideran delicados.

Los estándares normativos definen la forma en que se debe almacenar y transferir la información delicada. Los datos delicados deben cifrarse cuando se almacenan y cuando se transfieren por la red. Los datos almacenados en una unidad o en una base de datos se conocen como “datos en reposo”. Los datos transferidos a través de una red corporativa o más allá de esta se conocen como “datos en movimiento”. Ambas versiones son vulnerables ante atacantes y se les deben aplicar las mejores defensas de ciberseguridad.

Además de la información de identificación personal, la información médica protegida (PHI) y los datos financieros están regulados por estándares y deben protegerse mediante las siguientes directrices: la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA) gobierna los datos médicos y define los estándares de ciberseguridad para médicos, hospitales, dentistas, compañías de seguros y más. Diversos Organismos reguladores supervisan los datos financieros, tales como PCI-DSS, Financial Industry Regulatory Authority (FINRA), Sarbanes-Oxley (SOX) y muchos más. La violación de estos estándares puede resultar en millones de dólares en multas, así que es crucial garantizar que los datos sensibles cumplan con estas regulaciones.

¿Qué es PII de acuerdo con el Reglamento General de Protección de Datos (RGPD)?

El Reglamento General de Protección de Datos de la Unión Europea (RGPD) define la manera en que las corporaciones deben tratar la información de identificación personal. Ofrece orientación acerca de lo que se considera PII y qué se debe hacer para almacenarla, protegerla y eliminarla. La lista de comprobación del RGPD brinda una manera a las organizaciones para identificar si están en el buen camino con su gestión de datos personales.

El RGPD hace una división clara entre empresas con 250 empleados y empresas con menos de esa cantidad. La lista de comprobación indica a las organizaciones cómo deben cifrar sus datos en reposo y en tránsito. El cifrado es la principal estrategia para anonimizar datos cuando estos se revelan. Incluso si un atacante logra colarse en una red interna, el cifrado inutilizaría los datos para este.

Existen otros estándares de ciberseguridad que gobiernan el uso de los datos personales de los residentes en la UE. Las organizaciones no solo deben garantizar que los datos sean una prioridad al diseñar sus defensas, sino que también deben suministrar a los clientes una manera sencilla de descubrir cómo se usan sus datos personales y solicitar que se borren. Los clientes también deben tener la capacidad de evitar que la organización use y recopile sus datos.

Si una organización debe cumplir con lo estipulado en el RGPD, es fundamental revisar los requisitos legales, porque son muy diferentes de otros estándares normativos. Por ejemplo, el RGPD indica que las cookies se podrían considerar datos personales. La ley hace una diferencia entre PII e “identificadores personales”. Un identificador personal agregado a la información de identificación personal le daría al atacante los datos necesarios para identificar a un individuo a partir de información personal básica. Por ejemplo, un atacante no podría hacer mucho solamente con un nombre como “Juan Pérez”, pero si este dato se combina con datos de geolocalización, el atacante podría identificar al Juan Pérez correcto.

Prácticas recomendadas de ciberseguridad para trabajar con PII

Los estándares normativos para gobernanza regulatoria son las mejores directrices para proteger la información de identificación personal. Estos estándares son un excelente punto para comenzar al diseñar políticas de ciberseguridad y gobernar la manera en que se usan los datos, pero no ofrecen un conjunto completo de estrategias para todos los sistemas corporativos. Otras estrategias de ciberseguridad se pueden considerar de acuerdo con los requisitos específicos de una organización.

De hecho, HIPAA y PCI-DSS pueden obligar a las organizaciones a usar SSL/TLS (HTTPS) al transferir datos delicados y PII. La organización tendría que cifrar cualquier dato delicado en la base de datos. Sin embargo, aun así, es necesario definir un conjunto de estrategias para el acceso interno, respaldos, archivado y qué miembros de la organización pueden ver estos datos personales. Si los usuarios acceden a los datos personales de manera remota, se les debe exigir que utilicen una VPN y autenticación de múltiples factores (MFA).

El phishing y los ataques de ingeniería social son comunes en el robo de credenciales. Los empleados deben recibir formación acerca de los peligros del phishing y la ingeniería social en general, y se les debe enseñar cómo reconocer un ataque y reportarlo. La capacitación en las directrices normativas que supervisan los datos y las personas que acceden a estos debería ser parte de la formación de un empleado. También se pueden usar otras soluciones de ciberseguridad para evitar el phishing, tales como filtros de correo electrónico, DMARC, SPF y bloqueadores de contenido basados en DNS.

Las estrategias de ciberseguridad deben revisarse regularmente, al menos cada año, pero algunas organizaciones optan por hacerlo con más frecuencia. Se aprende mucho en una fase de la respuesta a las incidencias, y esta fase ayuda a identificar los problemas con las estrategias, pero solamente después de que ya ha ocurrido una filtración de datos. La acción de revisar periódicamente las estrategias de ciberseguridad actuales y la infraestructura implementada ayuda al personal de informática a identificar mejor las debilidades en las defensas actuales.

PHI, PII, información personal financiera (PFI) y PHI electrónica (ePHI) son diversas expresiones de datos digitales que deben protegerse a nivel tanto físico como virtual. El primer paso es identificar todas las maneras en que la organización recopila datos, identificar los estándares normativos que definen cómo se manejan los datos y después aplicar estrategias que sigan todas las directrices.

Data breach: 3 tipos y cómo protegerse

Un análisis de incidencias de seguridad reveló que muchas implicaron robo de información. Descubra 3 tipos de data breach y cómo combatirlos.

La importancia de la cultura de seguridad en su empresa

La ciberseguridad no se limita a la tecnología y a los controles técnicos. Estos aspectos son sin duda importantes, pero el núcleo de su estrategia de ciberseguridad deben ser las personas.

Portal de recursos sobre el ransomware

Los ataques de ransomware aumentan un 300 % cada año, y el 75 % de ellos empiezan por un mensaje de correo electrónico de phishing. Proteja a sus empleados evitando que tenga éxito el ataque inicial. Estos son algunos recursos que ayudarán a sus empleados a proteger su gateway de correo electrónico, sin concesiones.