¿Qué es información personal de identificación (PII)?

La información personal de identificación, también conocida como PII​ (del inglés Personally Identifiable Information), es todo conjunto de datos que pueden ser usados para identificar a un individuo en específico. Se consideran datos delicados, y son la información que se usa en el robo de identidades. La PII podría ser simplemente un nombre de usuario, dirección y fecha de nacimiento, o tan sensible como el nombre completo, dirección, número de seguridad social y datos financieros. En una filtración de datos, la PII es un objetivo para los atacantes debido a su alto valor cuando se vende en los mercados de la darknet o red oscura.

Los ítems listados anteriormente no son una lista exhaustiva. Cualquier información que se pueda usar para identificar a un individuo se puede considerar PII. Es esta información lo que las corporaciones procuran proteger de los atacantes.

Es importante distinguir entre lo que es PII delicada y no delicada, porque la información delicada está regulada por las normativas de conformidad y debe protegerse cumpliendo con ciertos estándares de ciberseguridad determinados por los organismos reguladores. Los datos sumamente delicados, como los números de seguridad social y datos financieros, requieren de fuertes medidas de seguridad para la protección contra ataques.

Al igual que ocurre con las definiciones de identificación personal de datos, no hay un conjunto predefinido de reglas o estándares para definir lo que son los datos delicados. Una buena práctica es determinar si la información está disponible públicamente, en contraposición a lo que no aparecería en un listín telefónico o base de datos pública. Los números telefónicos pueden ser privados, pero los números telefónicos y nombres públicos no se consideran datos privados. El nombre y dirección de correo electrónico de un empleado que aparecen en un directorio corporativo no son datos delicados, pero el número telefónico privado y la dirección del empleado sí se consideran delicados.

Los estándares normativos definen la forma en que se debe almacenar y transferir la información delicada. Los datos delicados deben cifrarse cuando se almacenan y cuando se transfieren por la red. Los datos almacenados en una unidad o en una base de datos se conocen como “datos en reposo”. Los datos transferidos a través de una red corporativa o más allá de esta se conocen como “datos en movimiento”. Ambas versiones son vulnerables ante atacantes y se les deben aplicar las mejores defensas de ciberseguridad.

Además de la información de identificación personal, la información médica protegida (PHI) y los datos financieros están regulados por estándares y deben protegerse mediante las siguientes directrices: la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA) gobierna los datos médicos y define los estándares de ciberseguridad para médicos, hospitales, dentistas, compañías de seguros y más. Diversos Organismos reguladores supervisan los datos financieros, tales como PCI-DSS, Financial Industry Regulatory Authority (FINRA), Sarbanes-Oxley (SOX) y muchos más. La violación de estos estándares puede resultar en millones de dólares en multas, así que es crucial garantizar que los datos sensibles cumplan con estas regulaciones.

El Reglamento General de Protección de Datos de la Unión Europea (RGPD) define la manera en que las corporaciones deben tratar la información de identificación personal. Ofrece orientación acerca de lo que se considera PII y qué se debe hacer para almacenarla, protegerla y eliminarla. La lista de comprobación del RGPD brinda una manera a las organizaciones para identificar si están en el buen camino con su gestión de datos personales.

El RGPD hace una división clara entre empresas con 250 empleados y empresas con menos de esa cantidad. La lista de comprobación indica a las organizaciones cómo deben cifrar sus datos en reposo y en tránsito. El cifrado es la principal estrategia para anonimizar datos cuando estos se revelan. Incluso si un atacante logra colarse en una red interna, el cifrado inutilizaría los datos para este.

Existen otros estándares de ciberseguridad que gobiernan el uso de los datos personales de los residentes en la UE. Las organizaciones no solo deben garantizar que los datos sean una prioridad al diseñar sus defensas, sino que también deben suministrar a los clientes una manera sencilla de descubrir cómo se usan sus datos personales y solicitar que se borren. Los clientes también deben tener la capacidad de evitar que la organización use y recopile sus datos.

Si una organización debe cumplir con lo estipulado en el RGPD, es fundamental revisar los requisitos legales, porque son muy diferentes de otros estándares normativos. Por ejemplo, el RGPD indica que las cookies se podrían considerar datos personales. La ley hace una diferencia entre PII e “identificadores personales”. Un identificador personal agregado a la información de identificación personal le daría al atacante los datos necesarios para identificar a un individuo a partir de información personal básica. Por ejemplo, un atacante no podría hacer mucho solamente con un nombre como “Juan Pérez”, pero si este dato se combina con datos de geolocalización, el atacante podría identificar al Juan Pérez correcto.

Los estándares normativos para gobernanza regulatoria son las mejores directrices para proteger la información de identificación personal. Estos estándares son un excelente punto para comenzar al diseñar políticas de ciberseguridad y gobernar la manera en que se usan los datos, pero no ofrecen un conjunto completo de estrategias para todos los sistemas corporativos. Otras estrategias de ciberseguridad se pueden considerar de acuerdo con los requisitos específicos de una organización.

De hecho, HIPAA y PCI-DSS pueden obligar a las organizaciones a usar SSL/TLS (HTTPS) al transferir datos delicados y PII. La organización tendría que cifrar cualquier dato delicado en la base de datos. Sin embargo, aun así, es necesario definir un conjunto de estrategias para el acceso interno, respaldos, archivado y qué miembros de la organización pueden ver estos datos personales. Si los usuarios acceden a los datos personales de manera remota, se les debe exigir que utilicen una VPN y autenticación de múltiples factores (MFA).

El phishing y los ataques de ingeniería social son comunes en el robo de credenciales. Los empleados deben recibir formación acerca de los peligros del phishing y la ingeniería social en general, y se les debe enseñar cómo reconocer un ataque y reportarlo. La capacitación en las directrices normativas que supervisan los datos y las personas que acceden a estos debería ser parte de la formación de un empleado. También se pueden usar otras soluciones de ciberseguridad para evitar el phishing, tales como filtros de correo electrónico, DMARC, SPF y bloqueadores de contenido basados en DNS.

Las estrategias de ciberseguridad deben revisarse regularmente, al menos cada año, pero algunas organizaciones optan por hacerlo con más frecuencia. Se aprende mucho en una fase de la respuesta a las incidencias, y esta fase ayuda a identificar los problemas con las estrategias, pero solamente después de que ya ha ocurrido una filtración de datos. La acción de revisar periódicamente las estrategias de ciberseguridad actuales y la infraestructura implementada ayuda al personal de informática a identificar mejor las debilidades en las defensas actuales.

PHI, PII, información personal financiera (PFI) y PHI electrónica (ePHI) son diversas expresiones de datos digitales que deben protegerse a nivel tanto físico como virtual. El primer paso es identificar todas las maneras en que la organización recopila datos, identificar los estándares normativos que definen cómo se manejan los datos y después aplicar estrategias que sigan todas las directrices.