¿Qué es la información de identificación personal (IIP)?

A medida que las personas confían cada vez más en la tecnología de la información en su vida laboral y personal, la cantidad de PII que se comparte con las organizaciones ha aumentado. Por ejemplo, las empresas recopilan los datos personales de los clientes para comprender sus mercados, y los consumidores dan fácilmente sus números de teléfono y direcciones particulares para suscribirse a los servicios y comprar en línea.

El hecho de compartir la PII puede tener sus beneficios, puesto que permite a las empresas adaptar los productos y servicios a los deseos y necesidades de sus clientes, como ofrecer resultados de búsqueda más relevantes en las aplicaciones de navegación. Sin embargo, los crecientes almacenes de PII acumulados por las organizaciones atraen la atención de los ciberdelincuentes.

Los hackers roban PII para cometer robo de identidad, venderla en el mercado negro o mantenerla cautiva mediante ransomware. Según el informe "Cost of a Data Breach" de 2024de IBM, el coste promedio de una vulneración de datos causada por un ataque de ransomware fue de 5,68 millones de dólares. Tanto particulares como profesionales de la seguridad de la información deben desenvolverse en un complejo panorama IT y legal para mantener la protección de datos en la cara de estos ataques.

La PII se presenta en dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de una persona e incluyen cosas como el número de pasaporte o de carné de conducir. Un único identificador directo suele bastar para determinar la identidad de alguien.

Los identificadores indirectos no son únicos. Incluyen detalles personales más generales como la raza y el lugar de nacimiento. Si bien un solo identificador indirecto no puede identificar a una persona, una combinación sí puede. Por ejemplo, el 87 % de los ciudadanos estadounidenses podrían ser identificados basándose únicamente en su sexo, código postal y fecha de nacimiento.

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de streaming de una persona no son PII. Esto se debe a que sería difícil, si no imposible, identificar a alguien basándose únicamente en lo que ha visto en Netflix. La PII solo se refiere a la información que señala a una persona concreta, como el tipo de información que usted podría facilitar para verificar su identidad al ponerse en contacto con su banco.

Entre la PII, algunas piezas de información son más sensibles que otras. La PII sensible es información sensible que identifica directamente a un individuo y que podría causar un daño significativo si se filtrara o fuera robada.

El número de la seguridad social (NUSS) es un buen ejemplo de PII sensible. Dado que muchas agencias gubernamentales e instituciones financieras utilizan los NUSS para verificar la identidad de las personas, un delincuente que robe uno podría acceder fácilmente a los registros fiscales o a las cuentas bancarias de su víctima. Otros ejemplos de PII sensible son:

• Números de identificación únicos, como números de carné de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno.
• Datos biométricos, como huellas dactilares y escáneres de retina.
• Información financiera, incluidos números de cuentas bancarias y de tarjetas de crédito.
• Historiales médicos

Por lo general, la PII sensible no está disponible públicamente, y la mayoría de las leyes de protección de datos existentes exigen que las organizaciones la protejan encriptándola, controlando quién accede a ella o tomando otras medidas de ciberseguridad.

La PII no sensible son datos personales que, de forma aislada, no causarían un daño significativo a una persona si se filtraran o fueran robados. Puede o no ser exclusiva de una persona. Por ejemplo, un nombre de usuario de una red social sería PII no sensible: podría identificar a alguien, pero un actor malicioso no podría cometer un robo de identidad armado únicamente con un nombre de cuenta de una red social. Otros ejemplos de PII no sensible incluyen:

• El nombre completo de una persona
• Apellido de soltera de la madre
• Número de teléfono
• Dirección IP
• Lugar de nacimiento
• Fecha de nacimiento
• Detalles geográficos (código postal, ciudad, estado, país, etc.)
• Información sobre empleo
• Dirección de correo electrónico o dirección postal
• Raza o etnia
• Religión

La PII no sensible suele estar disponible públicamente. Por ejemplo, los números de teléfono pueden aparecer en una guía telefónica y las direcciones pueden aparecer en los registros de propiedad pública de un gobierno local. Algunas normativas sobre protección de datos no exigen la protección de la PII no sensible, pero muchas empresas establecen medidas de protección de todos modos. Esto se debe a que los delincuentes podrían causar problemas juntando varias piezas de PII no sensible.

Por ejemplo, un hacker podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, su dirección de correo electrónico y el apellido de soltera de su madre. El correo electrónico les proporciona un nombre de usuario. La suplantación del número de teléfono permite a los hackers recibir un código de verificación. El apellido de soltera de la madre proporciona una respuesta a la pregunta de seguridad.

Es importante señalar que el hecho de que algo cuente como PII sensible o no sensible depende en gran medida del contexto. Un nombre completo por sí solo puede no ser sensible, pero una lista de personas que han visitado a un determinado médico sí lo sería. Del mismo modo, el número de teléfono de una persona puede estar a disposición del público, pero una base de datos de números de teléfono utilizada para la autenticación de dos factores en una red social sería PII sensible.

El contexto también determina si algo se considera PII o no. Por ejemplo, los datos anónimos agregados de geolocalización suelen considerarse datos personales genéricos porque no se puede aislar la identidad de un único usuario.

Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como lo demuestra una reciente demanda de la Comisión Federal de Comercio (FTC).

La FTC argumenta que el corredor de datos Kochava vendía datos de geolocalización que contaban como PII porque "las fuentes de datos personalizados de la empresa permiten a los compradores identificar y rastrear a usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil por la noche es probablemente la dirección del domicilio del usuario y podría combinarse con los registros de la propiedad para descubrir su identidad".

Los avances en Tecnología también facilitan la identificación de personas con menos datos, lo que puede reducir el umbral de lo que se considera PII en general. Por ejemplo, investigadores de IBM y la Universidad de Maryland han ideado un algoritmo. Este algoritmo identifica a individuos específicos combinando datos de ubicación anónimos con información disponible públicamente de sitios de redes sociales.

Según McKinsey, el 75 % de los países han implementado leyes de protección de datos que rigen la recopilación, retención y uso de PII. Cumplir con estas regulaciones puede ser difícil porque las diferentes jurisdicciones pueden tener reglas diferentes o incluso contradictorias.

El auge del cloud computing y del personal a distancia también plantea un reto. En estos entornos, los datos pueden recogerse en un lugar, almacenarse en otro y procesarse en un tercero. Es posible que se apliquen diferentes normativas a los datos en cada etapa, en función de la ubicación geográfica.

Para complicar aún más las cosas, las diferentes regulaciones establecen diferentes estándares sobre qué tipos de datos deben protegerse. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea exige a las organizaciones que protejan todos los datos personales, definidos como "cualquier información relacionada con una persona física identificada o identificable".

Según el RGPD, las organizaciones deben proteger la PII sensible y no sensible. También deben proteger cosas que en otros contextos ni siquiera se considerarían datos sensibles. Esta información incluye opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas. 

La Oficina de Administración y Presupuesto (OMB) del gobierno de EE. UU. define de manera más estricta la información PII como:

Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, como su nombre, número de la seguridad social, registros biométricos, etc. por sí sola, o cuando se combina con otra información personal o identificativa que está vinculada o es vinculable a un individuo concreto, como la fecha y el lugar de nacimiento, el apellido de soltera de la madre, etc.

Como dijo el analista de Gartner Bart Willemsen: "En Estados Unidos... la PII se refiere históricamente a dos o tres docenas de identificadores como el nombre, la dirección, el NUSS, el carné de conducir o el número de tarjeta de crédito".

Aunque EE. UU. carece de leyes de protección de datos a nivel federal, las agencias gubernamentales están sujetas a la Privacy Act de 1974, que rige la forma en que las agencias federales recopilan, utilizan y comparten la PII. Algunos estados de EE. UU. tienen su propia normativa sobre protección de datos, entre los que destaca California. La California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA) conceden a los consumidores ciertos derechos sobre la forma en que las organizaciones recopilan, almacenan y utilizan su PII.

Algunos sectores también tienen sus propias normativas sobre protección de datos. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) regula la forma en que las organizaciones sanitarias recopilan y protegen los historiales médicos y la información personal de los pacientes.

Del mismo modo, el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) es un estándar global del sector financiero sobre cómo las compañías de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información sensible de los titulares de tarjetas.

La investigación sugiere que las organizaciones han tenido dificultades para navegar por este panorama variable de leyes y estándares del sector. Según ESG, el 66 % de las empresas que se han sometido a auditorías de protección de datos en los últimos tres años han fallado al menos una vez, y el 23 % lo han hecho tres o más veces.

El incumplimiento de las normativas pertinentes en materia de protección de datos puede dar lugar a multas, daños a la reputación, pérdida de negocio y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multado con 888 millones de dólares por violar el RGPD en 2021.

Los hackers roban la información personal por muchas razones: para cometer robos de identidad, chantajear o venderla en el mercado negro, donde pueden conseguir hasta un dólar por número de seguridad social y 2000 dólares por número de pasaporte.

Los hackers también pueden apuntar a la PII como parte de un ataque mayor: pueden tomarla como rehén utilizando ransomware o robar PII para apoderarse de las cuentas de correo electrónico de los ejecutivos para utilizarlas en estafas de spear phishing y ataques de correo electrónico empresarial comprometido (BEC).

Los ciberdelincuentes suelen utilizar ataques de ingeniería social para engañar a víctimas desprevenidas y conseguir que entreguen voluntariamente su información personal, pero también pueden adquirirla en la dark web u obtener acceso como parte de una vulneración de datos de mayor envergadura. La PII puede robarse físicamente hurgando en la basura de una persona o espiándola mientras utiliza un ordenador.

Los actores maliciosos también pueden vigilar las cuentas de las redes sociales de un objetivo, donde muchas personas comparten a diario PII no sensible sin saberlo. Con el tiempo, un atacante puede reunir suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.

Para las organizaciones, la protección de la PII puede resultar complicada. El crecimiento del cloud computing y de los servicios SaaS implica que la PII puede almacenarse y procesarse en varias ubicaciones en lugar de en una única red centralizada.

Según un informe de ESG, se espera que la cantidad de datos sensibles almacenados en nubes públicas se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no son lo suficientemente seguros.

Para salvaguardar la PII, las organizaciones suelen crear marcos de protección de datos. Estos marcos pueden adoptar diferentes formas según la organización, la PII que recopila y las regulaciones de protección de datos que debe seguir. Como ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona este marco de muestra:

1. Identifique toda la PII en los sistemas de la organización.

2. Reduzca al mínimo la recopilación y el uso de la PII, y elimine de forma periódica toda aquella que ya no necesite.

3. Clasifique la PII según su nivel de sensibilidad.

4. Aplique controles en materia de seguridad de datos. Algunos ejemplos de controles pueden ser:

• Cifrado: el cifrado de la PII en tránsito, en reposo y en uso mediante el cifrado homomórfico o la computación confidencial puede ayudar a mantener la PII segura y conforme a las normas, independientemente de dónde se almacene o maneje.
  
  
• Gestión de identidades y accesos (IAM): la autenticación de dos factores o multifactor puede poner más barreras entre los hackers y los datos sensibles. Del mismo modo, aplicar el principio del menor privilegio mediante una arquitectura zero trust y controles de acceso basados en roles (RBAC) puede limitar la cantidad de PII a la que pueden acceder los piratas informáticos si penetran en la red.
  
  
• Formación: los empleados aprenden a manipular y eliminar correctamente la PII. Los empleados también aprenden a proteger su propia PII. Esta formación cubre áreas como el antiphishing, la ingeniería social y la concienciación sobre las redes sociales.
  
  
• Anonimización: la anonimización de datos es el proceso de eliminación de las características identificativas de los datos sensibles. Las técnicas comunes de anonimización incluyen la eliminación de identificadores de los datos, la agregación de datos o la adición estratégica de ruido a los datos.
  
  
• Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a rastrear los datos a medida que se mueven por la red, lo que facilita la detección de fugas y brechas. Otras soluciones de ciberseguridad que ofrecen vistas detalladas de la actividad en la red (como las herramientas de detección y respuesta ampliadas [XDR]) también pueden ayudar a rastrear el uso y el uso indebido de la PII.

5. Redacte un plan de respuesta a incidentes para fugas y vulneraciones de la PII.

Cabe señalar que el NIST y otros expertos en protección de datos recomiendan a menudo aplicar controles diferentes a los distintos conjuntos de datos en función de su grado de confidencialidad. Utilizar controles estrictos para los datos no sensibles puede resultar engorroso y poco rentable.