¿Qué es la información de identificación personal (IIP)?

¿Qué es la PII?

La información de identificación personal (PII) es cualquier información relacionada con un individuo concreto que pueda utilizarse para descubrir o robar su identidad, como su número de la seguridad social, su nombre completo, su dirección de correo electrónico o su número de teléfono.

A medida que las personas confían cada vez más en la tecnología de la información en su vida laboral y personal, la cantidad de PII que se comparte con las organizaciones ha aumentado. Por ejemplo, las empresas recopilan los datos personales de los clientes para comprender sus mercados, y los consumidores dan fácilmente sus números de teléfono y direcciones particulares para suscribirse a los servicios y comprar en línea.

El hecho de compartir la PII puede tener sus beneficios, ya que permite a las empresas adaptar los productos y servicios a los deseos y necesidades de sus clientes, como ofrecer resultados de búsqueda más relevantes en las aplicaciones de navegación. Sin embargo, los crecientes almacenes de PII acumulados por las organizaciones atraen la atención de los ciberdelincuentes.

Los hackers roban PII para cometer robos de identidad, venderla en el mercado negro o retenerla secuestrada mediante ransomware. Según el informe "Coste de una filtración de datos" 2023 de IBM, el coste medio de una vulneración de datos causada por un ataque de ransomware fue de 5,13 millones de dólares. Los particulares y los profesionales de la seguridad de la información deben navegar por un complejo panorama de TI y legal para mantener la privacidad de los datos frente a estos ataques.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Identificadores directos versus indirectos

La PII se presenta en dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de una persona e incluyen cosas como el número de pasaporte o de carné de conducir. Un único identificador directo suele bastar para determinar la identidad de alguien.

Los identificadores indirectos no son únicos. Incluyen datos personales más generales como la raza y el lugar de nacimiento. Aunque un único identificador indirecto no puede identificar a una persona, una combinación sí puede. Por ejemplo, el 87 % de los ciudadanos estadounidenses podrían identificarse basándose únicamente en su sexo, código postal y fecha de nacimiento.

PII sensible versus PII no sensible

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de streaming de una persona no son PII. Esto se debe a que sería difícil, si no imposible, identificar a alguien basándose únicamente en lo que ha visto en Netflix. La PII sólo se refiere a la información que señala a una persona concreta, como el tipo de información que usted podría facilitar para verificar su identidad al ponerse en contacto con su banco.

Entre la PII, algunas piezas de información son más sensibles que otras. La PII sensible es información delicada que identifica directamente a un individuo y que podría causar un daño significativo si se filtrara o fuera robada.

Un número de la seguridad social (NUSS) es un buen ejemplo de PII sensible. Dado que muchas agencias gubernamentales e instituciones financieras utilizan los NUSS para verificar la identidad de las personas, un delincuente que robe uno podría acceder fácilmente a los registros fiscales o a las cuentas bancarias de su víctima. Otros ejemplos de PII sensible son:

  • Números de identificación únicos, como números de carné de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno.
  • Datos biométricos, como huellas dactilares y escáneres de retina.
  • Información financiera, incluidos números de cuentas bancarias y de tarjetas de crédito.
  • Historiales médicos

La IPI sensible no suele estar a disposición del público, y la mayoría de las leyes vigentes sobre privacidad de datos exigen a las organizaciones que la protejan mediante su cifrado, el control de quién accede a ella o la adopción de otras medidas de ciberseguridad.

La PII no sensible son datos personales que, de forma aislada, no causarían un daño significativo a una persona si se filtraran o fueran robados. Puede o no ser exclusiva de una persona. Por ejemplo, un nombre de usuario de una red social sería PII no sensible: podría identificar a alguien, pero un actor malicioso no podría cometer un robo de identidad armado únicamente con un nombre de cuenta de una red social. Otros ejemplos de PII no sensible incluyen:

  • El nombre completo de una persona
  • Apellido de soltera de la madre
  • Número de teléfono
  • Dirección IP
  • Lugar de nacimiento
  • Fecha de nacimiento
  • Detalles geográficos (código postal, ciudad, estado, país, etc.)
  • Información sobre empleo
  • Dirección de correo electrónico o dirección postal
  • Raza o etnia
  • Religión

La PII no confidencial suele estar disponible públicamente. Por ejemplo, los números de teléfono pueden aparecer en una guía telefónica y las direcciones pueden aparecer en los registros de propiedad pública de un gobierno local. Algunas normativas sobre protección de datos no exigen la protección de la PII no sensible, pero muchas empresas establecen medidas de protección de todos modos. Esto se debe a que los delincuentes podrían causar problemas juntando varias piezas de PII no sensible.

Por ejemplo, un pirata informático podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, su dirección de correo electrónico y el apellido de soltera de su madre. El correo electrónico les proporciona un nombre de usuario. La suplantación del número de teléfono permite a los piratas informáticos recibir un código de verificación. El nombre de soltera de la madre proporciona una respuesta a la pregunta de seguridad.

Es importante señalar que el hecho de que algo cuente como PII sensible o no sensible depende en gran medida del contexto. Un nombre completo por sí solo puede no ser sensible, pero una lista de personas que han visitado a un determinado médico sí lo sería. Del mismo modo, el número de teléfono de una persona puede estar a disposición del público, pero una base de datos de números de teléfono utilizada para la autenticación de dos factores en una red social sería PII sensible.

¿Cuándo se convierte la información sensible en PII?

El contexto también determina si algo se considera PII o no. Por ejemplo, los datos anónimos agregados de geolocalización suelen considerarse datos personales genéricos porque no se puede aislar la identidad de un único usuario.

Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como lo demuestra una reciente demanda de la Comisión Federal de Comercio (FTC).

La FTC argumenta que el corredor de datos Kochava vendía datos de geolocalización que contaban como PII porque " las fuentes de datos personalizados de la empresa permiten a los compradores identificar y rastrear a usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil por la noche es probablemente la dirección del domicilio del usuario y podría combinarse con los registros de la propiedad para descubrir su identidad".

Los avances tecnológicos también están facilitando la identificación de las personas con menos datos, lo que podría reducir el umbral de lo que se considera PII en general. Por ejemplo, investigadores de IBM y la Universidad de Maryland han ideado un algoritmo. Este algoritmo identifica a personas concretas combinando datos de localización anónimos con información disponible públicamente procedente de redes sociales.

Leyes de protección de datos y PII 

Normativa internacional sobre protección

Según McKinsey, el 75 % de los países han implementado leyes de privacidad de datos que rigen la recopilación, retención y uso de PII. El cumplimiento de estas normativas puede resultar difícil porque las distintas jurisdicciones pueden tener normas diferentes o incluso contradictorias.

El auge del cloud computing y del personal a distancia también plantea un reto. En estos entornos, los datos pueden recogerse en un lugar, almacenarse en otro y procesarse en un tercero. Es posible que se apliquen diferentes normativas a los datos en cada etapa, en función de la ubicación geográfica.

Para complicar aún más las cosas, las distintas normativas establecen diferentes estándares sobre qué tipos de datos deben protegerse. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea exige a las organizaciones que protejan todos los datos personales, definidos como "cualquier información relacionada con una persona física identificada o identificable".

Según el RGPD, las organizaciones deben proteger la PII sensible y no sensible. También deben proteger cosas que en otros contextos ni siquiera se considerarían datos confidenciales. Esta información incluye opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas. 

Regulaciones de protección de EE. UU.

La Oficina de Administración y Presupuesto (OMB) del gobierno de EE. UU.define de manera más estricta la información PII como:

Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, como su nombre, número de la seguridad social, registros biométricos, etc. por sí sola, o cuando se combina con otra información personal o identificativa que está vinculada o es vinculable a un individuo concreto, como la fecha y el lugar de nacimiento, el apellido de soltera de la madre, etc.

Como dijo el analista de Gartner Bart Willemsen: "En Estados Unidos... la PII se refiere históricamente a dos o tres docenas de identificadores como el nombre, la dirección, el NUSS, el carné de conducir o el número de tarjeta de crédito".

Aunque EE. UU. carece de leyes de protección de datos a nivel federal, las agencias gubernamentales están sujetas a la Ley de Privacidad de 1974, que rige la forma en que las agencias federales recopilan, utilizan y comparten la PII. Algunos estados de EE. UU. tienen su propia normativa sobre protección de datos, entre los que destaca California. La California Consumer Privacy Act (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) conceden a los consumidores ciertos derechos sobre la forma en que las organizaciones recopilan, almacenan y utilizan su PII.

Normativas de protección específicas para cada sector

Algunos sectores también tienen sus propias normativas sobre protección de datos. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) regula la forma en que las organizaciones sanitarias recopilan y protegen los historiales médicos y la información personal de los pacientes.

Del mismo modo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar global del sector financiero sobre cómo las compañías de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información confidencial de los titulares de tarjetas.

Los estudios sugieren que las organizaciones han tenido dificultades para navegar por este variado panorama de leyes y normas sectoriales. Según ESG, el 66 % de las empresas que se han sometido a auditorías de privacidad de datos en los últimos tres años han fallado al menos una vez, y el 23 % lo ha hecho tres o más veces.

El incumplimiento de la normativa pertinente sobre protección de datos puede acarrear multas, daños a la reputación, pérdidas de negocio y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multada con 888 millones de dólares por violar el RGPD en 2021.

Protección de la PII

Los hackers roban la información personal por muchas razones: para cometer robos de identidad, chantajear o venderla en el mercado negro, donde pueden conseguir hasta un dólar por número de seguridad social y 2000 dólares por número de pasaporte.

Los piratas informáticos también pueden apuntar a la PII como parte de un ataque mayor: pueden tomarla como rehén utilizando ransomware o robar PII para apoderarse de las cuentas de correo electrónico de los ejecutivos para utilizarlas en estafas de spear phishing y ataques de correo electrónico empresarial comprometido (BEC).

Los ciberdelincuentes suelen utilizar ataques de ingeniería social para engañar a víctimas desprevenidas y conseguir que entreguen voluntariamente su información personal, pero también pueden adquirirla en la dark web u obtener acceso como parte de una vulneración de datos de mayor envergadura. La PII puede robarse físicamente hurgando en la basura de una persona o espiándola mientras utiliza un ordenador.

Los actores maliciosos también pueden vigilar las cuentas de las redes sociales de un objetivo, donde muchas personas comparten a diario PII no sensible sin saberlo. Con el tiempo, un atacante puede reunir suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.

Para las organizaciones, la protección de la PII puede resultar complicada. El crecimiento del cloud computing y de los servicios SaaS implica que la PII puede almacenarse y procesarse en varias ubicaciones en lugar de en una única red centralizada.

Según un informe de ESG, se espera que la cantidad de datos sensibles almacenados en nubes públicas se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no son lo suficientemente seguros.

Para salvaguardar la PII, las organizaciones suelen crear marcos para la protección de datos. Estos marcos pueden adoptar diferentes formas en función de la organización, de la PII que recopile y de las normativas sobre protección de datos que deba cumplir. Como ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona este marco de muestra:

1. Identifique toda la PII en los sistemas de la organización.

2. Reduzca al mínimo la recopilación y el uso de la PII, y elimine de forma periódica toda aquella que ya no necesite.

3. Clasifique la PII según su nivel de sensibilidad.

4. Aplique controles en materia de seguridad de datos. Algunos ejemplos de controles pueden ser:

  • Cifrado: el cifrado de la PII en tránsito, en reposo y en uso mediante el cifrado homomórfico o la computación confidencial puede ayudar a mantener la PII segura y conforme a las normas, independientemente de dónde se almacene o maneje.

  • Gestión de identidades y accesos (IAM): La autenticación de dos factores o multifactor puede poner más barreras entre los piratas informáticos y los datos confidenciales. Del mismo modo, aplicar el principio del menor privilegio mediante una arquitectura zero trust y controles de acceso basados en roles (RBAC) puede limitar la cantidad de IIP a la que pueden acceder los piratas informáticos si penetran en la red.

  • Formación: los empleados aprenden a manipular y eliminar correctamente la PII. Los empleados también aprenden a proteger su propia PII. Esta formación cubre áreas como el antiphishing, la ingeniería social y la concienciación sobre las redes sociales.

  • Anonimización: la anonimización de datos es el proceso de eliminación de las características identificativas de los datos confidenciales. Las técnicas comunes de anonimización incluyen la eliminación de identificadores de los datos, la agregación de datos o la adición estratégica de ruido a los datos.

  • Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a rastrear los datos a medida que se mueven por la red, lo que facilita la detección de fugas y brechas. Otras soluciones de ciberseguridad que ofrecen vistas detalladas de la actividad en la red (como las herramientas de detección y respuesta ampliadas [XDR]) también pueden ayudar a rastrear el uso y el uso indebido de la PII.

5. Redacte un plan de respuesta a incidentes para fugas y vulneraciones de la PII.

Vale la pena señalar que el NIST y otros expertos en protección de datos recomiendan a menudo aplicar controles diferentes a los distintos conjuntos de datos en función de su grado de sensibilidad. El uso de controles estrictos para los datos no sensibles puede resultar engorroso y poco rentable.

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de KuppingerCole sobre plataformas de seguridad de datos ofrece orientación y recomendaciones para encontrar los productos de protección y gobierno de datos sensibles que mejor se adapten a las necesidades de los clientes.
IBM® X-Force Threat Intelligence Index 2025

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el ROI de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus conocimientos con tutoriales gratuitos sobre seguridad

Siga unos pasos bien definidos para completar las tareas y aprenda a utilizar las tecnologías en sus proyectos de manera eficaz.
¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y los permisos de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales en el entorno local y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM proporciona servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones y la IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en nubes híbridas y simplifique los requisitos de conformidad con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Solicite una demostración en directo