La información de identificación personal (PII) es cualquier información relacionada con una persona específica que se puede usar para descubrir la identidad de dicha persona, como su número de la seguridad social, su nombre completo o su dirección de correo electrónico.

La cantidad de PII que se facilita a las organizaciones ha aumentado al ritmo de la creciente dependencia de las tecnologías de la información en la vida profesional y personal de las personas. Por ejemplo, las empresas recopilan los datos personales de los clientes para conocer los mercados a los que pertenecen, y los consumidores no tienen reparos en facilitar sus números de teléfono y direcciones personales para registrarse en servicios y comprar en línea. 

Facilitar PII puede tener sus ventajas, ya que permite a las empresas adaptar sus productos y servicios a los deseos y necesidades de los clientes, como ofrecer resultados de búsqueda más relevantes en las aplicaciones de navegación. Sin embargo, los auténticos arsenales de PII que han acumulado las organizaciones atraen la atención de los ciberdelincuentes. Los hackers roban PII para usurpar identidades, venderlas en el mercado negro o retenerlas mediante ransomware. Según el informe de IBM de 2022 sobre el coste de una brecha de seguridad en los datos, el 83 % de las empresas han sufrido más de una vulneración de datos, con un coste medio de 4,35 millones de USD en cada caso. Los usuarios particulares y los profesionales de seguridad de la información deben afrontar un complejo panorama legal y de TI para mantener la privacidad de datos ante estos ataques. 

Hay dos tipos de PII: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de cada persona e incluyen datos como números de pasaporte o de carné de conducir. Para determinar la identidad de alguien, suele bastar con un único identificador directo.

Los identificadores indirectos no son exclusivos. Incluyen datos personales más generales, como la raza y el lugar de nacimiento. Aunque para identificar a una persona no basta con un único identificador indirecto, sí es posible con varios de ellos. Por ejemplo, se puede identificar al 87 % de los ciudadanos estadounidenses (PDF, 303 KB)  (enlace externo a ibm.com) en función de nada más que su género, código postal y fecha de nacimiento.

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de streaming de una persona no son PII, porque sería muy difícil, si no imposible, conocer la identidad de una personas basándose únicamente en lo que ha visto en Netflix. PII solo hace referencia a la información que apunta a una persona en particular, como el tipo de información que se facilita para verificar la identidad al ponerse en contacto con el banco.

En la PII, hay información más confidencial que otra. La PII confidencial es información confidencial que identifica directamente a una persona y puede causar un daño significativo en caso de filtración o robo. Los números de la seguridad social (NSS) son un buen ejemplo de PII confidencial. Puesto que muchas agencias gubernamentales e instituciones financieras utilizan NSS para verificar la identidad de las personas, si un delincuente roba un SSN, podría acceder fácilmente a las cuentas bancarias o al historial fiscal de su víctima. Otros ejemplos de PII confidencial:

• Números de identificación únicos, como números de carné de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno
• Datos biométricos, como huellas dactilares y escaneos de retina.
• Información financiera, incluidos números de cuenta bancaria y números de tarjeta de crédito
• Historial médico

Por lo general, la PII confidencial no está disponible a nivel público, y la mayoría de las leyes actuales de protección de datos exigen que las organizaciones los protejan mediante cifrado, controlen quién accede a ellos o adopten otras medidas de ciberseguridad.

La PII no confidencial son datos personales que, de forma aislada, no causarían un daño significativo a la persona en caso de filtración o robo. Pueden o no ser exclusivos de una persona. Por ejemplo, los alias de redes sociales serían PII no confidencial: podrían identificar a alguien, pero los agentes maliciosos no pueden usurpar la identidad de nadie con solo el nombre de una cuenta de redes sociales. Otros ejemplos de PII no confidencial:

• El nombre completo de una persona
• El apellido materno
• Número de teléfono
• Dirección IP
• Lugar de nacimiento
• Fecha de nacimiento
• Datos geográficos (código postal, ciudad, estado, país, etc.)
• Información laboral
• Dirección de correo electrónico o dirección postal
• Raza u origen étnico
• Religión

Por lo general, la PII no confidencial está disponible a nivel público —por ejemplo, los números de teléfono pueden figurar en una guía telefónica y las direcciones pueden figurar en los registros de propiedad pública de la administración local. A pesar de que algunas normativas de privacidad de datos no requieren proteger la PII no confidencial, muchas empresas aplican medidas de todos modos, porque los delincuentes podrían causar problemas recopilando diferentes informaciones de PII no confidencial.

Por ejemplo, los hackers pueden entrar en la app de la cuenta bancaria de una persona con su número de teléfono, dirección de correo electrónico y el apellido materno. El correo electrónico les indica un nombre de usuario, la suplantación del número de teléfono les da una forma de recibir un código de verificación y el apellido materno les da la respuesta a una pregunta de seguridad.

Es importante tener en cuenta que el hecho de que un dato se considere PII confidencial o no confidencial depende en gran medida del contexto. Por sí solo, un nombre completo puede no ser confidencial, pero una lista de personas que han visitado a un determinado médico sí lo es. Del mismo modo, el número de teléfono de una persona puede estar disponible públicamente, pero una base de datos de números de teléfono que se han utilizado para la autenticación de dos factores en el sitio de una red social sí sería PII confidencial.

¿Cuándo se convierte la información confidencial en PII?

El contexto también determina si algo se considera PII. Por ejemplo, los datos de geolocalización anónimos agregados a menudo se perciben como datos personales genéricos, porque no se puede aislar la identidad de ningún usuario específico. Sin embargo, el historial personal de datos de geolocalización anónimos puede convertirse en PII, como lo demuestra una reciente demanda de la Comisión Federal de Comercio (FTC, por sus siglas en inglés)  (enlace externo a ibm.com). La FTC sostiene que el intermediario de datos Kochava estaba vendiendo datos de geolocalización considerados PII porque «los canales de información de datos personalizados de la empresa permiten a los compradores identificar y monitorizar a usuarios específicos de dispositivos móviles». Por ejemplo, la ubicación de un dispositivo móvil de noche es probable que sea la dirección personal del usuario, y en combinación con los registros de la propiedad, podría servir para descubrir su identidad».

Los avances en tecnología también están facilitando la identificación de personas con menos información, lo que podría reducir el umbral de lo que se considera PII en general. Por ejemplo, investigadores de IBM y la Universidad de Maryland han ideado un algoritmo (PDF, 959 KB)  (enlace externo a ibm.com) para identificar a personas específicas mediante la combinación datos de ubicación anónimos con información disponible públicamente en sitios de redes sociales.

Normativas internacionales de privacidad

Según MacKinsey  (enlace externo a ibm.com), el 75 % de los países han implementado leyes de privacidad de datos que regulan la recopilación, la retención y el uso de PII. Cumplir con estas normativas puede resultar complicado debido a las diferencias, e incluso contradicciones, que pueden existir entre las normas de las distintas jurisdicciones. El auge del cloud computing y del teletrabajo también plantea un reto. En estos entornos, es posible que los datos se recopilen en un lugar, se almacenen en otro y se procesen en un tercero. Puede que se apliquen distintas normativas a los datos en cada fase, en función de la ubicación geográfica.

Para complicar aún más las cosas, en las diferentes normativas se definen diferentes estándares sobre los tipos de datos que se deben proteger. El Reglamento general de protección de datos (GDPR, por sus siglas en inglés) de la Unión Europea exige que las organizaciones protejan todos los datos personales, a los que define  (enlace externo a ibm.com) como «cualquier información relacionada con una persona física identificada o identificable». Según el GDPR, las organizaciones deben proteger la PII confidencial y no confidencial, pero también otros elementos que ni siquiera podrían considerarse datos confidenciales en otros contextos, como opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas. 

Normativas de privacidad de EE. UU.

La Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) del gobierno de los EE. UU. define la PII con más precisión (PDF, 227 KB)  (enlace externo a ibm.com) como

[I]nformación que puede ser utilizada para distinguir o rastrear la identidad de una persona, como su nombre, número de la seguridad social, registros biométricos, etc. por sí misma o en combinación con otra información personal o de identificación que esté vinculada o pueda vincularse a una persona específica, como la fecha y el lugar de nacimiento, el apellido materno, etc.

Tal como señala el analista de Gartner Bart Willemsen  (enlace externo a ibm.com), «en los EE. UU., PII hace referencia históricamente a dos o tres decenas de identificadores, como el nombre, la dirección, el NSS, el carné de conducir o el número de la tarjeta de crédito».

Si bien los EE. UU. carecen de leyes de privacidad de datos a nivel federal, los organismos gubernamentales están sujetos a la Ley de Privacidad de 1974, que regula cómo deben recopilar, utilizar y compartir la PII. Algunos estados de EE. UU. tienen sus propias normas de privacidad de datos, y entre ellos destaca California. La Ley de Privacidad del Consumidor de California y la Ley de Derechos de Privacidad de California (CCPA y CPRA, respectivamente, por sus siglas en inglés) otorgan a los consumidores ciertos derechos sobre cómo deben las organizaciones recopilar, almacenar y utilizar su PII.

Normativas de privacidad de sectores específicos

Algunos sectores también tienen sus propias normativas de privacidad de datos. En los EE. UU., la Health Insurance Portability and Accountability Act (HIPAA, Ley de Portabilidad y Responsabilidad de Seguros Médicos), regula la forma en que las organizaciones de atención sanitaria deben recopilar y proteger los datos médicos y la PII de los pacientes. Del mismo modo, el Payment Card Industry Data Security Standard (PCI DSS) es un estándar global del sector financiero que define cómo deben tratar la información confidencial del titular de la tarjeta las empresas de tarjetas de crédito, los comerciantes y los procesadores de los pagos.

Hay estudios que sugieren que las organizaciones han tenido dificultades para navegar por este entorno cambiante de leyes y estándares del sector. Según ESG  (enlace externo a ibm.com), el 66 % de las empresas que se han sometido a auditorías de privacidad de datos en los últimos tres años han suspendido al menos una vez, y el 23 % han fracasado tres o más veces. El incumplimiento de la normativa vigente en materia de privacidad de datos puede generar sanciones, daños a la reputación, pérdidas de negocios y otras consecuencias para las organizaciones. Por ejemplo, a Amazon se le impuso un sanción de  888 millones USD por violar el GDPR en 2021  (enlace externo a ibm.com).

Los hackers roban PII por muchas razones: para usurpar identidades, hacer chantaje o venderla en el mercado negro, donde pueden obtener hasta 1 USD por número de la seguridad social y 2000 USD por número de pasaporte  (enlace externo a ibm.com). También puede que lo hagan como parte de un ataque mayor: que la retengan mediante ransomware o la roben para apoderarse de las cuentas de correo electrónico de los ejecutivos y utilizarlas en estafas de spear phishing y business email compromise (BEC).

Los ciberdelincuentes utilizan a menudo ataques de ingeniería social para engañar a las víctimas desprevenidas para que faciliten PII de forma voluntaria, pero también pueden comprarla en la web oscura o acceder a ella como parte de una vulneración de datos mayor. Se puede robar PII físicamente buscando en la papelera de alguien o espiándolo mientras utiliza un ordenador. Los agentes maliciosos también pueden supervisar las cuentas de redes sociales de un objetivo, donde muchas personas, sin saberlo, facilitan PII no confidencial a diario. Con el tiempo, un atacante puede recopilar suficiente información como para suplantar a una víctima o entrar a sus cuentas.

Para las organizaciones, proteger la PII puede ser complicado. El auge del cloud computing y los servicios SaaS implica que la PII se puede almacenar y procesar en varios lugares en lugar de en una única red centralizada. Según un informe de ESG  (enlace externo a ibm.com), se espera que la cantidad de datos confidenciales almacenados en clouds públicos se haya duplicado para 2024, y más de la mitad de las organizaciones creen que estos datos no están suficientemente protegidos.

Para proteger la PII, las organizaciones suelen crear marcos de trabajo de privacidad de datos. Estos marcos de trabajo pueden adoptar diferentes formas según la organización, la PII que recopila y las normativas de privacidad de datos que debe seguir. A modo de ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) proporciona el siguiente ejemplo de marco de trabajo  (enlace externo a ibm.com):

1. Identificar toda la PII de los sistemas de la organización.

2. Minimizar la recopilación y el uso de PII, y eliminar regularmente cualquier PII que ya no se necesite.

3. Categorizar la PII según el nivel de confidencialidad.

4. Aplicar controles de seguridad de datos. Estos controles incluyen, por ejemplo:

• Cifrado: cifrar la PII en tránsito, en reposo y en uso a través de computación confidencial o cifrado homomórfico puede ayudar a proteger la PII y asegurar su conformidad, independientemente de dónde se almacene o se trate.
  
  
• Gestión de identidad y acceso (IAM): la autenticación de dos factores o de múltiples factores puede levantar más barreras entre los hackers y los datos confidenciales. Del mismo modo, hacer cumplir el principio de privilegios mínimos a través de una arquitectura de confianza cero y controles de acceso basado en el rol (RBAC) puede limitar la cantidad de PII a la que pueden acceder los hackers si entran en la red.
  
  
• Formación: puede incluir formar a los empleados sobre el modo apropiado de tratar y eliminar la PII y también sobre la protección de su propia PII (por ejemplo, formación antiphishing, formación en ingeniería social, formación sobre conocimientos de redes sociales).
  
  
• Anonimización: la anonimización de datos es el proceso de eliminación de las características identificativas de los datos confidenciales. Las técnicas habituales de anonimización incluyen la eliminación de identificadores de los datos, la agregación de datos o la adición estratégica de ruido a los datos.
  
  
• Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés) pueden servir para realizar un seguimiento de los datos a medida que se mueven por la red, lo que facilita la detección de filtraciones y vulneraciones. Otras soluciones ciberseguridad que ofrecen vistas de alto nivel de la actividad en la red, como herramientas de detección y respuesta ampliadas (XDR), también pueden servir de ayuda para rastrear el buen y mal uso de PII.

5. Redactar un plan de respuesta a incidentes para filtraciones y vulneraciones de PII.

Cabe señalar que el NIST y otros expertos en privacidad de datos suelen recomendar que se apliquen diferentes controles a diferentes conjuntos de datos según su confidencialidad. El uso de controles estrictos para datos no confidenciales puede resultar engorroso y no rentable.