La información de identificación personal (PII) es cualquier información relacionada con un individuo concreto que pueda utilizarse para descubrir su identidad, como su número de la seguridad social, su nombre completo, su dirección de correo electrónico o su número de teléfono.
A medida que las personas confían cada vez más en la tecnología de la información en su vida laboral y personal, la cantidad de PII que se comparte con las organizaciones ha aumentado. Por ejemplo, las empresas recopilan los datos personales de los clientes para comprender sus mercados, y los consumidores dan fácilmente sus números de teléfono y direcciones particulares para suscribirse a los servicios y comprar en línea.
El hecho de compartir la PII puede tener sus beneficios, ya que permite a las empresas adaptar los productos y servicios a los deseos y necesidades de sus clientes, como ofrecer resultados de búsqueda más relevantes en las aplicaciones de navegación. Sin embargo, los crecientes almacenes de PII acumulados por las organizaciones atraen la atención de los ciberdelincuentes.
Los hackers roban información de identificación personal para cometer robos de identidad, venderla en el mercado negro o mantenerla cautiva mediante ransomware. Según el informe "Coste de una filtración de datos" 2023 de IBM, el coste medio de una vulneración de datos causada por un ataque de ransomware fue de 5,13 millones de dólares. Los particulares y los profesionales de la seguridad de la información deben navegar por un complejo panorama de TI y legal para mantener la privacidad de los datos frente a estos ataques.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese para obtener el X-Force Threat Intelligence Index
La PII se presenta en dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de una persona e incluyen cosas como el número de pasaporte o de carné de conducir. Un único identificador directo suele bastar para determinar la identidad de alguien.
Los identificadores indirectos no son únicos. Incluyen datos personales más generales como la raza y el lugar de nacimiento. Aunque un único identificador indirecto no puede identificar a una persona, una combinación sí puede. Por ejemplo, el 87 % de los ciudadanos estadounidenses (enlace externo a ibm.com) podrían ser identificados basándose únicamente en su sexo, código postal y fecha de nacimiento.
No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de streaming de una persona no son PII. Esto se debe a que sería difícil, si no imposible, identificar a alguien basándose únicamente en lo que ha visto en Netflix. La PII sólo se refiere a la información que señala a una persona concreta, como el tipo de información que usted podría facilitar para verificar su identidad al ponerse en contacto con su banco.
Entre la PII, algunas piezas de información son más sensibles que otras. La PII sensible es información delicada que identifica directamente a un individuo y que podría causar un daño significativo si se filtrara o fuera robada.
Un número de la seguridad social (NUSS) es un buen ejemplo de PII sensible. Dado que muchas agencias gubernamentales e instituciones financieras utilizan los NUSS para verificar la identidad de las personas, un delincuente que robe uno podría acceder fácilmente a los registros fiscales o a las cuentas bancarias de su víctima. Otros ejemplos de PII sensible son:
La IPI sensible no suele estar a disposición del público, y la mayoría de las leyes vigentes sobre privacidad de datos exigen a las organizaciones que la protejan mediante su cifrado, el control de quién accede a ella o la adopción de otras medidas de ciberseguridad.
La PII no sensible son datos personales que, de forma aislada, no causarían un daño significativo a una persona si se filtraran o fueran robados. Puede o no ser exclusiva de una persona. Por ejemplo, un nombre de usuario de una red social sería PII no sensible: podría identificar a alguien, pero un actor malicioso no podría cometer un robo de identidad armado únicamente con un nombre de cuenta de una red social. Otros ejemplos de PII no sensible incluyen:
La PII no confidencial suele estar disponible públicamente. Por ejemplo, los números de teléfono pueden aparecer en una guía telefónica y las direcciones pueden aparecer en los registros de propiedad pública de un gobierno local. Algunas normativas sobre protección de datos no exigen la protección de la PII no sensible, pero muchas empresas establecen medidas de protección de todos modos. Esto se debe a que los delincuentes podrían causar problemas juntando varias piezas de PII no sensible.
Por ejemplo, un pirata informático podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, su dirección de correo electrónico y el apellido de soltera de su madre. El correo electrónico les proporciona un nombre de usuario. La suplantación del número de teléfono permite a los piratas informáticos recibir un código de verificación. El nombre de soltera de la madre proporciona una respuesta a la pregunta de seguridad.
Es importante señalar que el hecho de que algo cuente como PII sensible o no sensible depende en gran medida del contexto. Un nombre completo por sí solo puede no ser sensible, pero una lista de personas que han visitado a un determinado médico sí lo sería. Del mismo modo, el número de teléfono de una persona puede estar a disposición del público, pero una base de datos de números de teléfono utilizada para la autenticación de dos factores en una red social sería PII sensible.
El contexto también determina si algo se considera PII o no. Por ejemplo, los datos anónimos agregados de geolocalización suelen considerarse datos personales genéricos porque no se puede aislar la identidad de un único usuario.
Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como demuestra una reciente demanda de la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com).
La FTC argumenta que el corredor de datos Kochava vendía datos de geolocalización que contaban como PII porque " las fuentes de datos personalizados de la empresa permiten a los compradores identificar y rastrear a usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil por la noche es probablemente la dirección del domicilio del usuario y podría combinarse con los registros de la propiedad para descubrir su identidad".
Los avances tecnológicos también están facilitando la identificación de las personas con menos datos, lo que podría reducir el umbral de lo que se considera PII en general. Por ejemplo, investigadores de IBM y de la Universidad de Maryland han ideado un algoritmo (enlace externo a ibm.com). Este algoritmo identifica a personas concretas combinando datos de localización anónimos con información disponible públicamente procedente de redes sociales.
Según McKinsey (enlace externo a ibm.com), el 75 % de los países han implementado leyes de protección de datos que regulan la recopilación, conservación y uso de la PII. El cumplimiento de estas normativas puede resultar difícil porque las distintas jurisdicciones pueden tener normas diferentes o incluso contradictorias.
El auge del cloud computing y del personal a distancia también plantea un reto. En estos entornos, los datos pueden recogerse en un lugar, almacenarse en otro y procesarse en un tercero. Es posible que se apliquen diferentes normativas a los datos en cada etapa, en función de la ubicación geográfica.
Para complicar aún más las cosas, las distintas normativas establecen diferentes estándares sobre qué tipos de datos deben protegerse. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea obliga a las organizaciones a proteger todos los datos personales, definidos (enlace externo a ibm.com) como "cualquier información relativa a una persona física identificada o identificable".
Según el RGPD, las organizaciones deben proteger la PII sensible y no sensible. También deben proteger cosas que en otros contextos ni siquiera se considerarían datos confidenciales. Esta información incluye opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas.
La Oficina de Gestión y Presupuesto del gobierno de EE. UU. (OMB) define la PII de forma más estricta (enlace externo a ibm.com):
Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, como su nombre, número de la seguridad social, registros biométricos, etc. por sí sola, o cuando se combina con otra información personal o identificativa que está vinculada o es vinculable a un individuo concreto, como la fecha y el lugar de nacimiento, el apellido de soltera de la madre, etc.
En palabras de Bart Willemsen, analista de Gartner, (enlace externo a ibm.com): "En EE. UU. la PII se refiere históricamente a dos o tres docenas de identificadores como el nombre, la dirección, el NSS, el carné de conducir o el número de la tarjeta de crédito".
Aunque EE. UU. carece de leyes de protección de datos a nivel federal, las agencias gubernamentales están sujetas a la Ley de Privacidad de 1974, que rige la forma en que las agencias federales recopilan, utilizan y comparten la PII. Algunos estados de EE. UU. tienen su propia normativa sobre protección de datos, entre los que destaca California. La California Consumer Privacy Act (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) conceden a los consumidores ciertos derechos sobre la forma en que las organizaciones recopilan, almacenan y utilizan su PII.
Algunos sectores también tienen sus propias normativas sobre protección de datos. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) regula la forma en que las organizaciones sanitarias recopilan y protegen los historiales médicos y la información personal de los pacientes.
Del mismo modo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar global del sector financiero sobre cómo las compañías de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información confidencial de los titulares de tarjetas.
Los estudios sugieren que las organizaciones han tenido dificultades para navegar por este variado panorama de leyes y normas sectoriales. Según ESG (enlace externo a ibm.com), el 66 % de las empresas que se han sometido a auditorías de protección de datos en los últimos tres años han fracasado al menos una vez, y el 23 % lo han hecho tres o más veces.
El incumplimiento de la normativa pertinente sobre protección de datos puede acarrear multas, daños a la reputación, pérdidas de negocio y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multada con 888 millones de dólares por violar el RGPD en 2021 (enlace externo a ibm.com).
Los hackers roban la PII por muchas razones: para cometer robos de identidad, para chantajear o para venderla en el mercado negro, donde pueden llegar a alcanzar hasta 1 USD por un número de la seguridad social y 2000 USD por un número de pasaporte (enlace externo a ibm.com).
Los piratas informáticos también pueden apuntar a la PII como parte de un ataque mayor: pueden tomarla como rehén utilizando ransomware o robar PII para apoderarse de las cuentas de correo electrónico de los ejecutivos para utilizarlas en estafas de spear phishing y ataques de correo electrónico empresarial comprometido (BEC).
Los ciberdelincuentes suelen utilizar ataques de ingeniería social para engañar a víctimas desprevenidas y conseguir que entreguen voluntariamente su información personal, pero también pueden comprarla en la dark web o acceder a ella como parte de una filtración de datos de mayor envergadura. La PII puede robarse físicamente hurgando en la basura de una persona o espiándola mientras utiliza un ordenador.
Los actores maliciosos también pueden vigilar las cuentas de las redes sociales de un objetivo, donde muchas personas comparten a diario PII no sensible sin saberlo. Con el tiempo, un atacante puede reunir suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.
Para las organizaciones, la protección de la PII puede resultar complicada. El crecimiento del cloud computing y de los servicios SaaS implica que la PII puede almacenarse y procesarse en varias ubicaciones en lugar de en una única red centralizada.
Según un informe de ESG (enlace externo a ibm.com), se espera que la cantidad de datos confidenciales almacenados en la nube pública se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no están suficientemente seguros.
Para salvaguardar la PII, las organizaciones suelen crear marcos para la protección de datos. Estos marcos pueden adoptar diferentes formas en función de la organización, de la PII que recopile y de las normativas sobre protección de datos que deba cumplir. Como ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona este marco de muestra (enlace externo a ibm.com):
1. Identifique toda la PII en los sistemas de la organización.
2. Reduzca al mínimo la recopilación y el uso de la PII, y elimine de forma periódica toda aquella que ya no necesite.
3. Clasifique la PII según su nivel de sensibilidad.
4. Aplique controles en materia de seguridad de datos. Algunos ejemplos de controles pueden ser:
5. Redacte un plan de respuesta a incidentes para fugas y vulneraciones de la PII.
Vale la pena señalar que el NIST y otros expertos en protección de datos recomiendan a menudo aplicar controles diferentes a los distintos conjuntos de datos en función de su grado de sensibilidad. El uso de controles estrictos para los datos no sensibles puede resultar engorroso y poco rentable.
Refuerce la protección de datos, fomente la confianza de sus clientes y haga crecer su negocio.
Un sólido programa de ciberseguridad centrado en los datos puede proporcionarle una protección de datos completa y una visibilidad centralizada. La monitorización continua puede ayudar a proteger contra el acceso no autorizado, la exposición o el robo de datos en todo el panorama de datos de su empresa.
Proteja los datos empresariales y aborde el cumplimiento normativo con soluciones y servicios de seguridad centrados en los datos.
Gestión de identidades y accesos integral, segura y conforme a las normativas para la empresa moderna.
Obtenga los últimos conocimientos sobre el panorama en expansión de las amenazas y recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.
Descubra por qué la seguridad de los datos es vital para el bienestar de cualquier empresa hoy en día.
Descubra cómo la gobernanza de los datos garantiza que las empresas saquen el máximo partido de sus activos de datos.