Inicio Topics Información de identificación personal (PII) ¿Qué es la información de identificación personal (IIP)?
Explore la solución de PII de IBM Suscríbase a las actualizaciones sobre temas de seguridad
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella dactilar, marca de verificación
¿Qué es la PII?

La información de identificación personal (PII) es cualquier información relacionada con un individuo concreto que pueda utilizarse para descubrir su identidad, como su número de la seguridad social, su nombre completo, su dirección de correo electrónico o su número de teléfono.

A medida que las personas confían cada vez más en la tecnología de la información en su vida laboral y personal, la cantidad de PII que se comparte con las organizaciones ha aumentado. Por ejemplo, las empresas recopilan los datos personales de los clientes para comprender sus mercados, y los consumidores dan fácilmente sus números de teléfono y direcciones particulares para suscribirse a los servicios y comprar en línea. 

El hecho de compartir la PII puede tener sus beneficios, ya que permite a las empresas adaptar los productos y servicios a los deseos y necesidades de sus clientes, como ofrecer resultados de búsqueda más relevantes en las aplicaciones de navegación. Sin embargo, los crecientes almacenes de PII acumulados por las organizaciones atraen la atención de los ciberdelincuentes.

Los hackers roban información de identificación personal para cometer robos de identidad, venderla en el mercado negro o mantenerla cautiva mediante ransomware. Según el informe "Coste de una filtración de datos" 2023 de IBM, el coste medio de una vulneración de datos causada por un ataque de ransomware fue de 5,13 millones de dólares. Los particulares y los profesionales de la seguridad de la información deben navegar por un complejo panorama de TI y legal para mantener la privacidad de los datos frente a estos ataques.

Coste de la vulneración de datos

Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".

Contenido relacionado

Regístrese para obtener el X-Force Threat Intelligence Index

Identificadores directos versus indirectos

La PII se presenta en dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de una persona e incluyen cosas como el número de pasaporte o de carné de conducir. Un único identificador directo suele bastar para determinar la identidad de alguien.

Los identificadores indirectos no son únicos. Incluyen datos personales más generales como la raza y el lugar de nacimiento. Aunque un único identificador indirecto no puede identificar a una persona, una combinación sí puede. Por ejemplo, el 87 % de los ciudadanos estadounidenses (enlace externo a ibm.com) podrían ser identificados basándose únicamente en su sexo, código postal y fecha de nacimiento.

PII sensible versus PII no sensible

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de streaming de una persona no son PII. Esto se debe a que sería difícil, si no imposible, identificar a alguien basándose únicamente en lo que ha visto en Netflix. La PII sólo se refiere a la información que señala a una persona concreta, como el tipo de información que usted podría facilitar para verificar su identidad al ponerse en contacto con su banco.

Entre la PII, algunas piezas de información son más sensibles que otras. La PII sensible es información delicada que identifica directamente a un individuo y que podría causar un daño significativo si se filtrara o fuera robada.

Un número de la seguridad social (NUSS) es un buen ejemplo de PII sensible. Dado que muchas agencias gubernamentales e instituciones financieras utilizan los NUSS para verificar la identidad de las personas, un delincuente que robe uno podría acceder fácilmente a los registros fiscales o a las cuentas bancarias de su víctima. Otros ejemplos de PII sensible son:

  • Números de identificación únicos, como números de carné de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno.
  • Datos biométricos, como huellas dactilares y escáneres de retina.
  • Información financiera, incluidos números de cuentas bancarias y de tarjetas de crédito.
  • Historiales médicos

La IPI sensible no suele estar a disposición del público, y la mayoría de las leyes vigentes sobre privacidad de datos exigen a las organizaciones que la protejan mediante su cifrado, el control de quién accede a ella o la adopción de otras medidas de ciberseguridad.

La PII no sensible son datos personales que, de forma aislada, no causarían un daño significativo a una persona si se filtraran o fueran robados. Puede o no ser exclusiva de una persona. Por ejemplo, un nombre de usuario de una red social sería PII no sensible: podría identificar a alguien, pero un actor malicioso no podría cometer un robo de identidad armado únicamente con un nombre de cuenta de una red social. Otros ejemplos de PII no sensible incluyen:

  • El nombre completo de una persona
  • Apellido de soltera de la madre
  • Número de teléfono
  • Dirección IP
  • Lugar de nacimiento
  • Fecha de nacimiento
  • Detalles geográficos (código postal, ciudad, estado, país, etc.)
  • Información sobre empleo
  • Dirección de correo electrónico o dirección postal
  • Raza o etnia
  • Religión

La PII no confidencial suele estar disponible públicamente. Por ejemplo, los números de teléfono pueden aparecer en una guía telefónica y las direcciones pueden aparecer en los registros de propiedad pública de un gobierno local. Algunas normativas sobre protección de datos no exigen la protección de la PII no sensible, pero muchas empresas establecen medidas de protección de todos modos. Esto se debe a que los delincuentes podrían causar problemas juntando varias piezas de PII no sensible.

Por ejemplo, un pirata informático podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, su dirección de correo electrónico y el apellido de soltera de su madre. El correo electrónico les proporciona un nombre de usuario. La suplantación del número de teléfono permite a los piratas informáticos recibir un código de verificación. El nombre de soltera de la madre proporciona una respuesta a la pregunta de seguridad.

Es importante señalar que el hecho de que algo cuente como PII sensible o no sensible depende en gran medida del contexto. Un nombre completo por sí solo puede no ser sensible, pero una lista de personas que han visitado a un determinado médico sí lo sería. Del mismo modo, el número de teléfono de una persona puede estar a disposición del público, pero una base de datos de números de teléfono utilizada para la autenticación de dos factores en una red social sería PII sensible.

¿Cuándo se convierte la información confidencial en PII?

El contexto también determina si algo se considera PII o no. Por ejemplo, los datos anónimos agregados de geolocalización suelen considerarse datos personales genéricos porque no se puede aislar la identidad de un único usuario.

Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como demuestra una reciente demanda de la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com).

La FTC argumenta que el corredor de datos Kochava vendía datos de geolocalización que contaban como PII porque " las fuentes de datos personalizados de la empresa permiten a los compradores identificar y rastrear a usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil por la noche es probablemente la dirección del domicilio del usuario y podría combinarse con los registros de la propiedad para descubrir su identidad".

Los avances tecnológicos también están facilitando la identificación de las personas con menos datos, lo que podría reducir el umbral de lo que se considera PII en general. Por ejemplo, investigadores de IBM y de la Universidad de Maryland han ideado un algoritmo (enlace externo a ibm.com). Este algoritmo identifica a personas concretas combinando datos de localización anónimos con información disponible públicamente procedente de redes sociales.

Leyes de protección de datos y PII 

Normativa internacional sobre privacidad

Según McKinsey (enlace externo a ibm.com), el 75 % de los países han implementado leyes de protección de datos que regulan la recopilación, conservación y uso de la PII. El cumplimiento de estas normativas puede resultar difícil porque las distintas jurisdicciones pueden tener normas diferentes o incluso contradictorias.

El auge del cloud computing y del personal a distancia también plantea un reto. En estos entornos, los datos pueden recogerse en un lugar, almacenarse en otro y procesarse en un tercero. Es posible que se apliquen diferentes normativas a los datos en cada etapa, en función de la ubicación geográfica.

Para complicar aún más las cosas, las distintas normativas establecen diferentes estándares sobre qué tipos de datos deben protegerse. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea obliga a las organizaciones a proteger todos los datos personales, definidos (enlace externo a ibm.com) como "cualquier información relativa a una persona física identificada o identificable".

Según el RGPD, las organizaciones deben proteger la PII sensible y no sensible. También deben proteger cosas que en otros contextos ni siquiera se considerarían datos confidenciales. Esta información incluye opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas. 

Regulaciones de privacidad de EE. UU.

La Oficina de Gestión y Presupuesto del gobierno de EE. UU. (OMB) define la PII de forma más estricta (enlace externo a ibm.com):

Información que puede utilizarse para distinguir o rastrear la identidad de un individuo, como su nombre, número de la seguridad social, registros biométricos, etc. por sí sola, o cuando se combina con otra información personal o identificativa que está vinculada o es vinculable a un individuo concreto, como la fecha y el lugar de nacimiento, el apellido de soltera de la madre, etc.

En palabras de Bart Willemsen, analista de Gartner, (enlace externo a ibm.com): "En EE. UU. la PII se refiere históricamente a dos o tres docenas de identificadores como el nombre, la dirección, el NSS, el carné de conducir o el número de la tarjeta de crédito".

Aunque EE. UU. carece de leyes de protección de datos a nivel federal, las agencias gubernamentales están sujetas a la Ley de Privacidad de 1974, que rige la forma en que las agencias federales recopilan, utilizan y comparten la PII. Algunos estados de EE. UU. tienen su propia normativa sobre protección de datos, entre los que destaca California. La California Consumer Privacy Act (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) conceden a los consumidores ciertos derechos sobre la forma en que las organizaciones recopilan, almacenan y utilizan su PII.

Normativas de privacidad específicas para cada sector

Algunos sectores también tienen sus propias normativas sobre protección de datos. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) regula la forma en que las organizaciones sanitarias recopilan y protegen los historiales médicos y la información personal de los pacientes.

Del mismo modo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar global del sector financiero sobre cómo las compañías de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información confidencial de los titulares de tarjetas.

Los estudios sugieren que las organizaciones han tenido dificultades para navegar por este variado panorama de leyes y normas sectoriales. Según ESG (enlace externo a ibm.com), el 66 % de las empresas que se han sometido a auditorías de protección de datos en los últimos tres años han fracasado al menos una vez, y el 23 % lo han hecho tres o más veces.

El incumplimiento de la normativa pertinente sobre protección de datos puede acarrear multas, daños a la reputación, pérdidas de negocio y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multada con 888 millones de dólares por violar el RGPD en 2021 (enlace externo a ibm.com).

Protección de la PII

Los hackers roban la PII por muchas razones: para cometer robos de identidad, para chantajear o para venderla en el mercado negro, donde pueden llegar a alcanzar hasta 1 USD por un número de la seguridad social y 2000 USD por un número de pasaporte (enlace externo a ibm.com). 

Los piratas informáticos también pueden apuntar a la PII como parte de un ataque mayor: pueden tomarla como rehén utilizando ransomware o robar PII para apoderarse de las cuentas de correo electrónico de los ejecutivos para utilizarlas en estafas de spear phishing y ataques de correo electrónico empresarial comprometido (BEC).

Los ciberdelincuentes suelen utilizar ataques de ingeniería social para engañar a víctimas desprevenidas y conseguir que entreguen voluntariamente su información personal, pero también pueden comprarla en la dark web o acceder a ella como parte de una filtración de datos de mayor envergadura. La PII puede robarse físicamente hurgando en la basura de una persona o espiándola mientras utiliza un ordenador.

Los actores maliciosos también pueden vigilar las cuentas de las redes sociales de un objetivo, donde muchas personas comparten a diario PII no sensible sin saberlo. Con el tiempo, un atacante puede reunir suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.

Para las organizaciones, la protección de la PII puede resultar complicada. El crecimiento del cloud computing y de los servicios SaaS implica que la PII puede almacenarse y procesarse en varias ubicaciones en lugar de en una única red centralizada.

Según un informe de ESG (enlace externo a ibm.com), se espera que la cantidad de datos confidenciales almacenados en la nube pública se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no están suficientemente seguros.

Para salvaguardar la PII, las organizaciones suelen crear marcos para la protección de datos. Estos marcos pueden adoptar diferentes formas en función de la organización, de la PII que recopile y de las normativas sobre protección de datos que deba cumplir. Como ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) proporciona este marco de muestra (enlace externo a ibm.com):

1. Identifique toda la PII en los sistemas de la organización.

2. Reduzca al mínimo la recopilación y el uso de la PII, y elimine de forma periódica toda aquella que ya no necesite.

3. Clasifique la PII según su nivel de sensibilidad.

4. Aplique controles en materia de seguridad de datos. Algunos ejemplos de controles pueden ser:

  • Cifrado: el cifrado de la PII en tránsito, en reposo y en uso mediante el cifrado homomórfico o la computación confidencial puede ayudar a mantener la PII segura y conforme a las normas, independientemente de dónde se almacene o maneje.

  • Gestión de identidades y accesos (IAM): La autenticación de dos factores o multifactor puede poner más barreras entre los piratas informáticos y los datos confidenciales. Del mismo modo, aplicar el principio del menor privilegio mediante una arquitectura zero trust y controles de acceso basados en roles (RBAC) puede limitar la cantidad de IIP a la que pueden acceder los piratas informáticos si penetran en la red.

  • Formación: los empleados aprenden a manipular y eliminar correctamente la PII. Los empleados también aprenden a proteger su propia PII. Esta formación cubre áreas como el antiphishing, la ingeniería social y la concienciación sobre las redes sociales.

  • Anonimización: la anonimización de datos es el proceso de eliminación de las características identificativas de los datos confidenciales. Las técnicas comunes de anonimización incluyen la eliminación de identificadores de los datos, la agregación de datos o la adición estratégica de ruido a los datos.

  • Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a rastrear los datos a medida que se mueven por la red, lo que facilita la detección de fugas y brechas. Otras soluciones de ciberseguridad que ofrecen vistas detalladas de la actividad en la red (como las herramientas de detección y respuesta ampliadas [XDR]) también pueden ayudar a rastrear el uso y el uso indebido de la PII.

5. Redacte un plan de respuesta a incidentes para fugas y vulneraciones de la PII.

Vale la pena señalar que el NIST y otros expertos en protección de datos recomiendan a menudo aplicar controles diferentes a los distintos conjuntos de datos en función de su grado de sensibilidad. El uso de controles estrictos para los datos no sensibles puede resultar engorroso y poco rentable.

Soluciones relacionadas
Soluciones de protección de datos

Refuerce la protección de datos, fomente la confianza de sus clientes y haga crecer su negocio.

Explore las soluciones de privacidad de datos
Servicios de seguridad de datos

Un sólido programa de ciberseguridad centrado en los datos puede proporcionarle una protección de datos completa y una visibilidad centralizada. La monitorización continua puede ayudar a proteger contra el acceso no autorizado, la exposición o el robo de datos en todo el panorama de datos de su empresa.

Explore los servicios de seguridad de datos
Soluciones de cifrado de datos

Proteja los datos empresariales y aborde el cumplimiento normativo con soluciones y servicios de seguridad centrados en los datos.

Explore las soluciones de cifrado de datos
Servicios de gestión de identidades y accesos (IAM)

Gestión de identidades y accesos integral, segura y conforme a las normativas para la empresa moderna.

Explore la gestión de identidades y accesos (IAM)
Recursos Informe sobre el coste de una vulneración de datos en 2023

Obtenga los últimos conocimientos sobre el panorama en expansión de las amenazas y recomendaciones sobre cómo ahorrar tiempo y limitar las pérdidas.

¿Qué es la seguridad de los datos?

Descubra por qué la seguridad de los datos es vital para el bienestar de cualquier empresa hoy en día.

¿Qué es el gobierno de datos?

Descubra cómo la gobernanza de los datos garantiza que las empresas saquen el máximo partido de sus activos de datos.

Dé el siguiente paso

IBM Security Guardium Insights ofrece una solución unificada de seguridad de datos con capacidades SaaS y locales para proteger los datos dondequiera que residan. Mejore su posición de seguridad de datos con visibilidad centralizada, monitorización continua de datos y funciones avanzadas de cumplimiento con flujos de trabajo automatizados. Conecte y proteja los datos en más de 19 entornos de nube y detecte vulnerabilidades de seguridad de datos desde una única ubicación.

Explore Guardium Insights Reserve una demostración en directo