¿Qué es la información de identificación personal (PII)?

A medida que las personas confían cada vez más en la tecnología de la información en su trabajo y en su vida personal, la cantidad de PII compartida con las organizaciones ha crecido. Por ejemplo, las empresas recopilan datos personales de los clientes para comprender sus mercados, y los consumidores proporcionan fácilmente sus números de teléfono y direcciones particulares para suscribirse a servicios y comprar en línea.

Compartir PII puede tener sus beneficios, ya que permite a las empresas adaptar productos y servicios a los deseos y necesidades de sus clientes, como ofrecer resultados de búsqueda más relevantes en aplicaciones de navegación. Sin embargo, los crecientes depósitos de PII acumulados por las organizaciones atraen la atención de los delincuentes cibernéticos.

Los hackers roban PII para cometer robos de identidad, venderla en el mercado negro o mantenerla cautiva mediante ransomware. Según el Informe del costo de una filtración de datos 2023 de IBM, el costo promedio de una filtración de datos causada por un ataque de ransomware fue de 5.13 millones de dólares. Las personas y los profesionales de la seguridad de la información deben navegar por un complejo panorama informático y jurídico para mantener la privacidad de los datos frente a estos ataques.

La PII viene en dos tipos: identificadores directos e identificadores indirectos. Los identificadores directos son exclusivos de una persona e incluyen cosas como número de pasaporte o número de licencia de conducir. Un identificador directo único suele ser suficiente para determinar la identidad de alguien.

Los identificadores indirectos no son únicos. Incluyen datos personales más generales, como la raza y el lugar de nacimiento. Si bien un identificador indirecto único no puede identificar a una persona, una combinación, sí. Por ejemplo, el 87 % de los ciudadanos estadounidenses podrían identificarse basándose únicamente en su sexo, código postal y fecha de nacimiento.

No todos los datos personales se consideran PII. Por ejemplo, los datos sobre los hábitos de uso de streaming de una persona no son PII. Es porque sería difícil, si no imposible, identificar a alguien con base únicamente en lo que ha visto en Netflix. La PII solo se refiere a la información que apunta a una persona en individual, como el tipo de información que puede proporcionar para verificar su identidad cuando se comunique con su banco.

Entre PII, algunas piezas de información son más confidenciales que otras. PII confidencial es información confidencial que identifica directamente a una persona y podría causar un daño significativo si se filtra o se roba.

Un número de seguro social (SSN) es un buen ejemplo de PII confidencial. Debido a que muchas agencias gubernamentales e instituciones financieras usan números de seguridad social para verificar las identidades de las personas, un delincuente que roba un número de seguridad social podría acceder fácilmente a los registros fiscales o a las cuentas bancarias de sus víctimas. Otros ejemplos de PII confidencial incluyen:

• Números de identificación únicos, tales como números de licencia de conducir, números de pasaporte y otros números de identificación emitidos por el gobierno
• Datos biométricos, como huellas dactilares y escaneos de retina.
• Información financiera, incluyendo números de cuentas bancarias y números de tarjetas de crédito
• Registros médicos.

Por lo general, PII confidencial no está disponible públicamente, y la mayoría de las leyes de privacidad de datos requieren que la protejan cifrándola, controlando quién accede a ella o tomando otras medidas de ciberseguridad.

PII no confidencial son datos personales que, de forma aislada, no causarían un daño significativo a una persona en caso de filtración o robo. Puede o no ser exclusivo de una persona. Por ejemplo, un identificador de red social sería PII no confidencial: podría identificar a alguien, pero un actor malicioso no podría cometer robo de identidad armado con solo el nombre de una cuenta de red social. Otros ejemplos de PII no confidencial incluyen:

• El nombre completo de una persona
• Apellido de soltera de la madre
• Número de teléfono
• Dirección IP
• Lugar de nacimiento
• Fecha de nacimiento
• Detalles geográficos (código postal, ciudad, estado, país, etc.)
• Información de empleo
• Dirección de correo electrónico o dirección postal
• Raza o etnia
• Religión

La PII no sensible suele estar a disposición del público. Por ejemplo, los números de teléfono pueden figurar en una guía telefónica y las direcciones en los registros públicos de la propiedad de una administración local. Algunas regulaciones de privacidad de datos no requieren la protección de PII no confidencial, pero muchas empresas implementan salvaguardas de todos modos. Eso se debe a que los delincuentes podrían causar problemas al ensamblar varias piezas de PII no confidencial.

Por ejemplo, un hacker podría entrar en la aplicación de la cuenta bancaria de alguien con su número de teléfono, dirección de correo electrónico y el apellido de soltera de la madre. El correo electrónico les da un nombre de usuario. La falsificación del número de teléfono permite a los hackers recibir un código de verificación. El apellido de soltera de la madre proporciona una respuesta a la pregunta de seguridad.

Es importante tener en cuenta que si algo cuenta como PII confidencial o no confidencial depende en gran medida del contexto. Un nombre completo por sí solo puede no ser confidencial, pero una lista de personas que han visitado a un determinado médico sí sería confidencial. Del mismo modo, el número de teléfono de una persona puede estar disponible públicamente, pero una base de datos de números de teléfono utilizados para la autenticación de dos factores en un sitio de redes sociales sería PII confidencial.

El contexto también determina si algo se considera PII. Por ejemplo, los datos de geolocalización anónimos agregados a menudo se consideran datos personales genéricos porque la identidad de un solo usuario no se puede aislar.

Sin embargo, los registros individuales de datos de geolocalización anónimos pueden convertirse en PII, como lo demostró una reciente demanda de la Comisión Federal de Comercio (FTC).

La FTC argumenta que el corredor de datos Kochava vendía datos de geolocalización que contaban como PII porque "las fuentes de datos personalizadas de la empresa permiten a los compradores identificar y rastrear usuarios específicos de dispositivos móviles. Por ejemplo, la ubicación de un dispositivo móvil por la noche probablemente sea la dirección de la casa del usuario y podría combinarse con registros de propiedad para descubrir su identidad".

Los avances en tecnología también facilitan la identificación de personas con menos información, lo que puede reducir el umbral de lo que se considera PII en general. Por ejemplo, los investigadores de IBM y la Universidad de Maryland han ideado un algoritmo. Este algoritmo identifica a personas específicas combinando datos de ubicación anónimos con información disponible públicamente de sitios de redes sociales.

Según McKinsey, el 75 % de los países han implementado leyes de privacidad de datos que rigen la recopilación, retención y uso de PII. Cumplir esta normativa puede ser difícil porque las distintas jurisdicciones pueden tener normas diferentes o incluso contradictorias.

El auge de la computación en la nube y de la fuerza laboral a distancia también plantea un reto. En estos entornos, los datos pueden recogerse en un lugar, almacenarse en otro y procesarse en un tercero. Es posible que en cada fase se apliquen normativas diferentes a los datos, en función de la ubicación geográfica.

Para complicar aún más las cosas, las distintas normativas establecen normas diferentes sobre los tipos de datos que deben protegerse. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea exige que las organizaciones protejan todos los datos personales, definidos como "cualquier información relacionada con una persona física identificada o identificable".

En virtud del GDPR, las organizaciones deben proteger la PII confidencial y no confidencial. También deben salvaguardar cosas que en otros contextos ni siquiera se considerarían datos confidenciales. Esta información incluye opiniones políticas, afiliaciones a organizaciones y descripciones de características físicas. 

La Oficina de Administración y Cotización (OMB) del gobierno de EE. UU. define de manera más estricta la PII como:

Información que puede utilizarse para distinguir o rastrear la identidad de una persona, como su nombre, número de seguro social, registros biométricos, etc. por sí sola, o cuando se combina con otra información personal o de identificación que está vinculada o se puede vincular a una persona específica, como la fecha de nacimiento, etc.

Como lo planteó el analista de Gartner Bart Willemsen, "En EE. UU., la PII históricamente se refiere a dos o tres docenas de identificadores como nombre, dirección, SSN, licencia de controlador o número de tarjeta de crédito".

Si bien Estados Unidos carece de leyes de privacidad de datos a nivel federal, las agencias gubernamentales están sujetas a la Ley de Privacidad de 1974, que rige cómo las agencias federales recopilan, usan y comparten PII Algunos estados de Estados Unidos tienen sus propias regulaciones de privacidad de datos, especialmente California. La California Consumer Privacy Act/ (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) otorgan a los consumidores ciertos derechos sobre cómo las organizaciones recopilan, almacenan y usan su PII.

Algunas industrias también tienen sus propias regulaciones de privacidad de datos. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) rige la forma en que las organizaciones de atención médica recopilan y protegen los registros médicos y la PII de los pacientes.

Del mismo modo, la Payment Card Industry Data Security Standard (PCI DSS) es una norma mundial de la industria financiera que regula la forma en que las empresas de tarjetas de crédito, los comerciantes y los procesadores de pagos manejan la información confidencial de los titulares de tarjetas.

La investigación sugiere que las organizaciones han tenido dificultades para navegar por este variado escenario de leyes y normas de la industria. Según ESG, el 66 % de las empresas que se han sometido a auditorías de privacidad de datos en los últimos tres años han fallado al menos una vez, y el 23 % ha fallado tres o más veces.

El incumplimiento de la normativa pertinente sobre privacidad de datos puede acarrear multas, daños a la reputación, pérdidas de negocios y otras consecuencias para las organizaciones. Por ejemplo, Amazon fue multada con 888 millones de dólares por violar el RGPD en 2021.

Los hackers roban PII por muchas razones: para cometer robo de identidad, para chantajear o para venderla en el mercado negro, donde pueden obtener hasta 1 USD por número de seguro social y 2000 USD por número de pasaporte.

Los piratas informáticos también pueden apuntar a PII como parte de un ataque más grande: pueden mantenerla como rehén mediante ransomware o robar PII para apoderarse de las cuentas de correo electrónico de los ejecutivos y usarlas en estafas de phishing focalizado y compromiso de correo electrónico empresarial (BEC).

Los delincuentes cibernéticos a menudo utilizan ataques de ingeniería social para engañar a las víctimas desprevenidas para que entreguen voluntariamente PII, pero también pueden comprarla en la dark web u obtener acceso como parte de una filtración de datos más grande. La PII puede robarse físicamente hurgando en la basura de una persona o espiándola mientras usa una computadora.

Los actores maliciosos también pueden monitorear las cuentas de redes sociales de un objetivo, donde muchas personas, sin saberlo, comparten PII no confidencial todos los días. Con el tiempo, un atacante puede recopilar suficiente información para hacerse pasar por una víctima o entrar en sus cuentas.

Para las organizaciones, proteger PII puede ser complicado. El crecimiento de la computación en la nube y los servicios SaaS significa que la PII puede almacenarse y procesarse en múltiples ubicaciones en lugar de una sola red centralizada.

Según un informe de ESG, se espera que la cantidad de datos sensibles almacenados en nubes públicas se duplique para 2024, y más de la mitad de las organizaciones creen que estos datos no están suficientemente seguros.

Para salvaguardar la PII, las organizaciones suelen crear marcos de privacidad de datos. Estos marcos pueden adoptar diferentes formas según la organización, la PII que recopila y las normas de privacidad de datos que debe seguir. Por ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. proporciona este marco de muestra:

1. Identifique toda la PII en los sistemas de la organización.

2. Minimice la recopilación y el uso de PII, y elimine regularmente cualquier PII que ya no sea necesaria.

3. Categorice la PII según el nivel de confidencialidad.

4. Aplique controles de seguridad de datos. Los controles de ejemplo pueden incluir:

• Cifrado: Cifrar la PII en tránsito, en reposo y en uso mediante cifrado homomórfico o computación confidencial puede ayudar a mantener la PII segura y en cumplimiento, independientemente de dónde se almacene o maneje.
  
  
• Gestión de identidad y acceso (IAM): La autenticación de dos factores o multifactor puede colocar más barreras entre los piratas informáticos y los datos confidenciales. De manera similar, hacer cumplir el principio de privilegio mínimo a través de una arquitectura de confianza cero y controles de acceso basados en roles (RBAC) puede limitar la cantidad de PII a la que pueden acceder los piratas informáticos si violan la red.
  
  
• Capacitación: Los empleados aprenden cómo manipular y eliminar adecuadamente la PII. Los empleados también aprenden a proteger su propia PII. Esta capacitación cubre áreas como antiphishing, ingeniería social y conciencia de las redes sociales.
  
  
• Anonimización: la anonimización de datos es el proceso de eliminar las características de identificación de los datos confidenciales. Las técnicas de anonimización comunes incluyen eliminar identificadores de datos, agregar datos o agregar ruido estratégicamente a los datos.
  
  
• Herramientas de ciberseguridad: las herramientas de prevención de pérdida de datos (DLP) pueden ayudar a rastrear los datos a medida que se mueven por la red, lo que facilita la detección de fugas y violaciones. Otras soluciones de ciberseguridad que ofrecen vistas de alto nivel de la actividad en la red, tales como herramientas de detección y respuesta extendidas (XDR), también pueden ayudar a rastrear el uso y uso indebido de PII.

5. Redacte un plan de respuesta a incidentes para fugas y filtraciones de PII.

Cabe señalar que el NIST y otros expertos en privacidad de datos recomiendan a menudo aplicar diferentes controles a diferentes conjuntos de datos en función de lo confidenciales que sean. Utilizar controles estrictos para los datos no confidenciales puede resultar engorroso y poco rentable.