Hackeos vs protección de datos personales
...habría que esperar afectaciones personales a lo largo del tiempo, por ejemplo: llamadas no autorizadas, acceso a sistemas con suplantación de identidad, intentos de fraude, estafas, suplantación de identidad, nuevas filtraciones de datos, nuevos hackeos, etc...
En esta última semana se han reportado varias incidencias de brechas de seguridad de información (HACKEO): Registro Civil, Banco de Machala, Agencia Nacional de Tránsito entre los más relevantes. ¿Pero que implicaciones tienen estos accesos no autorizados a los datos?
En primer lugar hay que diferenciar entre la naturaleza de los datos; y en esta línea existen datos personales y datos no personales. Dentro de los datos personales hay que categorizar si son sensibles o no sensibles. Los datos son sensibles si permiten identificar a una persona, ubicarla y conocer detalles privados como por ejemplo vivienda, lugar de trabajo, finanzas, signos/estado de salud, preferencias personales, etc. Hay que poner mucho cuidado si los datos son biométricos (rostro, huellas) estos son especialmente críticos porque no se pueden cambiar como una contraseña. Estos criterios permiten ponderar el impacto de las brechas de seguridad informática previamente mencionadas. Esto en relación a una posible afectación personal. En este analisis no estamos considerando los datos no personales que serían insumos para el ejercicio operativo del "negocio" de cada organización.
En Ecuador, el 26 de mayo de 2021 se publicó la ley de protección de datos personales LOPDP que regula la protección de los datos personales como un bien jurídico basado en tres principios rectores: Juridicidad, Lealtad y Transparencia. Dentro de este contexto cada organización deberá responder por los incidentes suscitados en el ambito administrativo, civil e incluso penal.
De vuelta, en las brechas de seguridad informática enunciadas anteriormente, hay que determinar las posibles afectaciones a las personas, un escenario es que no haya ninguna afectación y en ese caso las correcciones se realizarían a nivel informático tanto en hardware, software y en la cultura organizacional; sin perjuicio de la obligación de notificar la brecha las autoridades y a las personas usuarias de las organizaciones.
Lamentablemente, ya expuestos los datos, habría que esperar afectaciones personales a lo largo del tiempo, por ejemplo: llamadas no autorizadas, acceso a sistemas con suplantación de identidad, intentos de fraude, estafas, suplantación de identidad, nuevas filtraciones de datos, nuevos hackeos, etc.
La Superintendencia de protección de datos personales ya se ha puesto en la tarea de requerir información e inspecciones técnicas para esclarecer los hechos y garantizar la protección de los datos personales de los ciudadanos, lo cual es oportuno y además necesario en un mundo donde los datos son el nuevo oro.
Recomendaciones prácticas para los ciudadanos:
- Monitorea regularmente tus cuentas bancarias y extractos.
- Activa la autenticación en dos factores (2FA) siempre que sea posible.
- Desconfía de llamadas, SMS o correos que soliciten datos personales o contengan enlaces sospechosos.
- Verifica si tus datos han aparecido en filtraciones conocidas.
- Mantén actualizado tu software y usa contraseñas fuertes y únicas.
Finalmente, ante incidentes de esta magnitud, siempre es recomendable buscar asesoría de expertos en ciberseguridad y derecho. Los datos personales no son un juego: su protección requiere tanto conocimiento técnico como legal.
