Los ciberdelincuentes emplean múltiples métodos para robar datos personales almacenados en dispositivos digitales. Aunque tradicionalmente estos ataques se centran en personas mayores y niños, actualmente el segmento de población entre 30 y 55 años es un objetivo frecuente, debido a su perfil de usuario habitual de tecnologías, redes sociales y comercio electrónico. Así lo advierte Fernando Suárez, presidente del Consejo General de Ingeniería Informática de España y del Colegio Profesional de Ingeniería en Informática de Galicia (CPEIG), con motivo del Día Internacional de la Protección de Datos, que se conmemora mañana.

A veces, el robo se puede deber a las exfiltraciones de datos de empresas y otras entidades tras sufrir un ciberataque, cuando la información robada no estaba cifrada. Sin embargo, en ocasiones, es nuestro propio descuido el que propicia la sustracción de datos de carácter personal. Se entiende como tal cualquier información que identifique o permita identificar a una persona física: nombre y apellidos, DNI, NIF, número de afiliación a la Seguridad Social, teléfono, imágenes de videocámaras...

«Es esencial leer con detenimiento los permisos que se conceden. Muchas veces, sin darnos cuenta, otorgamos acceso a información sensible, como contactos, ubicación o incluso el micrófono y la cámara del dispositivo, sin que esto sea realmente necesario para el funcionamiento de la aplicación», afirma Suárez.

Los riesgos de no ser cuidadosos en internet son múltiples. «Desde el robo de datos personales, que puede derivar en suplantación de identidad o fraudes económicos, hasta la recopilación masiva de información para usos no autorizados, como la creación de perfiles detallados para fines publicitarios o más preocupantes», especifica.

Entre los datos más codiciados por los ciberdelincuentes se encuentran los datos de tarjetas bancarias, registros de clientes, credenciales de cuentas de usuario, registros de Recursos Humanos, historiales de navegación, dirección de correo electrónico, historiales médicos y datos biomédicos.

Además de los ciberataques a las empresas y entidades, entre los métodos más habituales para robar datos personales están el phishing y sus diferentes variantes (spear phishing, smishing, vishing, qrishing, etc.); la descarga de un malware o software malicioso (como spyware, keyloggers, ransomware); el sniffing (robo de datos al usar una red WiFi pública no protegida), y el pirateo del correo electrónico.

Según Suárez, en los últimos meses, el creciente uso de la inteligencia artificial (IA) generativa, que puede recopilar grandes volúmenes de datos personales y procesarlos de maneras difíciles de controlar o auditar, y de las tecnologías descentralizadas, como las que sustentan el metaverso y la Web3, están generando un entorno donde la privacidad de los datos y la seguridad de la identidad digital son más vulnerables que nunca. «Es fundamental exigir transparencia y responsabilidad a las empresas que desarrollan y emplean estas tecnologías», sostiene.

Pero también el usuario tiene que hacerse responsable de velar por sus datos de carácter personal. «La protección de datos es una responsabilidad compartida: las empresas deben ser éticas y cumplir con la normativa, pero también los ciudadanos deben ser conscientes de los riesgos y tomar medidas para proteger su privacidad», esgrime Suárez, que resalta la importancia de reforzar la educación digital y de que la sociedad tome conciencia de la necesidad de incorporarse a la cultura de la protección de datos.

El representante de los informáticos resalta la importancia de estar al día con los avances normativos, como la Ley de Inteligencia Artificial de la Unión Europea, una legislación que obliga a las organizaciones a garantizar la privacidad y la seguridad desde el diseño de sus sistemas, lo que formula oportunidades para todos los sectores.

En España, el Reglamento General de Protección de Datos (RGPD) mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime: el consentimiento, la relación contractual, los intereses vitales del interesado o de otras personas, el cumplimiento de una obligación legal para el responsable, el interés público o ejercicio de poderes públicos, y los intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos. Aunque no está expuesto de forma explícita, se debe documentar e identificar de forma clara la legitimación sobre la que se fundamentan los tratamientos.

Suárez recuerda que la protección de datos es un derecho fundamental amparado en el artículo 18.4 de la Constitución Española y, por tanto, si se ha producido una vulneración de datos, los afectados tienen derecho a reclamar, incluso cuando se trata de empresas con sede fuera de la Unión Europea. «El Reglamento General de Protección de Datos (RGPD) establece obligaciones para cualquier entidad que trate datos de ciudadanos europeos, sin importar su ubicación. En estos casos, se puede contactar con la autoridad de control nacional, en nuestro caso la Agencia Española de Protección de Datos (AEPD), que tiene mecanismos para actuar frente a estas empresas», explica.

Según el Observatorio Español de Delitos Informáticos, en 2022 (último año que puede consultarse en su web) se produjeron 374.737 ciberdelitos en España, entre estos, el robo de datos. Para crear una primera barrera de protección frente a las ciberamenazas y minimizar riesgos, el CPEIG recomienda seguir una serie de medidas básicas: no interaccionar con archivos adjuntos procedentes de correos sospechosos ni descargarse aplicaciones no oficiales; mantener el sistema operativo (software, antivirus...), así como los plugins y extensiones del navegador actualizados; ajustar la privacidad de los perfiles de las redes sociales; usar contraseñas complejas y únicas; ser cautos a la hora de conectar dispositivos extraíbles a un equipo cuando procede de terceros; no conectarse a redes públicas y, en su lugar, emplear una red privada (VPN); saber que los móviles son pueden ser rastreados aunque estén apagados, y avisar de los incidentes de seguridad.

