Mike Chapple/ The Conversation*
La ciberseguridad y la privacidad de los datos son noticia constante. Los gobiernos están aprobando nuevas leyes de ciberseguridad. Las empresas están invirtiendo en controles como firewalls, cifrado y capacitación en concientización a niveles récord.
Y, sin embargo, la privacidad de los datos está perdiendo terreno.
En 2024, el Centro de Recursos contra el Robo de Identidad informó que las empresas enviaron 1,300 millones de notificaciones a las víctimas de filtraciones de datos. Esto representa más del triple de las notificaciones enviadas el año anterior. Es evidente que, a pesar de los crecientes esfuerzos, las filtraciones de datos personales no solo continúan, sino que se están acelerando.
¿Qué se puede hacer ante esta situación? Mucha gente piensa que el problema de la ciberseguridad es un problema técnico. Y tienen razón: los controles técnicos son importantes para proteger la información personal, pero no son suficientes.
Una protección sólida de la privacidad personal se compone de tres pilares: controles técnicos accesibles, concienciación pública sobre la necesidad de la privacidad y políticas públicas que priorizan la privacidad personal. Cada uno desempeña un papel crucial en la protección de ésta y cualquier punto débil en cualquiera de ellos pone en riesgo todo el sistema.
La primera línea de defensa
La tecnología es la primera línea de defensa: protege el acceso a los ordenadores que almacenan datos y cifra la información mientras viaja entre ellos para evitar que los intrusos accedan. Pero incluso las mejores herramientas de seguridad pueden fallar si se usan incorrectamente, se configuran erroneamente o se ignoran.
Dos controles técnicos son especialmente importantes: el cifrado y la autenticación multifactor. Estos son la columna vertebral de la privacidad digital y funcionan mejor cuando se adoptan ampliamente y se implementan correctamente.
El cifrado utiliza matemáticas complejas para colocar los datos confidenciales en un formato ilegible que solo se puede desbloquear con la clave correcta. Por ejemplo, su navegador web utiliza cifrado HTTPS para proteger su información cuando visita una página web segura. Esto evita que cualquier persona en su red, o en cualquier red entre usted y el sitio web, espíe sus comunicaciones. Hoy en día, casi todo el tráfico web se cifra de esta manera.
Pero si somos tan buenos cifrando datos en las redes, ¿por qué seguimos sufriendo todas estas filtraciones de datos? La realidad es que cifrar los datos en tránsito es solo una parte del desafío.
Protección de los datos almacenados
También necesitamos proteger los datos dondequiera que se almacenen: en teléfonos, portátiles y los servidores que conforman el almacenamiento en la nube. Desafortunadamente, aquí es donde la seguridad suele fallar. Cifrar los datos almacenados, o datos en reposo, no está tan extendido como cifrar los datos que se mueven de un lugar a otro.
Si bien los teléfonos inteligentes modernos suelen cifrar los archivos por defecto, no ocurre lo mismo con el almacenamiento en la nube ni con las bases de datos empresariales. Solo el 10% de las organizaciones informa que al menos el 80% de la información que almacenan en la nube está cifrada, de acuerdo con una encuesta del sector de 2024.
Esto deja una enorme cantidad de información personal sin cifrar potencialmente expuesta si los atacantes logran ingresar. Sin cifrado, ingresar a una base de datos es como abrir un archivador sin llave: todo lo que hay adentro es accesible para el atacante.
La autenticación multifactor es una medida de seguridad que requiere proporcionar más de una forma de verificación antes de acceder a información confidencial. Este tipo de autenticación es más difícil de descifrar que una simple contraseña, ya que requiere una combinación de diferentes tipos de información. A menudo combina algo que se sabe, como una contraseña, con algo que se tiene, como una aplicación para smartphones que puede generar un código de verificación, o con algo que forma parte de la identidad, como una huella dactilar. El uso correcto de la autenticación multifactor reduce el riesgo de vulneración en un 99.22%.
Si bien el 83% de las organizaciones exige a sus empleados que utilicen la autenticación multifactor, indica otra encuesta del sector, esto aún deja millones de cuentas protegidas únicamente por una contraseña. A medida que los atacantes se vuelven más sofisticados y el robo de credenciales sigue siendo descontrolado, cerrar esa brecha del 17% no es solo una buena práctica, sino una necesidad.
La autenticación multifactor es una de las medidas más sencillas y eficaces que las organizaciones pueden tomar para prevenir filtraciones de datos, pero sigue infrautilizada. Ampliar su adopción podría reducir drásticamente el número de ataques exitosos cada año.
La concienciación es clave para la privacidad de datos
Incluso la mejor tecnología se queda corta cuando las personas cometen errores. De acuerdo con un informe de Verizon, el error humano influyó en el 68% de las filtraciones de datos de 2024. Las organizaciones pueden mitigar este riesgo mediante la capacitación de los empleados, la minimización de datos (es decir, recopilando solo la información necesaria para una tarea y eliminándola cuando ya no sea necesaria) y controles de acceso estrictos.
Las políticas, las auditorías y los planes de respuesta a incidentes pueden ayudar a las organizaciones a prepararse para una posible filtración de datos para que puedan detener el daño, identificar a los responsables y aprender de la experiencia. También es importante protegerse contra las amenazas internas y las intrusiones físicas mediante medidas de seguridad físicas, como el bloqueo de las salas de servidores.
Las protecciones legales ayudan a las organizaciones a responsabilizarse de mantener la protección de los datos y de dar a las personas el control sobre ellos. El Reglamento General de Protección de Datos de la Unión Europea es una de las leyes de privacidad más completas del mundo. Exige prácticas sólidas de protección de datos y otorga a las personas el derecho a acceder, corregir y eliminar sus datos personales. Y el Reglamento General de Protección de Datos es efectivo: En 2023, Meta recibió una multa de 1,200 millones de euros (1,400 millones de dólares estadounidenses) cuando se descubrió que Facebook había infringido la normativa.
A pesar de años de debate, Estados Unidos aún no cuenta con una ley federal integral de privacidad de datos. Se presentaron varias propuestas en el Congreso, pero ninguna prosperó. En su lugar, una combinación de regulaciones estatales y normas específicas del sector, como la Ley de Portabilidad y Responsabilidad del Seguro Médico para datos de salud y la Ley Gramm-Leach-Bliley para instituciones financieras, subsana las lagunas.
Algunos estados aprobó sus propias leyes de privacidad, pero esta disparidad deja a los estadounidenses con protecciones desiguales y genera problemas de cumplimiento normativo para las empresas que operan en distintas jurisdicciones.
Existen las herramientas, las políticas y el conocimiento para proteger los datos personales, pero el uso que hacen de ellos las personas y las instituciones aún es insuficiente. Un cifrado más robusto, un uso más generalizado de la autenticación multifactor, una mejor formación y unas normas legales más claras podrían prevenir muchas infracciones. Es evidente que estas herramientas funcionan. Lo que se necesita ahora es la voluntad colectiva –y un mandato federal unificado– para implementar esas protecciones.
*Mike Chapple es Profesor de TI, Analítica y Operaciones en la Universidad de Notre Dame.