¿Cómo evitar la filtración de datos en las empresas y proteger la información personal de los usuarios?

Mantener protegidos nuestros datos personales en la era del Internet se ha convertido en un desafío cada vez más complicado. Las fallas de seguridad y los ataques cibernéticos están a la orden día y tanto las empresas como los propios usuarios no están exentos de ser víctimas de la vulneración de su privacidad.

Según ESET Security Report, durante el 2018, 2 de cada 3 compañías sufrió un incidente de seguridad y el 40% experimentó una infección con códigos maliciosos. Perú se posicionó como el segundo país latinoamericano que presentó una mayor cantidad de pérdidas en ese año, registrando un índice del 71%.

Esta semana, se dio a conocer la filtración de la base de datos de la cadena peruana de cines Cineplanet, la cual expuso información sensible de miles de clientes, incluyendo nombres completos, direcciones de correo, contraseñas sin cifrar, documentos de identidad, números de teléfonos, dígitos de tarjeta e incluso estado civil y laboral.

La República conversó con Jorge Zeballos, Gerente General de ESET Perú, para proporcionar una serie de recomendaciones para que las empresas puedan prevenir la fuga de información y los propios usuarios conozcan los procedimientos que les permitan proteger eficazmente sus datos personales.

El especialista señaló que, en el caso de Cineplanet, la vulneración habría sido causada por un error humano durante un proceso de migración de la base de datos hacia la nube, que suele ser el más frágil y sensible, dejando la plataforma sin seguridad y visible a cualquiera. Por ello la importancia de que las compañías trabajen bajo una estrategia de protección preventiva.

El primer paso es el diseño de una arquitectura de seguridad, la cual implica la segregación de accesos, donde se limite quiénes manejan las claves de la empresa, así como la protección de las mismas, utilizando tecnología de doble factor de autenticación y que debe ir de la mano con otros elementos de seguridad, como la encriptación de los datos.

Zeballos también enfatizó en la importancia de que las empresas provean una comunicación cifrada, donde los medios de comunicación utilizados internamente para extraer la información de la base de datos se mantengan protegidos a través de una red privada o VPN, asegurando que la data viaje de manera segura.

El informe de ESET encontró que, dentro de los niveles de implementación de controles básicos de seguridad, en Perú el más utilizado continúa siendo el antivirus con un 84%. Zeballos recalcó que esta herramienta es “simplemente un peldaño, una sola escala dentro de todo el conjunto de decisiones que se tienen que tomar para proteger los activos digitales”.

Las empresas, insistió el especialista, deben reconocer que las bases de datos son “un activo, un patrimonio”. No tomar las medidas adecuadas para salvaguardar esta data “pone en riesgo la integridad y la seguridad de otras personas. Podríamos ver daños sobre su seguridad, su tranquilidad, su economía”.

Por otro lado, los usuarios todavía no tienen conciencia de la magnitud real del peligro que presenta la filtración de sus datos. Más allá del acceso a sus tarjetas bancarias, los ciberdelincuentes pueden aprovechar la información robada para extorsionarlos monetariamente, suplantar su propia identidad o acecharlos para perpetuar un ataque en sus domicilios.

Ahí toma importancia conocer la Ley N° 29733, Ley de Protección de Datos Personales, la cual define cómo el Estado, mediante el Ministerio de Justicia, protege a los usuarios y obliga a las empresas a mantener protegida esta información siguiendo ciertos protocolos de seguridad, por lo que aplicará multas y sanciones si se infringen estas normas y ponen en riesgo a sus clientes.

“Si las personas entendieran sobre el tema de la ley, sabrían cómo reclamar sus derechos”, aseguró Zeballos. “Tenemos todo el derecho de reclamar y denunciar a esa entidad para que el Ministerio de Justicia actúe. Si seguimos la ley, no solamente estemos protegidos frente a filtraciones, sino de todo lo que los ciberdelincuentes están pretendiendo alcanzar de las empresas”.

El especialista aconseja a los usuarios a no utilizar la misma contraseña en todas las plataformas y no anotarla en cualquier lugar visible. La clave debe estar compuesta por un mínimo de trece dígitos, combinando letras mayúsculas, minúsculas, números y caracteres especiales, y es recomendable cambiarla de forma periódica, por lo menos cada dos meses.

Asimismo, debemos cerciorarnos de tener pleno conocimiento de qué datos está recabando la empresa y que esta sea proporcional al servicio que nos están brindando. Es crucial que ellas comuniquen y tengan el consentimiento expreso del usuario antes de almacenar cualquier información. “Si ya lo almacenó, tenemos todo el derecho de demandarlo por infringir políticas de la privacidad de la información”, aseguró Zeballos.