Stefano Gazzella : 1 octubre 2025 15:17
Un argumento muy extendido entre quienes trabajan con datos personales es el de subestimar los riesgos o negarse a abordarlos. Se trata de la creencia de que no hay necesidad de preocuparse por el procesamiento de datos «no sensibles». La premisa ontológica para buscar soluciones y medidas correctivas en materia de legalidad y seguridad es la capacidad de plantear las preguntas correctas. Por ello, la tendencia a omitir datos con demasiada facilidad no puede constituir una estrategia funcional, ni siquiera mínimamente útil.
Por supuesto, los datos sensibles existen según el RGPD y requieren altos niveles de protección. Sin embargo, esto no significa que se pueda prescindir de todos los demás tipos de datos (llamados indebidamente «comunes» por quienes simplemente necesitan crear categorías innecesarias) en términos de una gestión de riesgos adecuada. No sensibles no puede significar en ningún caso «desprotegidos», ni siquiera con la interpretación más inescrupulosa.
Si bien la imprudencia implica conductas que seleccionan opciones rentables desafiando las normas, obligando a los titulares de los datos a pagar los costos de seguridad, el origen de las conductas que llevan a subestimar la importancia de proteger todos los datos personales suele atribuirse a una auténtica falta de concienciación. Precaución: esta suposición no abre la puerta a escenarios menos graves o a aquellos en los que podría ser posible un menor nivel de responsabilidad.
El hackeo de datos no sensibles, como información de identificación simple, puede tener consecuencias devastadoras para el titular de los datos. Tenga en cuenta que la mayoría de los ataques de phishing involucran información de contacto, con mayor probabilidad de éxito si el acceso incluye información como hábitos de consumo u otra información que pueda expresarse o inferirse, pero que por lo demás no sea particularmente sensible. De hecho, la posibilidad de vincular información con un titular de datos lo expone a mayores riesgos de robo de identidad, fraude o una serie de consecuencias desagradables que, lamentablemente, forman parte de la vida digital cotidiana.
La disponibilidad de estos datos para los ciberdelincuentes se debe a las actividades de OSINT, pero también a la capacidad de encontrar bases de datos vulneradas. Estas bases de datos se vulneran mediante acciones realizadas con información de contacto simple y se enriquecen con nuevas vulneraciones, lo que aumenta la eficacia de las campañas de ataque posteriores.
Ignorar todo esto es, hoy en día, injustificable para una organización que realiza actividades sobre datos personales, independientemente de la madurez de los mismos.
La cuestión de la seguridad y las violaciones de datos es, por lo tanto, un argumento especialmente convincente para no subestimar la protección de todos los datos personales, pero existe un factor adicional: la legalidad del tratamiento. Si bien la seguridad del tratamiento es un requisito del RGPD, también existen otras infracciones recurrentes que deberían concienciar sobre el impacto de infringir las reglas del juego desde el principio, como:
Obviamente, todo esto conduce a la creación de bases de datos fuera del control consciente del titular de los datos. Y crea oportunidades de lucro fáciles para los ciberdelincuentes, ya que la falta de estrategia, como la evidenciada en las brechas mencionadas anteriormente, conduce a la acumulación de datos sin generar valor. Y, en ausencia de valor, no existe la percepción de que sea necesario proteger ningún activo .
La solución es pensar en el uso sostenible de los datos personales. La ley especifica y regula las responsabilidades, pero un enfoque estratégico correcto sabe pensar en términos del valor generado y no centrarse exclusivamente en los componentes de costo, como buscar excusas o justificaciones para hacer lo mínimo indispensable .
De lo contrario, es fácil caer en trampas, como creer que solo es necesario proteger o supervisar los datos sensibles. Esto crea puntos ciegos en la gestión que inevitablemente conducen a la ineficacia de las medidas implementadas.
Alerta de spoiler: Los interesados son conscientes de esto. Y es poco probable que elijan servicios de quienes no puedan garantizar un uso sostenible de sus datos.
OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...
El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...
La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...
El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...
Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...