Stefano Gazzella : 1 octubre 2025 15:17
Un argumento muy extendido entre quienes trabajan con datos personales es el de subestimar los riesgos o negarse a abordarlos. Se trata de la creencia de que no hay necesidad de preocuparse por el procesamiento de datos «no sensibles». La premisa ontológica para buscar soluciones y medidas correctivas en materia de legalidad y seguridad es la capacidad de plantear las preguntas correctas. Por ello, la tendencia a omitir datos con demasiada facilidad no puede constituir una estrategia funcional, ni siquiera mínimamente útil.
Por supuesto, los datos sensibles existen según el RGPD y requieren altos niveles de protección. Sin embargo, esto no significa que se pueda prescindir de todos los demás tipos de datos (llamados indebidamente «comunes» por quienes simplemente necesitan crear categorías innecesarias) en términos de una gestión de riesgos adecuada. No sensibles no puede significar en ningún caso «desprotegidos», ni siquiera con la interpretación más inescrupulosa.
Si bien la imprudencia implica conductas que seleccionan opciones rentables desafiando las normas, obligando a los titulares de los datos a pagar los costos de seguridad, el origen de las conductas que llevan a subestimar la importancia de proteger todos los datos personales suele atribuirse a una auténtica falta de concienciación. Precaución: esta suposición no abre la puerta a escenarios menos graves o a aquellos en los que podría ser posible un menor nivel de responsabilidad.
El hackeo de datos no sensibles, como información de identificación simple, puede tener consecuencias devastadoras para el titular de los datos. Tenga en cuenta que la mayoría de los ataques de phishing involucran información de contacto, con mayor probabilidad de éxito si el acceso incluye información como hábitos de consumo u otra información que pueda expresarse o inferirse, pero que por lo demás no sea particularmente sensible. De hecho, la posibilidad de vincular información con un titular de datos lo expone a mayores riesgos de robo de identidad, fraude o una serie de consecuencias desagradables que, lamentablemente, forman parte de la vida digital cotidiana.
La disponibilidad de estos datos para los ciberdelincuentes se debe a las actividades de OSINT, pero también a la capacidad de encontrar bases de datos vulneradas. Estas bases de datos se vulneran mediante acciones realizadas con información de contacto simple y se enriquecen con nuevas vulneraciones, lo que aumenta la eficacia de las campañas de ataque posteriores.
Ignorar todo esto es, hoy en día, injustificable para una organización que realiza actividades sobre datos personales, independientemente de la madurez de los mismos.
La cuestión de la seguridad y las violaciones de datos es, por lo tanto, un argumento especialmente convincente para no subestimar la protección de todos los datos personales, pero existe un factor adicional: la legalidad del tratamiento. Si bien la seguridad del tratamiento es un requisito del RGPD, también existen otras infracciones recurrentes que deberían concienciar sobre el impacto de infringir las reglas del juego desde el principio, como:
Obviamente, todo esto conduce a la creación de bases de datos fuera del control consciente del titular de los datos. Y crea oportunidades de lucro fáciles para los ciberdelincuentes, ya que la falta de estrategia, como la evidenciada en las brechas mencionadas anteriormente, conduce a la acumulación de datos sin generar valor. Y, en ausencia de valor, no existe la percepción de que sea necesario proteger ningún activo .
La solución es pensar en el uso sostenible de los datos personales. La ley especifica y regula las responsabilidades, pero un enfoque estratégico correcto sabe pensar en términos del valor generado y no centrarse exclusivamente en los componentes de costo, como buscar excusas o justificaciones para hacer lo mínimo indispensable .
De lo contrario, es fácil caer en trampas, como creer que solo es necesario proteger o supervisar los datos sensibles. Esto crea puntos ciegos en la gestión que inevitablemente conducen a la ineficacia de las medidas implementadas.
Alerta de spoiler: Los interesados son conscientes de esto. Y es poco probable que elijan servicios de quienes no puedan garantizar un uso sostenible de sus datos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...