Información de identificación personal (PII)
La información de identificación personal (PII, por sus siglas en inglés) es cualquier información o dato sensible destinado a identificar a un individuo. A veces, una sola pieza de PII puede identificar a una persona específica, mientras que en otras ocasiones, se requieren otros detalles relevantes de PII para dar como resultado una coincidencia precisa con un individuo.
Los malos actores aprovechan la creciente necesidad de presentar esta información personal. Los hackers pueden tomar un archivo con miles de personas de PII y usar sus datos personales para causar caos en sus vidas. A menudo pueden distinguir o rastrear la identidad de un individuo específico con uno o más identificadores directos.
Cuando se usa de manera adecuada y de acuerdo con la Ley de Privacidad de la Administración General de Servicios de los Estados Unidos (GSA) y las Reglas de Comportamiento para el Manejo de Información Personal Identificable (PII), esta información vital sirve como identificadores abreviados para centros de salud, agencias estatales de vehículos motorizados y compañías de seguros.
¿Qué califica como información de identificación personal?
La información de identificación personal (PII) es cualquier cosa que pueda contener identificadores directos, que pueden identificar con precisión la identidad de alguien, como los datos necesarios para una licencia de conducir o un pasaporte. La información en dichas tarjetas de identificación, libros u otra documentación podría incluir su domicilio y número de seguro social o de licencia de conducir.
Los cuasiidentificadores, como la información relativa al patrimonio racial, pueden combinarse y usarse con otros cuasiidentificadores, incluida la fecha de nacimiento (DOB), para identificar a una persona con éxito.
Estos son los principales tipos de PII que utilizan las empresas para identificar a las personas:
- Nombre completo
- Dirección postal
- Número de teléfono
- Dirección de correo electrónico
- Registros médicos
- Información financiera, como números de tarjetas de crédito, cuentas bancarias o información de informes de crédito
- Información del pasaporte, como lugares y fechas de viaje
- Números de cuenta de Internet y contraseñas
- Información biométrica
La PII no sensible e indirecta incluye la información cuasi-identificativa antes señalada, que a menudo es una cuestión de registro público o recopilada de manera tan anónima que no se ata fácilmente a un individuo por sí sola.
A continuación, se muestran algunos ejemplos de PII no sensible:
- Código postal
- Raza
- Género
- Fecha de nacimiento
- Lugar de nacimiento
- Religión
Si bien cada uno de estos cuasiidentificadores puede servir como una herramienta para identificar a un individuo en conjunto con identificadores directos, son de poco valor para los malos actores por sí mismos. Muchas PII no sensibles son componentes de una licencia de conducir, pasaporte o registro de facturación. Aún así, sin un identificador directo, los mejores hackers a menudo encuentran un callejón sin salida cuando intentan usarlos con fines fraudulentos.
¿Quién recopila oficialmente la información de identificación personal disponible?
Hoy en día, casi todas las empresas recopilan, guardan, transmiten y procesa PII hasta cierto punto. Sin embargo, algunas organizaciones tienen información más confidencial que otras, como organizaciones de atención médica y un departamento o oficina de vehículos motorizados.
Con eso, el big data se ha convertido en una fuerza importante en los negocios de hoy, ofreciendo a las empresas información sobre los patrones de compra de los clientes, los comportamientos de navegación, la ubicación geográfica y más. Eso significa que los datos se han convertido en un componente en los negocios modernos, y los consumidores están proporcionando más PII todo el tiempo.
Algunos malos actores no oficiales quieren tener acceso a información de identificación personal
El problema de compartir información tan vital es que violaciones de datos están continuamente en aumento. Los ciberatacantes reconocen el valor de esta información, que sirve como un atajo para aprender la historia de vida de alguien, incluida la información financiera.
Si los hackers no pueden robar directamente a una víctima de violación de datos, pueden comprometer su reputación personal al tratar de usar su número de seguro social para abrir cuentas de tarjetas de crédito y mucho más.
¿Por qué la información de identificación personal es valiosa para los hackers y estafadores?
Los ciberatacantes nunca dejan de buscar formas de extraer todos los posibles beneficios mal obtenidos de una violación de datos. La PII es rica en detalles y hace una tarea rápida y fácil de identificar y aterrorizar a las personas que necesitaban depositar su confianza en un hospital, banco o el IRS.
¿Cómo obtienen los ladrones acceso a la información de identificación personal?
El robo de datos y las brechas de datos a gran escala se han vuelto tan comunes que las personas apenas prestan atención a menos que les afecte directamente.
Hay riesgos más cerca de casa que todos deben considerar. El hecho es que el peligro está al acecho para todos ya que todos compartimos PII diariamente y, una vez que está en manos de un tercero, se siente como esperar a que caiga el otro zapato.
Aquí hay algunas formas en que los ladrones llegan a conocer a las personas a través de su PII, les guste o no:
- Robo de Buzón. Muchas personas dejan el correo sentado en el buzón postal durante días a la vez, gracias a la banca en línea y al pago de facturas. Cada parte del correo es rica en datos, incluida la notificación de la Oficina de Vehículos Motorizados, facturas médicas y estados de cuenta de tarjetas de crédito.
- Buceo en basurero. El cubo de basura o el basurero es la siguiente parada después del buzón, así que si un delincuente no quería arriesgarse a ir al porche de alguien, el basurero es una apuesta más segura. Pueden encontrar toda la misma información en piezas de correo desechadas sin llamar tanta atención.
Otras formas en que los delincuentes obtienen acceso a la PII incluyen acceso inalámbrico no seguro, incidentes perdidos, phishing y estafas de pretexto, redes sociales y maniobras de ingeniería social.
Estas son solo algunas formas alternativas en que los ladrones obtienen acceso a la identidad de un individuo. Aún así, son tan peligrosos para las personas como las brechas de datos lanzadas para robar información personal o de identificación.
¿Cómo aborda el GDPR la PII?
El Reglamento General de Protección de Datos GDPR entró en vigor en mayo de 2019 con el objetivo principal de proteger la privacidad de los consumidores de la Unión Europea (UE) y salvaguardar los datos. El GDPR requería que las empresas de toda la UE y de todo el mundo cumplieran con sus extensos requisitos para proteger sus datos, empleados, clientes y proveedores externos.
La información que los negocios deben proteger incluye PII, y todos están bajo la obligación legal de mantenerla segura y protegida.
El Parlamento Europeo diseñó el GDPR para proteger a los consumidores de la UE, ante todo, esencialmente dándoles rienda suelta sobre su PII. A continuación, se presentan algunas formas en que los consumidores de la UE pueden controlar su información personal cuando hacen negocios:
- Solicitar que las empresas eliminen la PII
- Solicitud de corrección de errores fácticos
- Solicitar acceso a los datos personales almacenados
- Solicitar la exportación de datos personales para su revisión y uso si así lo desean
¿Cuáles son las mejores maneras en que las empresas pueden proteger la PII?
Todas las empresas pueden tomar medidas especiales para proteger la PII del cliente en beneficio de todos. Estas son algunas de las mejores maneras de mantener esta información vital a salvo de los delincuentes, en línea y en cualquier otro lugar:
- Cifrar datos al compartir o almacenar electrónicamente
- Implementar políticas de contraseñas sólidas para teléfonos inteligentes, tabletas y computadoras portátiles
- Alentar a los empleados a usar contraseñas diferentes para cada sitio web, aplicación y cuenta
- Crear protocolos de seguridad adicionales, como preguntas de seguridad del sitio web
- Tenga especial cuidado con las computadoras retiradas y otros dispositivos, retirando y destruyendo los discos duros antes de desecharlos o donarlos. El último paso a realizar es restaurar el dispositivo a su configuración original para asegurarse de que esté claro antes de descartarlo.
- Utilice una trituradora para desechar las copias impresas de los documentos correctamente. Triturar minuciosamente cada documento para asegurarse de que no se pueda discernir ninguna PII.
- Recuerde a los empleados y a la administración que no dejen documentos ricos en PII en la copiadora o en cualquier otro lugar donde puedan parar mientras trabajan en un archivo.
Cuanto más hagan las empresas para mantenerse vigilantes sobre la PII, mayor será la probabilidad de que la mantengan a salvo de las violaciones de datos y cualquier otra amenaza.