Muchos pensamos que, como ciudadanos anónimos que somos, nuestros datos personales son de poco valor, pero lo cierto es que no es así y que para diferentes actores, nuestros datos sí que son valiosos. Entre esos actores, están los ciberdelincuentes que se dedican al robo de información personal. Como en otros artículos ya os hemos hablado de cómo se llevan a cabo este tipo de robos, en esta ocasión nos centraremos en hablar de las consecuencias, es decir, de qué pueden hacer con mis datos personales los ciberdelincuentes.
¿Para qué quieren robar mis datos personales?
Muchas veces creemos, de manera equivocada, que como no somos personas famosas o personajes públicos o personas con cargos importantes, nuestros datos personales no tienen demasiado valor, sin embargo, cualquier ciudadano de a pie está expuesto al robo de datos y, de hecho, todos, en mayor o menor medida, o hemos sido objetivo de este ciberdelito, a veces siendo víctimas del mismo nosotros mismos, al caer en algún intento de phishing, o porque una empresa a la que hemos cedido nuestros datos, ha sufrido algún ciberataque y una filtración de sus bases de datos.
Las razones detrás de estos robos y del uso de datos personales sin consentimiento son variadas, aunque al final siempre podemos reducirlas a un común denominador, obtener alguna clase de beneficio económico, ya sea de forma directa, como el acceso a la cuenta bancaria de la víctima, o indirecta, al vender los datos robados. Incluso cuando los datos personales robados se usan para ganar el acceso a la red interna de una empresa, el objetivo final suele ser el beneficio económico.
¿Qué pueden hacer con mis datos personales robados?
Los datos personales robados se pueden usar para diferentes fines y objetivos, pero entre las consecuencias de la ingeniería social (como el ya citado phishing) y de las filtraciones de datos más habituales tenemos las siguientes:
- Suplantación de identidad: Los datos robados pueden usarse para suplantar la identidad de una persona, por ejemplo, si entre ellos figura la información que aparece en el DNI. Estas suplantaciones se emplean para llevar a cabo diferentes tipos de fraudes, como contratar servicios, seguros, préstamos, etc., abrir cuentas en bancos online, o cometer estafas usando la identidad robada.
- Creación de perfiles falsos: Con el nombre y una foto, cualquier persona podría crear un perfil falso en redes sociales y usarlo para desprestigiar o humillar a la persona cuyos datos ha robado, pero también para llevar a cabo campañas de acoso y ataques contra otros usuarios, tanto personas como empresas. También se puede tratar de estafar a seguidores o fans de personas con cierta notoriedad.
- Llevar a cabo ataques de ingeniería social: Los datos robados pueden usarse para elaborar ataques de ingeniería social más elaborados y con más probabilidades de éxito, puesto que es más fácil dirigirlos a una persona en concreto (como en el spear phishing) y usar la información que se tiene sobre ella para convencerla de que lleve a cabo alguna acción que permita al ciberdelincuente acceder a la red interna de la empresa o realizar transferencias de dinero hacia una de sus cuentas.
- Intentos de ataques personalizados: Si alguien conoce suficiente información personal nuestra, le resultará más fácil manipularnos y conseguir sus objetivos con ello. En ocasiones, una poca información personal puede permitir a los cibercriminales inferir información que pueden usar para llevar a cabo chantajes, como, por ejemplo, de sextorsión, estafas con paquetes que no han sido entregados, supuestas multas que tenemos que pagar, etc.
- Vender nuestros datos a terceros: Muchas veces el cibercriminal o cibercriminales que llevan a cabo el robo de datos, no serán quiénes utilicen los datos, sino que se los venderán al mejor postor, ya que a través de la dark web se pueden comprar y vender bases de datos que después pueden emplearse con otros fines. Y en estos casos ni siquiera tiene por qué ser un cibercriminal, porque podría ser un ataque interno, es decir, un empleado que decida vender esta información.
¿Cómo prevenir el robo de datos personales?
Las empresas y entidades públicas deben adoptar las medidas de ciberseguridad necesarias, tanto técnicas como organizativas, que protejan la información personal que manejan y almacenan, medidas como el cifrado, la seudonimización, el monitoreo de redes, las políticas de uso de dispositivos, el uso de soluciones de seguridad informática, los accesos basados en roles, la creación de protocolos de seguridad, etc.
Para ello deben determinar los riesgos a los que están expuestos e implementar las medidas de seguridad que puedan reducirlos o, cuanto menos, reducir el impacto sobre las personas, si sus bases de datos acaban viéndose afectadas.
En cuanto a las personas, nosotros también somos responsables de tomar precauciones para evitar ser víctimas del robo de datos y acabar preguntándonos qué pueden hacer con mis datos personales robados.
Entre esas precauciones están compartir la mínima información posible en internet y redes sociales, configurar siempre los ajustes de privacidad de todos los sitios online en los que tengamos una cuenta de usuario, usar contraseñas robustas y diferentes para cada una de nuestras cuentas, sospechar de correos electrónicos o SMS en el que nos pidan pulsar en un enlace y después que introduzcamos nuestros datos (bancos, administraciones o plataformas de servicios no nos van a pedir esto a través de este tipo de correos), tener activada una solución de seguridad (como un antivirus), evitar usar WiFi públicas (donde la información viaja sin cifrar) y tener siempre actualizados nuestros dispositivos y programas, entre otras medidas.
En definitiva, se trata de que seamos conscientes de que nuestros datos personales sí que tienen valor y que pueden ser usados con diferentes propósitos, y algunos de ellos pueden tener consecuencias negativas para nosotros, especialmente aquellos relacionados con la suplantación de identidad, o para la empresa en la que trabajamos, ya que podemos llegar a abrir su puerta a los ciberdelincuentes sin darnos cuenta.