«Me han robado mis datos personales» es una afirmación que no es extraño oír hoy en día, porque cualquiera de nosotros puede ser víctima de un robo de datos personales, bien por descuido, bien por caer en algún ataque de phishing, o bien por que una empresa, que tiene almacenados datos personales nuestros, ha sufrido una filtración de datos como consecuencia de un ciberataque. En este artículo vamos a explicar qué hacer si te roban datos personales.
En este artículo hablamos de:
Los robos de datos personales son una amenaza en aumento
A medida que la sociedad se digitaliza y realizamos más actividades, trámites y gestiones a través de internet, más y más datos personales sobre nosotros circulan por la Red. Estos datos suponen para muchos lo que se ha venido en llamar el «petróleo del siglo XXI», puesto que su análisis y explotación se puede aplicar con diversos fines, especialmente aquellos cuyo fin es conseguir un beneficio económico.
Normalmente, las organizaciones interesadas en nuestros datos, pueden conseguirlos de forma sencilla, en muchas ocasiones nosotros mismos los cedemos voluntariamente o como parte de la contratación de algún servicio o compra de un producto digital o a través de medios digitales. Sin embargo, hay otros actores con intereses similares, pero con medios mucho menos éticos para hacerse con nuestra información personal.
Nos referimos, claro está, al robo de datos, un ciberdelito que va en aumento año tras año, puesto que cada vez son más las personas que comparten o ceden de alguna manera sus datos en internet. Y pese a que cada vez somos más conscientes de la importancia de proteger nuestra privacidad en internet, estos robos de datos personales se siguen produciendo como consecuencia de ciberataques a particulares y a empresas, organizaciones y entidades públicas.
Hackers y ciberdelincuentes saben que nuestros datos tienen un gran valor y que hacerse con grandes cantidades de estos puede reportarles beneficios económicos, mientras que para nosotros pueden tener consecuencias importantes; más allá de difundir datos personales sin consentimiento, estos actores pueden vender los datos personales al mejor postor o usarlos para cometer toda una serie de fraudes y estafas que quedarán vinculadas a nuestra identidad.
Pero ¿qué es el robo de datos personales? ¿En qué consiste y cómo se lleva a cabo? Lo explicamos a continuación.
¿Qué es el robo de información personal?
El robo de información personal, por el que también nos referimos al robo de datos, es la obtención ilícita de información digital de carácter personal y confidencial guardada en servidores, dispositivos o equipos electrónicos y que tiene como consecuencia el acceso no autorizado a la misma, pudiendo modificarse, eliminarse o bloquearse el acceso a esta.
Aunque generalmente hablamos de robos de datos personales, en realidad, en muchas ocasiones, a lo que nos referimos es a vulneraciones de datos o filtraciones de datos; las primeras suceden como consecuencia de un ciberataque y las segundas por descuidos o accidentes. En cualquier caso, el resultado es el acceso no autorizado de terceros a la información personal de los clientes, empleados, usuarios, etc.
¿Qué tipo de datos personales se roban?
Cualquier tipo de dato o información personal puede convertirse en objetivo de los ciberdelincuentes o de negocios o empresas sin escrúpulos a la hora de hacerse con esta información, como, por ejemplo:
- Datos de tarjetas bancarias
- Registros de clientes
- Credenciales de cuentas de usuario
- Registros de RR. HH.
- Comportamientos de navegación
- Historiales de navegación
- Direcciones de email
- Historiales médicos
¿Cómo se produce el robo de datos personales?
No existe una sola forma de llevar a cabo el robo de datos personales, lo cierto es que los ciberdelincuentes emplean diferentes métodos y, en ocasiones, es nuestro propio descuido el que provoca el robo de nuestros datos, por ejemplo, al comprar en tiendas online fraudulentas (en las que no solo podemos perder dinero en la compra de un producto falso o que nunca llega). También se pueden deber a las exfiltraciones de datos que sufren empresas u otras entidades al sufrir un ciberataque, cuando la información robada no estaba cifrada.
Entre los métodos más habituales empleados para el robo de datos encontramos:
- Phishing y sus diferentes variantes (spear phishing, smishing, vishing, Qrishing, etc.)
- Descarga de malware (como spyware, keyloggers, etc.)
- Sniffing (es el robo de datos al usar una red WiFi pública no protegida)
- Pirateo del correo electrónico
- Ciberataques a empresas o entidades públicas para robar sus datos.
¿Qué hacer si te roban datos personales?
Como decíamos, cualquiera puede ser víctima de un robo de datos personales, ya que a veces ni siquiera es algo que esté en nuestra mano impedir. Entonces, ¿qué hacer si me roban mis datos personales?
Lo primero, es saber detectar las señales de un posible robo de datos. Muchas veces no vamos a ser conscientes de ello hasta recibir alguna «noticia» relacionada con el hecho, como, por ejemplo, cargos a nuestra tarjeta de crédito de compras que no hemos hecho, deudas en servicios de préstamos que no hemos contratado o pérdida al acceso a alguna de nuestras cuentas de usuario.
Por ello es importante revisar los movimientos de nuestras cuentas bancarias cada cierto tiempo.
También debemos sospechar de un posible robo si hemos seguido el enlace de un correo que nos llevaba a una página web aparentemente oficial, pero en la que nos pedía introducir nuestros datos (pueden ser supuestos paquetes pendientes de entrega, supuestas multas, una factura pendiente de pago o un sorteo que hemos ganado). Si hemos introducido nuestros datos en un sitio que después nos haya hecho sospechar, es el momento de actuar rápido.
Así mismo, si una empresa u organización ha sufrido una brecha de seguridad en la que se hayan exfiltrado datos de clientes y esto pueda suponer un riesgo para ellos, la empresa u organización nos enviará una notificación sobre ello (normalmente por correo postal), informándonos de los datos que hayan podido verse afectados y nos darán algunas recomendaciones sobre lo que debemos hacer.
Un consejo para ayudaros a detectar este tipo de técnicas o métodos para robar datos personales, es visitar la página de la Oficina de Seguridad del Internauta (OSI) y la del INCIBE, donde se suelen reportar este tipo de ciberataques y ciberamenazas.
- Denunciar a la policía:
Una vez que hayáis confirmado que habéis sido víctima de un robo de datos, podéis denunciarlo ante las autoridades, bien ante el Grupo de Delitos Telemáticos de la Guardia Civil o ante la Policía Nacional.
Esta denuncia a la policía es importante hacerla, especialmente cuando los datos robados son suficientes para proceder a una suplantación de identidad (por ejemplo, tu nombre, apellidos, dirección y el número del DNI), ya que el cibercriminal puede llevar a cabo diferentes tipos de fraudes usando vuestros datos. Si habéis puesto una denuncia, no tendréis que pagar las consecuencias de esos fraudes (aunque es muy probable que en algunos casos no os libréis de tener que acudir al juzgado).
- Tomar precauciones:
También debéis tomar una serie de precauciones, para minimizar el daño que el robo de vuestros datos puede ocasionaros.
Para empezar, si el robo de datos puede afectar a vuestras cuentas o tarjetas bancarias, comprobar posibles movimientos sospechosos en vuestras cuentas (es posible que un cibercriminal tenga todos los datos necesarios para hacer una transferencia bancaria desde vuestra cuenta a una suya) y proceder a bloquear aquello que creáis necesario. También debéis informar al banco del robo de datos.
Si los datos que os han robado han sido los del DNI (por ejemplo, si habéis enviado una copia del mismo por las dos caras a alguien a través de internet), denunciad su pérdida o robo, de manera que cualquier contrato o fraude que se pueda llevar a cabo con él, no sea responsabilidad vuestra.
Lo siguiente es cambiar todas las contraseñas de vuestras cuentas de usuario, servicios y aplicaciones. Cread nuevas contraseñas robustas, como los ejemplos de contraseñas seguras que podéis ver en el artículo.
Si usáis redes sociales (o cualquier plataforma o servicio en Red), configurar los ajustes de privacidad y seguridad, si no lo habéis hecho ya.
Finalmente, avisad vuestros contactos de que podrían recibir mensajes o correos supuestamente enviados por vosotros, pero que pueden ser nuevos intentos de phishing para hacerse con sus datos.
Cómo puedes prevenir el robo de datos personales
Como usuarios hay algunas acciones que podemos llevar a cabo para prevenir el robo de datos personales:
- No dar más datos personales de los mínimos necesarios al suscribirnos, crear una cuenta o contratar un servicio a través de internet.
- No compartir información personal a través de las redes sociales.
- No envíes por internet copia de tu DNI (hay excepciones, como ciertos trámites administrativos telemáticos, pero si alguien te pide una copia de tu DNI, deberías desconfiar).
- No abrir correos sospechosos ni pulsar en sus enlaces o descargar sus archivos (recuerda que ningún servicio te pedirá que introduzcas tus datos o restablezcas la contraseña siguiendo un enlace proporcionado en un correo o un SMS).
- Realizar compras en comercios electrónicos seguros, que admitan diferentes métodos de pago online considerados seguros (desconfía de aquellas tiendas online que solo admiten un medio de pago).
- No te conectes a redes WiFi públicas si vas a compartir información personal o entrar en tus cuentas de usuario.
- Procura no guardar tu tarjeta bancaria en los ecommerces (es más cómodo, sí, pero también menos seguro).
- Utiliza contraseñas diferentes para cada una de tus cuentas de usuario. Esas contraseñas deben ser robustas, idealmente compuestas por varios caracteres (de más de ocho), que mezclen letras mayúsculas, minúsculas, cifras y símbolos.
- Activa siempre la autenticación de doble factor.
- Configura siempre los ajustes de privacidad y seguridad en tus cuentas de usuario, especialmente en redes sociales.
- Ten instalada una solución de seguridad informática, como un antivirus y un firewall.
- Mantén tu software y hardware siempre actualizado, para evitar posibles vulnerabilidades de seguridad.
¿Qué hacer si es la empresa la que ha sufrido el robo de datos?
Como decíamos más arriba, el robo de datos también puede ser consecuencia de una vulneración o filtración de datos de una empresa. En caso de que nuestra empresa haya sido víctima de un robo de datos, debemos proceder de forma no muy distinta a como lo haría un usuario, salvo que como responsables del tratamiento de datos, deberemos también informar a la Agencia Española de Protección de Datos (AEPD) y a los propios interesados cuyos datos se hayan podido ver afectados, para lo que disponemos de un plazo máximo de 72 horas desde que detectamos la brecha.
Cabe señalar que esta notificación solo debe hacerse cuando los datos personales robados puedan implicar un perjuicio para los derechos y libertades de los interesados afectados. Por ejemplo, si los datos robados están cifrados, será muy improbable que puedan accederse y conocerse y, por tanto, no sería necesario hacer dicha notificación.
También se recomienda, en caso de vulneración de datos, denunciarlo ante la policía.
Así mismo, una vez subsanada la brecha de seguridad, deberemos llevar a cabo un análisis del incidente para determinar cómo se ha producido el robo, qué tipo de ataque hemos sufrido o si se ha debido a un descuido o falta de aplicación de las normas de seguridad informática de la empresa. Este análisis es recomendable que lo realice un forense o perito informático. Los resultados y conclusiones de este análisis nos servirán, también, para mejorar y reforzar las medidas de seguridad de cara al futuro y evitar nuevos robos de datos.
Esperamos haber respondido a la pregunta de qué hacer si te roban datos personales y que ahora vuestros datos estén un poco más seguros. Como siempre, la precaución y el sentido común nos ayudarán a evitar este tipo de incidentes de seguridad, al menos, aquellos que están de nuestra mano.