Periódico Alma Máter

Durante la Convención Bancaria 2024, Mauricio Lizcano, ministro de Tecnologías de la Información y las Comunicaciones —Mintic— indicó que hasta junio de 2024 Colombia ha tenido 24 000 ataques cibernéticos.

¿Qué me van a robar si esa cuenta bancaria permanece vacía? Ni que yo fuera un magnate o alguien muy importante para que les interese mi información. Un sitio más o un sitio menos donde me registre, ¿cuál es la diferencia? Estos son algunos de los argumentos de quienes consideran que, si no se manejan grandes montos de dinero o se ocupa un lugar de reconocimiento público en la sociedad, entonces es poco riesgoso registrarse y tener presencia en sitios web y plataformas digitales como si existiera la creencia de que el robo financiero es el único peligro que se corre cuando de ataques cibernéticos y vulneración de la privacidad se trata. Nada más alejado de la realidad. 

«Entre más datos nuestros existan en la web, mejor perfilada estará nuestra identidad digital, esa que da cuenta de quiénes somos, qué nos gusta, nuestros hábitos de consumo, los sitios que frecuentamos e incluso cómo interactuamos en las redes sociales. Información que facilitaría un eventual ataque con ingeniería social, una modalidad con la que a partir del conocimiento de gustos y preferencias se busca el acercamiento a las víctimas, ganar su confianza y a través de la manipulación incentivarlas para que compartan información que generalmente no compartirían, descarguen softwares que no deberían e incluso que envíen dinero a delincuentes», explicó Katerine Márceles Villalba, magíster en Seguridad Informática y docente de la Facultad de Ingeniería de la Universidad de Antioquia. 

El Índice de Inteligencia de Amenazas X-Force de IBM, publicado en febrero de 2024, indica que para 2023 Colombia ocupó el segundo lugar como el país con más ciberataques en Latinoamérica. El primer lugar lo obtuvo Brasil. 

Desde publicidad invasiva hasta el saqueo de cuentas bancarias, compras no autorizadas, fraude financiero, hurto de información y robo de identidad, son algunos de los riesgos a los que las personas se exponen al entregar datos personales sin tener la certeza de que esas entidades cumplan con la reglamentación que salvaguarde la información. En el caso de que la tengan, ¿se sabe cómo usan esos datos que recolectan? ¿Se puede reducir el riesgo de filtración de datos? 

Lo que ahorras en dinero lo pagas con información

La mayoría de los sitios web y las plataformas existentes solicitan la creación de una cuenta a partir de información personal a cambio de la posibilidad de acceder a su oferta de bienes o servicios. Ejemplo de ello son los e-commerce —como Amazon, Temu o Rappi—, especialmente aquellos que ofrecen descuentos y beneficios tan llamativos que generan la percepción de que se trata de una «oportunidad imperdible», tanto, que el mínimo interés por conocer cómo protegen y tratan la información pasa a un segundo plano o simplemente desaparece.

«Nosotros no dimensionamos el valor que tienen nuestros datos, pasamos por alto conocer las políticas de protección de datos de las entidades en las que nos registramos y ni nos percatamos si esas empresas en realidad van a proteger nuestra información. Le damos “aceptar” a la casilla de Términos y Condiciones y autorizamos un tratamiento de datos sin detenernos siquiera a conocer cuál es la información que están recopilando y cómo la van a usar», expresó Márceles. 

El Reglamento General de Protección de Datos —GDPR— es la normativa con la que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea buscan reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea —UE—; dicho reglamento hace la vez de sombrilla para las políticas de protección de datos de otros países en el mundo.

En Colombia, la Ley 1581 de 2012 obliga a cualquier entidad pública o privada a asegurar la protección de los datos personales y a los usuarios les otorga el derecho de decidir qué información autorizan a tratar, conocer cómo y para qué será usada y brinda mecanismos de denuncia y reclamación ante la Superintendencia de Industria y Comercio —SIC— en caso de que se incumpla con las disposiciones de la ley; sin embargo, si bien muchos de estos contratos, antes de ser aceptados, informan qué datos captan y cómo los tratarán, dejan un margen mínimo de decisión real, ya que prácticamente si no se aceptan las condiciones tal cuál como ellos disponen simplemente no se puede acceder a los servicios que ofertan. 

«Estos contratos de cliqueo son contratos de adhesión, es decir, acuerdos en los que una de las partes establece las condiciones generales sin ningún tipo de negociación y la otra solo tiene la posibilidad de aceptarlas o no», explicó Ángela Lozada, magíster en Derecho y Ciberseguridad y docente de la Facultad de Derecho y Ciencias Políticas de la UdeA, quien agregó que «en este tipo de contratos puede haber cláusulas abusivas que pongan en riesgo la vulnerabilidad de algún derecho». 

A modo de ejercicio, desde el periódico Alma Mater se dio un vistazo a la Política de Privacidad de una de las plataformas de e-commerce que recientemente llegó a Colombia —y que ha recibido varios cuestionamientos públicos, a través de diversos medios de comunicación, frente a la seguridad que ofrece para proteger los datos— y se identificaron algunas cláusulas acerca del tipo de datos recolectados y tratamiento de la información que podrían generar algún grado de alerta y cuestionar si vale la pena entregar información bajo estas condiciones. 

En cuanto a la recolección de información, el contrato de la plataforma revisada refiere que aparte de los datos personales como nombre, dirección, teléfono, correo electrónico y demás, también recolectan datos como imágenes, videos, ubicación e incluso dirección IP. Este último dato, en caso de ser filtrado y caer en manos inadecuadas podría abrir la puerta a robo de información dentro del equipo. 

«A través de la IP se puede realizar un escaneo de puertos, identificar cuáles se encuentran abiertos y validar qué tipos de servicios se están prestando por allí y buscar la vulnerabilidad y convertirla en una puerta trasera para tener acceso total al celular o la computadora», explicó Katerine Márceles. 

En cuanto al tratamiento de datos, la Política de Privacidad de la empresa deja claro que la información suministrada por el usuario es compartida a «empresas de publicidad, marketing y análisis de terceros para los fines de publicidad... Algunas de estas divulgaciones a terceros se conocen como “compartir” o procesar su información personal para anuncios dirigidos, pero “compartir” puede considerarse “vender” su información personal según la ley aplicable».

Frente a esta realidad, en la que políticas de protección y privacidad de información contienen condiciones como las anteriores, «deberíamos empezar a sopesar si queremos obtener ese producto y ser nosotros el producto; en otras palabras, vale la pena cuestionarse si el bien o servicio que se desea adquirir es tan o más valioso que nuestros datos y privacidad», señaló Ángela Lozada.

Es momento de darle a la información el lugar que le corresponde 

Ambas expertas consultadas coinciden en que el primer paso para minimizar el riesgo de exponer la información en la web es fomentar la cultura de darle importancia a los datos y asegurar de que a quienes se les confíen los van a proteger y usar de una manera correcta. 

«Somos los plenos responsables sobre dónde introducimos nuestros datos. Si no leemos los términos y las condiciones y las políticas de privacidad de los sitios en los que nos vamos a registrar y no validamos que sean lugares seguros que nos brinden confianza y respaldo, lo más recomendable es no entregar todos nuestros datos», afirmó Lozada. 

Por su parte, Katerine Márceles recomienda realizar un rastreo de huella digital que permita tener un panorama de dónde se encuentra la información personal, dónde está indexada en la web y así identificar aquellos lugares en los que es mejor eliminar la presencia digital y reversar la autorización de tratamiento de datos en las plataformas que no parezcan seguras.  

«Muchas veces es difícil controlar y saber dónde están nuestros datos; sin embargo, existen herramientas que permiten hacer un rastreo de huella digital, entre ellas están Webmii —un motor de búsqueda de personas que centraliza la información pública de otros sitios web— y Have I Been Pwned, un sitio web en el que a partir del correo electrónico se identifican las plataformas en las que hubo alguna vulneración de la seguridad y los datos fueron filtrados», explicó Márceles.