El resultado es un desastre en ciernes, donde la negligencia, la desinformación y las prioridades mal ubicadas convierten a las empresas en objetivos fáciles para los atacantes.

La cultura del «eso no nos va a pasar»

Uno de los problemas más extendidos en la gestión de la ciberseguridad es la mentalidad de que «a nosotros no nos va a pasar». Muchas empresas creen que, por no ser gigantes tecnológicos o bancos multinacionales, están fuera del radar de los ciberdelincuentes. Pero la realidad es que los atacantes no discriminan: pequeñas y medianas empresas, instituciones públicas y organizaciones sin ánimo de lucro son blancos cada vez más comunes.

Esta falsa sensación de seguridad lleva a un enfoque reactivo en lugar de proactivo. No se invierte en medidas preventivas hasta que ya es demasiado tarde, cuando un ataque ha expuesto datos sensibles o paralizado las operaciones.

Tecnología cara, procesos baratos

Otra ironía común en la ciberseguridad empresarial es la obsesión por comprar herramientas caras sin invertir en procesos sólidos. Firewalls, sistemas de detección de intrusos, soluciones de inteligencia artificial: todo suena impresionante en una reunión de junta directiva. Pero estas herramientas son tan efectivas como los procesos y personas que las respaldan.

Sin políticas claras, formación adecuada para los empleados y simulaciones regulares de incidentes, incluso la tecnología más avanzada es inútil. Un empleado que abre un correo de phishing porque nunca fue capacitado puede sortear cualquier firewall en segundos.

La seguridad como una molestia

En demasiadas empresas, la ciberseguridad es vista como una barrera para «la productividad». Contraseñas largas, autenticación multifactorial, restricciones en el acceso a ciertos sitios web: todo esto se percibe como molestias innecesarias que complican el trabajo diario. Esto lleva a que los empleados encuentren formas de eludir las medidas de seguridad, como compartir contraseñas, almacenar datos sensibles en dispositivos personales o utilizar aplicaciones no autorizadas.

En lugar de educar y explicar la importancia de estas medidas, muchas empresas simplemente las imponen, alimentando la desconexión entre los equipos de ciberseguridad y el resto de la organización.

El desastre del «todo al proveedor externo»

Subcontratar la ciberseguridad a un proveedor externo no es, en sí mismo, algo malo. Pero demasiadas empresas lo ven como una forma de desentenderse completamente del problema. La idea es: «Ya pagamos para que otros lo gestionen, así que no es nuestra preocupación».

El problema es que la seguridad de la información no puede externalizarse por completo. Los proveedores externos pueden implementar y supervisar herramientas, pero no pueden sustituir una cultura interna de seguridad ni garantizar que cada empleado siga las mejores prácticas. Sin un compromiso interno, cualquier esfuerzo externo está destinado al fracaso.

¿Cómo arreglarlo?

La buena noticia es que la ciberseguridad puede gestionarse mejor, pero requiere un cambio de mentalidad y compromiso desde los niveles más altos de la organización. Aquí algunos pasos clave:

1. Educar a todos: Desde el CEO hasta el becario, todos deben entender los riesgos y su papel en la protección de la información.
2. Cultura de seguridad: Implementar políticas que prioricen la seguridad sin ser excesivamente restrictivas. Explica el porqué detrás de cada medida.
3. Simulaciones regulares: Realiza pruebas de phishing, simulaciones de incidentes y auditorías periódicas para identificar vulnerabilidades antes de que lo hagan los atacantes.
4. Invertir en personas, no solo en tecnología: Capacitar a un equipo interno o contratar personal especializado es tan importante como adquirir herramientas.
5. Enfoque proactivo: No esperes a que ocurra un ataque. Realiza evaluaciones de riesgo regulares y ajusta tus estrategias según sea necesario.

Conclusión

La ciberseguridad es una batalla constante, y las empresas que no la toman en serio están jugando con fuego. Ya no se trata de si serás atacado, sino de cuándo y cómo responderás. Las soluciones no están en comprar más tecnología o contratar a la consultora más cara, sino en construir una cultura que valore y priorice la seguridad de la información. Porque, al final, la verdadera protección no está en los firewalls ni en los antivirus, sino en las personas y procesos que los respaldan.

Hoy, tenemos una discusión esencial que a menudo se pasa por alto en nuestra sociedad basada en datos: la privacidad.

Cada clic, cada compra, cada post en las redes sociales: ¿qué sucede con esos datos? ¿Quién los tiene y qué pueden hacer con ellos?

Antes de continuar, dos acotaciones:

• En este capítulo haré referencia a la legislación española y europea, que es la que conozco más en profundidad. Si escuchas esto desde otro país, estoy seguro que también tendrás legislación parecida, ya que es un tema que preocupa a todos los ciudadanos, independientemente de su lugar de residencia.
• También me centraré en la protección de un tipo concreto de datos, los personales. En otro capítulo hablaré sobre la seguridad de la información en general y su aplicación a través de la norma ISO 27001.

Privacidad de los datos personales

La privacidad de los datos se refiere a cómo se maneja la información personal, cómo se recoge, cómo se almacena, cómo se comparte y cómo se utiliza. En la era digital, donde las empresas y los gobiernos pueden recopilar y almacenar enormes cantidades de datos personales, la privacidad de los datos se ha vuelto cada vez más importante.

Los datos pueden ser utilizados para personalizar la publicidad, mejorar productos y servicios, predecir comportamientos, y en algunos casos, para manipular opiniones. Y es por eso que cada vez más empresas y organizaciones están interesadas en recopilar y analizar datos.

Pero la recopilación y el análisis de datos personales también pueden conducir a problemas de privacidad. Los datos pueden ser robados por hackers, pueden ser vendidos a terceros sin el conocimiento o consentimiento del individuo, y pueden ser utilizados para decisiones discriminatorias o injustas.

Además, hay un problema de transparencia. Muchas veces, las personas no saben qué datos se están recopilando sobre ellas, cómo se utilizan esos datos y con quién se comparten. Y esto puede llevar a una sensación de pérdida de control sobre la propia información personal.

Protección de los datos personales

Pero, empecemos por el principio. ¿Qué se consideran datos personales? Según el RGPD, datos personales son cualquier información que se refiera a una persona física identificada o identificable. Es decir: nombre, dirección, correo electrónico, teléfono, fecha de nacimiento, DNI, número de la Seguridad Social, información bancaria, información médica, orientación sexual, información genética, datos biométricos, etc.

Ahora que sabemos lo que son, ¿cómo podemos proteger la privacidad de nuestros datos? Existen leyes y regulaciones, como el Reglamento General de Protección de Datos de la UE (el RGPD o, por sus siglas en inglés, el GDPR), que tienen como objetivo su protección.

Es cierto que cuando hablamos del RGPD, a menudo pensamos en las empresas y cómo manejan nuestros datos. Pero el RGPD también afecta a los particulares. Por ejemplo, si recopilas o procesas datos personales como parte de una actividad profesional o comercial, como el alquiler de una propiedad, el RGPD podría aplicarse.

El RGPD, en su ámbito de aplicación, establece, en el punto 2c, que no es aplicable al tratamiento el “efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”. Es decir, para su uso estrictamente privado.

Si compartes en línea datos personales sobre otras personas sin su consentimiento, incluso si es en tu perfil personal, podrías estar infringiendo el RGPD, ya que los datos pasan del ámbito privado al público. Aquí se incluiría el compartir fotos, videos e incluso los mensajes de texto o de correo electrónico que te hayan enviado de forma privada.

En España, el RGPD se aplica junto con la legislación local sobre el derecho a la propia imagen (artículo 18.1 de la Constitución y la Ley Orgánica 1/1982). La ley española es muy clara: cada persona tiene derecho a controlar el uso de su propia imagen. Esto significa que no puedes compartir una imagen de alguien sin su consentimiento, incluso si tú tomaste la foto. Esto se aplica tanto a las de adultos como, con más fuerza aún, a las de menores.

Es importante destacar que estas reglas se aplican independientemente del propósito. Incluso si compartes una foto con las mejores intenciones, como para celebrar un cumpleaños o un logro, si alguna de las personas que salen en ella no te da su consentimiento, puedes estar infringiendo el RGPD y su derecho a la propia imagen.

Pero también es importante que cada individuo tome medidas para proteger sus propios datos personales, como, por ejemplo, ajustar la configuración de privacidad en aplicaciones y servicios en línea, ser cauteloso al compartir información personal y usar tecnologías como la encriptación y las redes virtuales privadas, VPN por sus siglas en inglés.

La privacidad de los datos es un tema importante y complejo en nuestra sociedad basada en datos. Es necesario establecer un equilibrio entre el beneficio de los datos y la protección de la privacidad individual.

Detalles sobre el Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos, o RGPD, es una legislación que fue aprobada por la Unión Europea en 2018 y ha marcado un hito en la forma en que se tratan los datos personales. Establece una serie de reglas estrictas para las empresas y organizaciones que procesan los datos de los ciudadanos de la UE, independientemente de dónde estén ubicadas dichas empresas.

El RGPD se centra en varios principios clave:

• Uno es la transparencia, que exige que las empresas sean claras sobre cómo, por qué y durante cuánto tiempo se utilizarán los datos.
• Otro es el consentimiento, lo que significa que las empresas deben obtener permiso antes de recopilar o utilizar datos personales, y este consentimiento debe ser fácil de retirar.
• Además, establece el derecho al olvido, que permite a los individuos solicitar que sus datos sean borrados.
• Y también está el derecho a la portabilidad de los datos, que permite a las personas pedir que se les entregue una copia de sus datos personales para que puedan trasladarla a otro servicio si así lo desean.

El RGPD exige que las empresas tengan medidas de seguridad adecuadas para proteger los datos que manejan. Y en caso de una violación de datos, las empresas tienen la obligación de informar a las autoridades y a los afectados en un plazo de 72 horas.

El RGPD ha cambiado el paisaje de la privacidad de datos, otorgando a los individuos un mayor control sobre sus datos personales y exigiendo a las empresas un mayor nivel de responsabilidad. Pero, como siempre, la protección de nuestros datos es una responsabilidad compartida. Asegurémonos de estar informados y de hacer nuestra parte.

Ejemplos

Veamos algunos casos cotidianos que muestran cómo el RGPD nos podría afectar en nuestra vida diaria.

Uno de los escenarios más comunes es el uso de fotos, vídeos, audios y mensajes en las redes sociales o en aplicaciones de mensajería. La regla general es que, si eres el creador de la foto, el vídeo o el audio, tienes el derecho de controlar cómo se utiliza. Sin embargo, hay situaciones en las que se pueden aplicar excepciones.

Por ejemplo, imagina que has tomado una foto en una fiesta de amigos y decides publicarla en tu perfil de redes sociales. De acuerdo con el RGPD, estás en tu derecho de hacerlo, ya que tú has creado la foto. Pero si un amigo que aparece en la foto no quiere que se comparta en público, tiene el derecho de pedirte que la retires, porque dicha imagen también contiene sus datos personales, en este caso, su imagen.

Otro escenario podría ser si grabas una conversación sin el consentimiento de la otra persona. Según el RGPD, no tienes derecho a compartir esa grabación con otros, ni siquiera en un grupo de chat privado, sin el consentimiento explícito de la otra persona. Esto es porque la grabación de audio es considerada un dato personal y está protegida por el RGPD.

En el caso de los mensajes, también es importante recordar que, aunque puedes compartir tus propios mensajes libremente, compartir los mensajes de otros, especialmente si contienen información personal, sin su consentimiento, puede infringir las reglas del RGPD e incluso podrías estar cometiendo un delito de revelación de secretos:

El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. Artículo 197.1 de código penal.

Considera el caso de las listas de correo electrónico. Imagina que tienes una pequeña empresa y quieres enviar boletines informativos a tus clientes. De acuerdo con el RGPD, no puedes simplemente agregar todas las direcciones de correo electrónico que tienes a tu lista de envío. Necesitas obtener el consentimiento explícito de cada persona. Esto significa que deben optar por recibir tus correos electrónicos, y debe ser tan fácil para ellos darse de baja como lo fue para optar.

Además, cada correo electrónico que envíes debe incluir información sobre cómo las personas pueden darse de baja de tu lista de correo y cómo pueden solicitar que sus datos sean eliminados de tus registros, de acuerdo con el ‘derecho al olvido’ que establece el RGPD.

En el lugar de trabajo, el RGPD también tiene implicaciones importantes. Por ejemplo, como empleado, tu empleador tiene acceso a una gran cantidad de tus datos personales, desde tu dirección hasta tu número de seguridad social. Pero el RGPD limita lo que pueden hacer con esa información.

No puede compartir tus datos con otras empresas o usarlos para propósitos para los que no hayan obtenido tu consentimiento. Y, por supuesto, tienen la obligación de proteger esos datos y de informarte si hay una violación de datos que pueda afectar tu información personal.

Privacidad de datos personales de menores

Ahora hablemos de un grupo especialmente vulnerable cuando se trata de privacidad de datos: los menores. Los menores son usuarios activos de internet, desde juegos en línea hasta aprendizaje a distancia, y sus datos personales pueden ser tan valiosos, si no más, que los de los adultos.

El RGPD establece protecciones especiales para los datos personales de los menores de edad. Estipula que deben tener al menos 16 años para poder dar su consentimiento para el procesamiento de sus datos personales. Si son menores de esta edad, “tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó”.

Además, los servicios que están dirigidos a los niños y niñas, como los sitios web de juegos o las aplicaciones educativas, deben estar diseñados con un alto nivel de privacidad por defecto. Esto significa que sólo deben recopilar los datos personales que son absolutamente necesarios para proporcionar su servicio y nada más.

Por ejemplo, un sitio web de juegos infantiles no debería requerir su fecha de nacimiento o dirección de correo electrónico para jugar. Si la recopilación de dichos datos es necesaria, por ejemplo, para la creación de una cuenta, entonces el consentimiento de los tutores debe ser obtenido de una manera clara y fácil de entender.

Un tema que no se puede pasar por alto cuando se trata de la privacidad de los datos y los menores es el acto de compartir imágenes de ellos, especialmente nuestros propios hijos e hijas, en las redes sociales. A esto se le ha denominado sharenting, una combinación de las palabras en inglés ‘compartir’ y ‘crianza’.

Podría parecer inofensivo y natural querer compartir los logros y momentos especiales de nuestros vástagos con amigos y familiares. Sin embargo, debemos recordar que una vez que una foto o video es compartido en línea, puede ser difícil controlar quién más lo ve o qué uso se le da.

Además, estamos creando parte de su huella digital sin su consentimiento. El RGPD hace hincapié en el consentimiento informado, lo cual es problemático cuando se trata de menores que pueden no tener la capacidad de comprender completamente qué significa dar su consentimiento para compartir su imagen.

Esto podría tener consecuencias a largo plazo para ellos. Por ejemplo, las imágenes compartidas en línea podrían ser usadas para el ciberacoso, podrían afectar a sus futuras oportunidades de empleo o incluso para cosas perores.

Como padres, educadores y cuidadores, es crucial entender que la privacidad de los menores es un derecho que debemos proteger. Debemos respetar este derecho, aprender a defenderlo y enseñarles cómo pueden protegerse a sí mismos.

Asegurémonos de tener conversaciones con los menores a nuestro cargo sobre privacidad y consentimiento, y de establecer reglas claras sobre lo que se puede y no se puede compartir en línea.

Compartir imágenes de las vacaciones

Un tema que merece especial atención es el de compartir fotos y actualizaciones mientras estamos de vacaciones. Esto es algo muy común, y muchos de nosotros somos culpables de ello. Queremos compartir con nuestros amigos y familiares los lugares hermosos que visitamos y las emocionantes actividades que realizamos. Pero esto puede tener serias implicaciones para nuestra seguridad personal y la de nuestro hogar.

Al publicar fotos de nuestras vacaciones en tiempo real, estamos anunciando públicamente que nuestro hogar puede estar desocupado. Esta información puede ser utilizada por los ladrones para identificar casas que pueden ser blancos fáciles.

Vale, entonces, ¿qué podemos hacer para proteger nuestra privacidad y seguridad mientras disfrutamos de nuestras vacaciones? Primero, considera limitar la audiencia de tus publicaciones de vacaciones. Puedes hacerlo ajustando la configuración de privacidad en tus redes sociales para que sólo tus amigos más cercanos puedan ver tus publicaciones.

Además, podrías considerar compartir tus fotos de vacaciones después de que hayas regresado a casa, en lugar de hacerlo en tiempo real. De esta manera, puedes disfrutar compartiendo tus experiencias sin poner en riesgo la seguridad de tu hogar.

Recuerda, la privacidad de tus datos también se aplica a la información que compartes voluntariamente. Asegúrate de pensar en las posibles implicaciones antes de publicar en línea.

Datos personales de especial protección

No todos los datos personales son iguales a los ojos del RGPD. Algunos tipos de datos están considerados ‘especialmente protegidos’ debido a su naturaleza sensible. Estos incluyen datos relacionados con la salud, la orientación sexual, las creencias religiosas y el origen étnico, entre otros.

Estos datos necesitan un nivel de protección aún mayor debido al riesgo de discriminación que puede surgir si se utilizan incorrectamente. Bajo el RGPD, el procesamiento de estos datos está generalmente prohibido a menos que se cumpla con ciertas condiciones.

Por ejemplo, consideremos los datos médicos. Estos son datos especialmente protegidos porque revelan información muy íntima y personal sobre nuestra salud. El mal uso de esta información puede llevar a discriminación en el empleo, el seguro, o incluso la atención médica.

Bajo el RGPD, los datos médicos solo pueden ser procesados bajo ciertas condiciones, como con el consentimiento explícito del individuo, cuando es necesario para la prestación de servicios de salud, o cuando es necesario para razones de interés público en el área de salud pública.

Conclusión

Como puedes ver, el RGPD y las leyes que regulan el derecho a la propia imagen, tienen un impacto significativo en nuestra vida diaria.

Estas reglas están diseñadas para proteger nuestra privacidad, pero también requieren que seamos respetuosos con la privacidad de los demás. Se trata de respetar los derechos de los otros en el espacio digital, igual que lo haríamos en el mundo físico.

Antes de compartir información personal sobre otras personas, pregúntate si tienes su consentimiento para hacerlo. Y si tienes alguna duda, lo mejor es errar del lado de la precaución.

La próxima vez que vayas a compartir una foto, un vídeo, un audio o un mensaje, piensa en todo esto.