Las nuevas tecnologías de la información de las últimas décadas han facilitado el rápido acceso a múltiples servicios de gestión y análisis de datos, transacciones bancarias y demás aplicaciones para los usuarios de internet. Gracias a esto, se han desarrollado mejores mecanismos para la productividad de las empresas y que han fomentado la especialización del trabajo en las organizaciones. No obstante, al mismo tiempo que se han beneficiado millones de usuarios, han surgido amenazas a la seguridad sumamente lucrativas para los atacantes que hacen uso de los datos resguardados en distintos servidores, así como la recopilación ilícita de información no solicitada al usuario y que puede ser sensible. En este artículo se exploran distintos efectos de las amenazas a la seguridad web y las recomendaciones de los expertos informáticos para resguardar los datos personales de formas adecuadas y priorizando la privacidad de los usuarios.

Aunque el nombre pueda indicar una interpretación simple, es cierto que, al igual que la seguridad, conlleva a un nivel de especificidad propio de un concepto jurídico complejo. Por ejemplo, la ciberseguridad es interpretada por el Derecho Internacional como una doctrina de las relaciones entre los Estados para convenir en la estabilidad del ciber-espacio, lugar en el que se desarrollan relaciones de ciber-poder. Este concepto de ciberseguridad se plantea desde el punto de vista de las amenazas a la estabilidad de las actividades estatales en el espacio virtual y en las redes de internet, así como los posibles delitos de diversos impactos. Sin embargo, los expertos informáticos plantean la ciberseguridad en el ámbito de las actividades individuales cibernéticas y de su estabilidad y protección de atacantes privados.

Si bien puede apuntarse como tarea de los gobiernos la protección de los ciudadanos en todos los espectros de la realidad, la gran velocidad con la que se descubren las distintas vulnerabilidades de los sistemas informáticos y la numerosa cantidad de plataformas web hacen casi imposible la revisión continua de las autoridades competentes. Esto no implica que no se pueda someter a jurisdicción de un Estado las actividades en el ciberespacio, pues a menudo se territorializan las redes y conexiones de los usuarios, estableciendo la posibilidad de ejercer acciones correctivas a las actividades ilícitas. Es por eso que queda en manos de los usuarios denunciar y protegerse de algunas de las estrategias más comunes para cometer delitos cibernéticos. De acuerdo con Cisco (2021), las amenazas a la ciberseguridad más frecuentes son:

• La suplantación de identidad o phishing, que consiste en el envío de correos electrónicos que buscan emular la identidad de alguna institución u organización para robar datos sensibles.
• Ransomware, que consiste en el secuestro de los archivos de un sistema y en el que se exige una suma monetaria a cambio de la recuperación de los datos
• Malware, que son programas informáticos que buscan obtener acceso a información sensible o causar daños
• Ingeniería social, que consiste en engañar a los usuarios para solicitar información personal con el fin de revelar dichos datos.

Por ende, se puede entender a la ciberseguridad como la práctica de proteger a los sistemas de cómputo de ataques y amenazas a la integridad de sus mecanismos de protección. Esto implica que el principal objetivo de las amenazas más riesgosas está relacionado con la obtención de datos personas y de información sensible de los usuarios.

Los datos personales y su protección

Siendo los datos personales el principal objetivo de muchos de los ciber-atacantes, deben tenerse en cuenta los distintos mecanismos que existen para la protección de la información recopilada, ya que en caso de existir alguna brecha de seguridad se puede fincar responsabilidades a quienes alojan dichos datos.

Los datos personales son información relacionada con personas físicas que la hacen identificable y se categoriza en datos sensibles, que informan sobre los aspectos más íntimos de las personas como origen étnico, estado de salud, etc.; y los datos patrimoniales, que informan de la capacidad económica de las personas. Estos dos tipos de datos requieren de una protección especial por parte de las instituciones y de los sujetos obligados.

En el caso de México, la legislación en materia de la protección de datos personales está vinculada con la conceptualización de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), basados en la protección de la privacidad y que obliga a los particulares a protegerlos y respetarlos. El artículo 16 de a Constitución Política de los Estados Unidos Mexicanos establece el derecho a la privacidad como un derecho humano e impone diversas obligaciones para su protección.

Es por eso que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares regula las obligaciones de quienes poseen dicha información y brinda instrumentos para el conocimiento de los usuarios sobre sus datos. Esta ley también considera que el resguardo de los derechos ARCO será una obligación de quienes establezcan una relación con las personas físicas, por lo que el vínculo entre las dos partes está sujeta al derecho privado.

La protección de los datos desde las empresas

Teniendo en cuenta que la responsabilidad de la protección de los datos personales corre a cuenta de los particulares y está observada por instancias gubernamentales, es fundamental identificar las principales recomendaciones de los expertos para resguardar la información de los usuarios. Las estrategias de ciberseguridad más comunes son 6:

• Seguridad de red: consta de proteger las redes informáticas de atacantes o malware
• Seguridad de las aplicaciones: busca mantener el software de los equipos libres de amenazas. Esta etapa comienza en la planeación del sistema informático
• Seguridad de la información: esta estrategia busca proteger la privacidad de los datos en el almacenamiento y en el tránsito
• Seguridad operativa: este tipo de seguridad también incluye la protección de los datos, pero parte desde la formulación de los procesos y permisos que tienen los usuarios para acceder a una red
• Recuperación de desastres: incluyen políticas de recuperación ante desastres que establecen la restauración de la capacidad operativa tras un evento de vulnerabilidad
• Capacitación del usuario final: implica buenas prácticas de seguridad en los usuarios de los sistemas para evitar caer en los engaños más comunes.

Si bien no existen manuales para la protección de datos ante ataques específicos, es fundamental entender y asumir la responsabilidad que se conviene con los particulares cuando se trata del manejo de datos personales. Haciendo esto es posible implementar mecanismos para blindar servidores, equipos de cómputo y fomentar las mejores prácticas informáticas entre los miembros de la organización, todo esto mediante la asesoría de expertos en protección de sistemas computacionales y una vigilancia constante a las vulnerabilidades internas.