Nuestros datos tienen un inmenso valor en Internet, gigantes como Google o Meta basan su negocio en ellos, de la misma manera que lo hacen muchas organizaciones cibercriminales. Desafortunadamente para una gran parte de los internautas no existe aún la consciencia de ese valor y se siguen regalando indiscriminadamente estos datos en redes sociales u otros servicios presentados como gratuitos, sin ir más lejos. Vamos a ver qué significan algunos acrónimos que veremos repetidamente en incidentes relacionados con el robo de datos.
La (in)cultura de postear todos nuestros datos online no hace más que contribuir al mayor enriquecimiento de estas grandes empresas y a permitir que tengan un perfil aún más exacto de nosotros mismos, cuyas peores consecuencias están aún por venir por mucha aparente regulación que exista sobre el tema. Por otro lado estos mismos datos permiten a cibercriminales cometer todo tipo de delitos, desde cosas aparentemente sin importancia hasta suplantar nuestra identidad.
Tanto el GDPR a nivel europeo como las leyes estadounidenses definen una serie de conceptos en los que podemos dividir nuestros datos y con los que nos vamos a encontrar repetidamente al repasar incidentes de seguridad, estos son PII, PHI y PSI, vamos a ver qué significan.
Información personal identificable (PII)
En este caso hablamos de cualquier información que pueda ayudarnos a identificar positivamente a una persona. Hablamos de datos como el nombre, número de la seguridad social, número de tarjeta de crédito, número de la cuenta bancaria, DNI, dirección o teléfono.
Esta información puede ser utilizada para suplantar nuestra identidad al contratar servicios o darnos de baja de los mismos, ser utilizada en ataques de ingeniería social, etc...obviamente es información que se vende para estas actividades.
Registros sanitarios personales (PHI)
Asociado a la información PII, encontramos la PHI, hablamos de nuestra información médica y biológica. Ahora que comienzan a existir ciertos portales en los que podemos consultar nuestro historial médico nos podemos hacer una buena idea de la cantidad de datos sanitarios que pululan por multitud de bases de datos y sistemas y que pueden ir desde el último medicamento que nos han recetado, hasta nuestra información genética, pasando por resultados de análisis etc... Esto por ejemplo podría ser oro para aseguradoras que cayeran en la tentación de comprar estos datos.
Información personal de seguridad (Personal Security Information PSI)
En este otro subset de PII, encontramos nuestras credenciales y cualquier otro tipo de información que nos permita acceder a servicios. Por lo general el acceso a cuentas privadas se realiza a través de datos PSI robados o supuestos.
De nuevo enfatizar la importancia de publicar el mínimo indispensable de datos privados online para a la vez reducir la superficie de ataque que podamos sufrir.. un saludo.