Para evitar las fugas de información no pública, especialmente si es sensible (como contraseñas o direcciones de contacto de cualquier tipo), es necesario guardar la información cifrada (en el caso de las contraseñas, no hay que tener copia, sino resúmenes digitales bien configurados), limitar las direcciones desde las que se permite interactuar con las API que las gestionan, limitar el número de entradas simultáneas con las que operan estas API, salvo excepciones bien controladas para labores de mantenimiento, y establecer alertas para los accesos que intenten superar estos límites, con posibles bloqueos automáticos. A ser posible, estos controles deben establecerse a nivel de API y de bases de datos, para evitar volcados directos de la información.
"Las copias de seguridad siempre deben estar cifradas y almacenadas en lugares no accesibles al público"
Es muy importante no olvidarse de proteger las copias de seguridad, que tienen la información en bruto. Siempre deben estar cifradas (y no basta con activar la casilla de almacenamiento cifrado de los proveedores de servicios en la nube, que protegen frente al robo físico de los dispositivos), y almacenadas en lugares no accesibles al público, lo que debe comprobarse mediante monitorización.
La protección de las claves de cifrado es fundamental, y su acceso debe de estar limitado y monitorizado, con alertas en caso de detectar intentos de acceso anómalos.
En cualquiera de los casos, es extremadamente importante contar con un registro de actividades que nos permita investigar cualquier incidente y poder mejorar los controles de seguridad. No podemos olvidarnos de registrar las operaciones que realiza el personal propio, y también que el personal, especialmente el de atención al público, que tiene acceso a las herramientas de administración, debe estar formado sobre ingeniería social y phishing.
Para limitar la posibilidad de hacer scraping sobre los datos públicos, es muy recomendable que la información pública de los usuarios que esté accesible de forma anónima sea muy limitada, y que la creación de nuevas cuentas sea difícil de automatizar (p. ej, usando captchas), así como limitar el número de accesos simultáneos a una misma cuenta. Si esto no es posible, se pueden considerar la detección y el bloqueo de intentos de scraping mediante análisis de las consultas realizadas a las API o a las bases de datos con sistemas de Machine Learning, para detectar patrones abusivos.
"Tanto la recopilación de datos, como su almacenamiento, cruce de datos y posterior venta o alquiler, son acciones que constituyen un tratamiento de datos personales"
Protección de datos y su venta. Por otro lado, desde el punto de vista legal, tanto la recopilación de datos, como su almacenamiento, cruce de datos y posterior venta o alquiler, son acciones que constituyen un tratamiento de datos personales. Y por ello resultan de aplicación los requisitos del Reglamento general de protección de datos (RGPD), que exigen que el tratamiento sea lícito, es decir, que se cumpla con alguna de las condiciones que se recogen en su articulado para que el tratamiento sea legítimo. Esta responsabilidad recae tanto en el vendedor como en el comprador. Por ejemplo, al adquirir una base de datos cuya legitimación sea el consentimiento, debe asegurarse que este consentimiento fue informado, incluyendo la posibilidad de transmitir los datos a otros destinatarios para su propia mercadotecnia directa
No contar con una base legitimadora para el tratamiento de los datos es con diferencia la causa de infracción más común de las sanciones impuestas por la AEPD. En particular en relación con el uso indebido de bases de datos para publicidad, tenemos ejemplos como la sanción de 45.000 libras de multa por recolectar datos de LinkedIn para ofrecer planes de pensiones, o la sanción récord a Vodafone de 8,1 millones de euros (que ya han anunciado que recurrirán), por incumplir los requisitos relativos a las acciones comerciales: recogida de consentimientos, bases legitimadoras para los envíos, facilitar el ejercicio de los derechos de oposición de clientes, promociones realizadas por terceros, uso de las listas Robinson, falta de control en los tratamientos, etc, entre ellas, no haber acreditado que se disponga de consentimiento expreso para recibir ofertas comerciales a través de comunicaciones electrónicas (correo electrónico o SMS) por los receptores de las mismas.
En cuanto a las medidas que pueden aplicar los usuarios, lo más importante es no reutilizar la misma contraseña en sitios distintos, ni utilizar patrones fácilmente reconocibles (como alkj479hf-facebook, alkj479hf-linkedin…), habilitar el doble factor de autenticación siempre que esté disponible (evitando que sea por SMS, que es poco seguro) y usar un buen gestor de contraseñas.
Autores: José Couto y Carmen Troncoso de Paradigma Digital
Si (
No(
