Cada vez que abre una cuenta, realiza una compra o descarga una aplicación, comparte fragmentos de información sobre usted. Algunos de esos datos pueden parecer inofensivos. Otros detalles pueden utilizarse para verificar su identidad, acceder a sus cuentas o cometer fraudes si caen en manos equivocadas.
Comprender qué información le pone en riesgo y cómo puede utilizarse indebidamente es el primer paso para proteger su identidad digital. Cuando sabe a qué prestar atención, resulta más fácil reducir su exposición y mantener el control de sus datos personales.
Lo que debe saber:
- PII incluye detalles obvios como su nombre y número de la Seguridad Social, pero también datos indirectos como el historial de ubicación o los identificadores del dispositivo.
- Algunos PII le identifican directamente, mientras que otros datos se vuelven identificativos cuando se combinan.
- La exposición de PII puede derivar en robo de identidad, fraude, phishing y toma de control de cuentas.
- Se espera que las empresas gestionen PII con cuidado conforme a las leyes de privacidad y protección de datos.
- Puede reducir el riesgo limitando lo que comparte y asegurando sus cuentas. Muchas personas también vigilan posibles usos indebidos.
¿Qué es la información de identificación personal (PII)?
La información de identificación personal (PII) es cualquier información que pueda utilizarse para identificar a una persona de forma directa o indirecta.
Los datos pueden ser particulares de un individuo, como un número de la seguridad social, o pueden ser «cuasiidentificadores», diferentes fragmentos de datos generales, como el lugar y la fecha de nacimiento, que pueden combinarse para identificar a una persona.
PII puede abarcar desde nombres y números de ID hasta direcciones de correo electrónico, direcciones IP y datos de ubicación. Es importante comprender los riesgos de exposición y cómo debe protegerse o eliminarse PII de Internet.
¿Cuáles son ejemplos de información de identificación personal?
PII incluye toda la información que puede identificarle. Algunos puntos de datos pueden parecer inofensivos por sí solos. Pero juntos pueden acotar rápidamente la identidad de alguien. Las investigaciones de Kaspersky muestran que la información de identificación personal se encuentra entre los datos más comúnmente expuestos en brechas, apareciendo en aproximadamente el 43% de los casos, lo que pone de relieve la frecuencia con la que este tipo de datos está en riesgo.
Identificadores directos
Los identificadores directos señalan claramente a una persona específica sin necesidad de contexto adicional. Estos incluyen:
- Datos de tarjetas de crédito
- Números de la seguridad social
- Números del permiso de conducir
- Números y datos del pasaporte
- Información de cuentas bancarias
- Historias clínicas
- Datos biométricos e identificadores como huellas dactilares y datos de reconocimiento facial
Si se exponen, este tipo de información puede conducir rápidamente al robo de identidad o al fraude financiero.
Identificadores indirectos (cuasiidentificadores)
Los identificadores indirectos o cuasiidentificadores pueden ser menos obvios. Incluyen:
- Códigos ZIP
- Raza
- Religiones
- Género
- Fechas de nacimiento
- Lugares de nacimiento
- Nombre completo
- Información y trayectoria laboral
- Detalles de educación
- Dirección de correo electrónico o dirección postal
- Números de teléfono
- Apellido de soltera de la madre
- Información biográfica, como detalles de padres, hermanos, pareja e hijos
- Direcciones IP e identificadores relacionados con el dispositivo recopilados en línea
Aunque estos detalles puedan parecer rutinarios, vincularlos puede revelar más de lo esperado y aumentar el riesgo.
¿Qué es PII en la sanidad?
PII suele denominarse información sanitaria protegida (PHI) en el ámbito sanitario. PHI incluye datos médicos o relacionados con la salud que pueden vincularse a una persona concreta en virtud de leyes como HIPAA en Estados Unidos.
PHI suele combinar PII básica (nombre o fecha de nacimiento) con detalles médicos como diagnósticos, historiales de tratamiento, recetas o información del seguro. Conectar estas piezas puede proporcionar mucha información sobre una persona.
Para los pacientes, esto afecta potencialmente a portales en línea, reclamaciones al seguro, sistemas de citas y registros de facturación. Dado que los datos de salud son personales y duraderos, proteger PHI es fundamental para prevenir el robo de identidad o el uso indebido de historiales médicos.
¿Cuál es la diferencia entre PII sensible y no sensible?
La diferencia depende del impacto. La sensibilidad depende de cuántos daños podrían producirse si la información se expone.
PII sensible puede conducir directamente al robo de identidad o al fraude financiero. PII no sensible puede parecer inofensiva por sí sola y depende de otros datos para proporcionar una identidad precisa.
Los números del pasaporte o del permiso de conducir se consideran sensibles. Pueden ser perjudiciales por sí solos si se exponen. Su historial laboral o educativo son ejemplos no sensibles de PII.
Incluso los datos «no sensibles» pueden volverse peligrosos cuando se combinan. Por ejemplo, un nombre más la fecha de nacimiento y la ubicación pueden acotar rápidamente la identidad. Por otro lado, una dirección IP por sí sola puede no identificar claramente a una persona. Pero cuando se vincula a registros de acceso y huellas del dispositivo, puede señalar a un usuario concreto.
¿Por qué los delincuentes se dirigen a la información de identificación personal?
Los delincuentes apuntan a PII porque puede utilizarse para muchas formas de fraude y toma de control de cuentas.
La información robada puede utilizarse directamente para acceder a cuentas financieras o restablecer contraseñas. También puede agruparse y venderse o intercambiarse en la dark web a otros que llevan a cabo estafas. PII es muy valiosa para los estafadores.
Para las víctimas, el resultado puede incluir pérdidas económicas y problemas a largo plazo como el deterioro del historial crediticio. Recuperar las cuentas y la identidad puede ser un proceso largo y difícil.
¿Cómo se roba PII?
PII suele robarse a través de canales cotidianos en lugar de ataques complejos.
La vía más común es el phishing o el smishing. Un correo electrónico o SMS falsos le piden que haga clic en un enlace o confirme datos, pero en realidad es una forma de robar sus datos para usarlos o venderlos. Las estafas de ingeniería social funcionan del mismo modo, utilizando la presión y la supuesta urgencia para lograr que comparta información directamente.
Las brechas de datos y los ataques de malware son otra fuente importante. Cuando las empresas son hackeadas, los datos importantes de las cuentas de sus clientes pueden quedar expuestos de forma masiva. Esto puede suceder incluso a compañías de reconocimiento mundial. Por ejemplo, un error reciente en la programación de una aplicación de préstamos de PayPal dejó expuestos los datos de algunos clientes durante muchos meses.
PII también puede quedar expuesta por la pérdida de dispositivos o por redes Wi‑Fi públicas no seguras. Una conexión no segura puede dar a los atacantes acceso a cuentas almacenadas y credenciales guardadas.
Señales de alerta a tener en cuenta:
- Mensajes que solicitan confirmación urgente de datos de cuenta o de pago
- Solicitudes para compartir códigos de un solo uso o contraseñas
- Redes Wi‑Fi públicas sin contraseñas
- Cargos inesperados o notificaciones de inicio de sesión
También debe prestar atención a las noticias (de fuentes fiables) sobre brechas de datos que afecten a servicios que utiliza.
Proteja sus datos sensibles
Kaspersky Premium ofrece varias herramientas diseñadas para proteger su PII, incluidas herramientas para proteger datos sensibles mediante el cifrado de archivos y el uso de contraseñas seguras y una VPN segura para mantener privada su conexión.
Pruebe Premium gratis¿Qué leyes protegen la información de identificación personal?
Varias leyes en todo el mundo están diseñadas para proteger los datos personales y otorgar a las personas ciertos derechos sobre su información. Cada país establece sus propias leyes sobre estos datos, pero puede basarse en marcos comunes.
- GDPR (Reglamento General de Protección de Datos) otorga a las personas en la EU el derecho a acceder, rectificar y solicitar la supresión de sus datos personales.
- CCPA/CPRA (California Consumer Privacy Act y California Privacy Rights Act) permiten a los residentes de California saber qué datos se recopilan sobre ellos y solicitar que se eliminen o no se vendan.
- La Privacy Act de 1974 regula cómo las agencias federales de EE. UU. recopilan y utilizan la información personal.
- HIPAA (Health Insurance Portability and Accountability Act) protege la información relacionada con la salud manejada por proveedores médicos y aseguradoras.
- PCI DSS (Payment Card Industry Data Security Standard) establece requisitos de seguridad para las empresas que manejan datos de tarjetas de pago.
- PDPA (Singapore Personal Data Protection Act) establece normas para la recopilación, el uso y la divulgación de datos en Singapur.
- POPIA (Protection of Personal Information Act de Sudáfrica) establece condiciones para el tratamiento lícito de datos personales.
- PDPL (Personal Data Protection Law de Arabia Saudí) entró plenamente en vigor en 2024. Proporciona derechos y obligaciones de protección de datos dentro del Reino de Arabia Saudí.
¿Cómo puede proteger su información de identificación personal?
Proteger su PII significa reducir cuánto de ella queda expuesta y, además, dificultar que los atacantes utilicen lo que encuentren. Hay varios métodos sencillos que puede aplicar para combatir la toma de control de cuentas y el uso indebido de la identidad.
Refuerce la seguridad de las cuentas
Utilice contraseñas seguras y únicas para cada cuenta y guárdelas en un gestor de contraseñas para mayor seguridad. Active la autenticación multifactor siempre que sea posible para añadir otra capa de seguridad.
Asegúrese de comprobar si hay credenciales filtradas mediante alertas de brechas y cambie con rapidez las contraseñas expuestas.
Limite lo que comparte en línea
Revise la privacidad en redes sociales y elimine detalles públicos innecesarios: piense qué quiere realmente que sea público. Evite publicar su fecha completa de nacimiento, su dirección particular o su ubicación en tiempo real.
Tenga cuidado con cualquier cosa que le anime a compartir información. Esto puede incluir cuestionarios o publicaciones que se parezcan a preguntas de seguridad. Pueden ser estafas, creadas específicamente para recopilar su información.
Asegure dispositivos y conexiones
Utilice configuraciones y tecnologías de seguridad para garantizar que está lo más protegido posible. Es buena idea mantener los dispositivos actualizados y usar bloqueos de pantalla y cifrado integrado.
También recomendamos usar una VPN en redes Wi‑Fi públicas para reducir los riesgos de interceptación. Las conexiones públicas conllevan riesgos.
Reduzca el rastreo y la recopilación de datos
El rastreo es otra amenaza para su información. Ajuste la configuración de privacidad y limite las cookies de terceros para restringir cómo se rastrean su conexión a Internet y los detalles de su dispositivo. Revise los permisos de las aplicaciones y desactive el rastreo o las funciones de vigilancia innecesarias que puedan comprometer sus datos.
Restringa, por ejemplo, el acceso a la ubicación para las aplicaciones que no lo necesiten, para reducir la posibilidad de que sus datos se rastreen y se utilicen para identificarle.
Los expertos también recomiendan optimizar la configuración de privacidad del navegador: desactivar las cookies de terceros, impedir el rastreo por sitios web, limitar los anuncios, borrar periódicamente el historial de navegación (incluidas cookies y cachés) y eliminar extensiones innecesarias.
Supervise posibles usos indebidos de la identidad
A menudo compensa ser observador y configurar alertas para sus cuentas. Active alertas de transacciones en cuentas bancarias y de tarjetas para poder ver cuándo se gasta dinero. Es buena idea comprobar periódicamente los informes de crédito para detectar actividad desconocida. En US, las «tres grandes» agencias de crédito, Experian, TransUnion y Equifax, proporcionan informes gratuitos.
Los servicios de monitorización de identidad o de limpieza de datos pueden aportar visibilidad adicional si desea una supervisión continua de su información.
¿Cómo puede eliminar su información personal de Internet?
Eliminar PII en línea es posible, pero puede ser un proceso más que una solución puntual. El objetivo es reducir la exposición en los lugares que más importan.
Los principales consejos incluyen:
- Eliminar o desactivar cuentas que no use. Los foros antiguos y las aplicaciones a menudo almacenan datos personales que ya no necesita en línea. Las redes sociales pueden almacenar mucha información. Elimine sus datos de estos servicios cuando sea posible.
- Endurecer la privacidad en redes sociales. Limite quién puede ver su perfil y qué información se hace pública. Elimine detalles personales como números de teléfono o fechas completas de nacimiento.
- Solicitar eliminaciones. Pida a los propietarios de sitios web que borren información desactualizada o innecesaria sobre usted. También puede solicitar la eliminación de ciertos datos personales de los resultados de los motores de búsqueda cuando proceda.
- Exclusión de intermediarios de datos. Muchas empresas recopilan y revenden datos personales. Puede presentar solicitudes de exclusión directamente o utilizar un servicio de eliminación de confianza si su información aparece ampliamente listada.
- Revisitar su PII en línea. La información personal puede reaparecer con el tiempo. Es fundamental revisar y limpiar periódicamente en lugar de tratar la eliminación como una tarea de una sola vez.
¿Qué debe hacer si se expone su PII?
Si se expone su PII, trate de no entrar en pánico. Priorice pasos que limiten más accesos y reduzcan el daño económico.
- Asegure primero sus cuentas. Cambie las contraseñas, especialmente del correo electrónico. Active la autenticación multifactor (MFA) cuando sea posible.
- Compruebe si hay actividad no autorizada. Revise los inicios de sesión en cuentas y las transacciones recientes, además de si se han cambiado los ajustes de seguridad.
- Contacte con su banco o emisor de tarjeta. Informe de cargos sospechosos y pregunte por protecciones adicionales.
- Congele su crédito si es necesario. Un congelamiento de crédito puede impedir que se abran nuevas cuentas a su nombre hasta que asegure sus datos.
- Supervise extractos y alertas. Vigile la actividad financiera y de las cuentas para detectar usos indebidos continuados.
- Denuncie el robo de identidad. En UK, por ejemplo, es fácil presentar una denuncia ante la unidad Prevent Fraud de la policía o llamar al 0300 123 2040.
Tenga cuidado con las estafas posteriores. A veces los atacantes se hacen pasar por servicios de «recuperación» o equipos de seguridad tras una brecha. Verifique siempre de forma independiente antes de compartir más información.
Artículos relacionados:
- ¿Cuáles son los riesgos asociados a la filtración de datos?
- ¿Cómo puede proteger mejor su privacidad frente a las amenazas en línea?
- ¿Cuáles son las principales causas de una brecha de datos?
- ¿Cómo afecta Internet a la privacidad individual y a la protección de datos?
Productos recomendados:
FAQ
¿Se considera una dirección IP como PII?
Por sí sola, una dirección IP puede no identificar directamente a una persona, pero cuando se vincula a otros datos o registros de cuenta, puede volverse identificable personalmente.
¿Cuál es la diferencia entre PII y datos personales?
PII es un término comúnmente utilizado para describir información identificable. «Datos personales» es un término más amplio utilizado en normativas como GDPR y puede incluir tipos adicionales de datos.
¿Cuál es la diferencia entre PII y PHI?
PII abarca información general de identificación. PHI se refiere específicamente a información relacionada con la salud vinculada a una persona y está protegida por leyes como HIPAA.
¿Se puede eliminar por completo su PII de Internet?
La eliminación total rara vez es posible. La supervisión continua y la limpieza periódica suelen ser enfoques más realistas.
