Cada vez que abre una cuenta, realiza una compra o descarga una app, comparte fragmentos de información sobre usted. Parte de esos datos puede parecer inofensiva. Otros detalles pueden usarse para verificar su identidad, acceder a sus cuentas o cometer fraudes si caen en manos equivocadas.
Comprender qué información lo pone en riesgo y cómo puede ser mal utilizada es el primer paso para proteger su identidad digital. Cuando sabe qué vigilar, se vuelve más fácil reducir su exposición y mantener el control de sus datos personales.
Lo que necesita saber:
- PII incluye datos evidentes como su nombre y número de Seguro Social, pero también datos indirectos como el historial de ubicación o identificadores de dispositivos.
- Algunos PII lo identifican directamente, mientras que otros datos se vuelven identificadores cuando se vinculan entre sí.
- La exposición de PII puede derivar en robo de identidad, fraude, phishing y toma de control de cuentas.
- Se espera que las empresas manejen PII con cuidado conforme a las leyes de privacidad y protección de datos.
- Puede reducir el riesgo limitando lo que comparte y asegurando sus cuentas. Muchas personas también monitorean su uso indebido.
¿Qué es la información de identificación personal (PII)?
La información de identificación personal (PII) es cualquier información que pueda utilizarse para identificar a una persona directa o indirectamente.
Los datos pueden ser particulares de un individuo, como un número de seguro social, o pueden ser “cuasiidentificadores”, distintos fragmentos de datos generales, como el lugar y la fecha de nacimiento, que pueden combinarse para identificar a una persona.
PII puede abarcar desde nombres y números de ID hasta direcciones de correo electrónico, direcciones IP y datos de ubicación. Es importante entender los riesgos de exposición y cómo debe protegerse o eliminarse PII de internet.
¿Cuáles son ejemplos de información de identificación personal?
PII incluye toda la información que puede identificarlo. Algunos puntos de datos pueden parecer inofensivos por sí solos. Pero en conjunto, pueden acotar la identidad de alguien rápidamente. La investigación de Kaspersky muestra que la información de identificación personal es de los datos más comúnmente expuestos en brechas, apareciendo en alrededor del 43% de los casos, lo que resalta cuán a menudo este tipo de datos está en riesgo.
Identificadores directos
Los identificadores directos apuntan claramente a una persona específica sin necesidad de contexto adicional. Estos incluyen:
- Datos de tarjeta de crédito
- Números de seguro social
- Números de licencia de conducir
- Números y datos de pasaporte
- Información de cuentas bancarias
- Registros médicos
- Datos biométricos e identificadores como huellas dactilares y datos de reconocimiento facial
Si se exponen, este tipo de información puede conducir rápidamente al robo de identidad o al fraude financiero.
Identificadores indirectos (cuasiidentificadores)
Los identificadores indirectos o cuasiidentificadores pueden ser menos obvios. Incluyen:
- Códigos ZIP
- Raza
- Religiones
- Género
- Fechas de nacimiento
- Lugares de nacimiento
- Nombre completo
- Información y antecedentes laborales
- Detalles de educación
- Dirección de correo electrónico o dirección postal
- Números de teléfono
- Apellido de soltera de la madre
- Información biográfica: como detalles de padres, hermanos, parejas e hijos
- Direcciones IP e identificadores relacionados con dispositivos recopilados en línea
Aunque estos detalles puedan parecer rutinarios, vincularlos puede revelar más de lo esperado y aumentar el riesgo.
¿Qué es PII en el sector salud?
En un entorno de atención médica, a PII a menudo se le denomina información de salud protegida (PHI). PHI incluye datos médicos o relacionados con la salud que pueden vincularse a una persona específica conforme a leyes como HIPAA en los Estados Unidos.
PHI normalmente combina PII básica (nombre o fecha de nacimiento) con detalles médicos como diagnósticos, historiales de tratamiento, recetas o información de seguros. Conectar estas piezas puede proporcionar mucha información sobre una persona.
Para los pacientes, esto afecta potencialmente los portales en línea, las reclamaciones de seguros, los sistemas de citas y los registros de facturación. Debido a que los datos de salud son personales y duraderos, proteger PHI es fundamental para prevenir el robo de identidad o el uso indebido de registros médicos.
¿Cuál es la diferencia entre PII sensible y no sensible?
La diferencia se reduce al impacto. La sensibilidad depende de cuán grave podría ser el daño si la información se expone.
PII sensible puede conducir directamente al robo de identidad o al fraude financiero. PII no sensible puede parecer inofensiva por sí sola y depende de otros datos para proporcionar una identidad precisa.
Los números de pasaporte o de licencia de conducir se consideran sensibles. Pueden ser perjudiciales por sí solos si se exponen. Su historial laboral o educativo son ejemplos no sensibles de PII.
Incluso los datos “no sensibles” pueden volverse peligrosos cuando se vinculan. Por ejemplo, un nombre más la fecha de nacimiento y la ubicación pueden acotar la identidad rápidamente. De manera similar, una dirección IP por sí sola puede no identificar claramente a una persona. Pero, cuando se vincula con registros de inicio de sesión y huellas digitales del dispositivo, puede señalar a un usuario específico.
¿Por qué los delincuentes apuntan a la información de identificación personal?
Los delincuentes apuntan a PII porque puede usarse para muchas formas de fraude y toma de control de cuentas.
La información robada puede usarse directamente para acceder a cuentas financieras o restablecer contraseñas. También puede agruparse y venderse o intercambiarse en la dark web a otros que ejecutan estafas. PII es muy valiosa para los estafadores.
Para las víctimas, el resultado puede incluir pérdidas financieras y problemas a largo plazo, como crédito dañado. Recuperar cuentas y la identidad puede ser un proceso largo y difícil.
¿Cómo se roba PII?
PII generalmente se roba a través de canales cotidianos en lugar de ataques complejos.
La ruta más común es el phishing o el smishing. Un correo electrónico o mensaje de texto falso le pide hacer clic en un enlace o confirmar datos, pero en realidad es una forma de robarle información para usarla o venderla. Las estafas de ingeniería social funcionan de la misma manera al usar presión y una aparente urgencia para lograr que comparta información directamente.
Las brechas de datos y los ataques de malware son otra fuente importante. Cuando las empresas son hackeadas, los datos importantes de las cuentas de sus clientes pueden exponerse en masa. Esto incluso puede suceder con empresas reconocidas a nivel global. Por ejemplo, un error reciente en el código de una app de préstamos de PayPal dejó expuestos los datos de algunos clientes durante muchos meses.
PII también puede exponerse por dispositivos perdidos o Wi‑Fi público inseguro. Una conexión no segura puede dar a los atacantes acceso a cuentas almacenadas y credenciales guardadas.
Señales de alerta a tener en cuenta:
- Mensajes que piden confirmación urgente de datos de cuenta o de pago
- Solicitudes para compartir códigos de un solo uso o contraseñas
- Redes Wi‑Fi públicas no seguras sin contraseñas
- Cargos inesperados o notificaciones de inicio de sesión
También debe prestar atención a noticias (de fuentes confiables) sobre brechas de datos que involucren servicios que usted utiliza.
Proteja sus datos sensibles
Kaspersky Premium ofrece varias herramientas diseñadas para proteger su PII, incluidas herramientas para proteger datos sensibles mediante el cifrado de archivos y el uso de contraseñas seguras y una VPN segura para mantener su conexión privada.
Pruebe Premium gratis¿Qué leyes protegen la información de identificación personal?
Varias leyes en todo el mundo están diseñadas para proteger los datos personales y otorgar a las personas ciertos derechos sobre su información. Los países crean sus propias leyes sobre estos datos, pero pueden usar marcos similares.
- GDPR (Reglamento General de Protección de Datos) otorga a las personas en el EU el derecho a acceder, corregir y solicitar la eliminación de sus datos personales.
- CCPA/CPRA (California Consumer Privacy Act y California Privacy Rights Act) permiten a los residentes de California saber qué datos se recopilan sobre ellos y solicitar que se eliminen o no se vendan.
- La Ley de Privacidad de 1974 regula cómo las agencias federales de EE. UU. recopilan y usan información personal.
- HIPAA (Health Insurance Portability and Accountability Act) protege la información relacionada con la salud manejada por proveedores médicos y aseguradoras.
- PCI DSS (Payment Card Industry Data Security Standard) establece requisitos de seguridad para las empresas que manejan datos de tarjetas de pago.
- PDPA (Singapore Personal Data Protection Act) establece reglas para la recopilación, el uso y la divulgación de datos en Singapur.
- POPIA (Protection of Personal Information Act de Sudáfrica) establece condiciones para el procesamiento legal de datos personales.
- PDPL (Personal Data Protection Law de Arabia Saudita) entró plenamente en vigor en 2024. Proporciona derechos de protección de datos y obligaciones dentro del Reino de Arabia Saudita.
¿Cómo puede proteger su información de identificación personal?
Proteger su PII significa reducir cuánto de ella está expuesta y dificultar que los atacantes usen lo que encuentren. Hay varios métodos simples que puede implementar para afrontar la toma de control de cuentas y el uso indebido de la identidad.
Refuerce la seguridad de las cuentas
Use contraseñas fuertes y únicas para cada cuenta y almacénelas en un administrador de contraseñas para mayor seguridad. Active la autenticación multifactor siempre que sea posible para agregar otro nivel de seguridad.
Asegúrese de verificar si hay credenciales filtradas mediante alertas de brechas y cambie rápidamente las contraseñas expuestas.
Limite lo que comparte en línea
Revise la privacidad en redes sociales y elimine detalles públicos innecesarios: piense en lo que realmente quiere que sea público. Evite publicar su fecha completa de cumpleaños, su dirección de hogar o su ubicación en tiempo real.
Tenga cuidado con cualquier cosa que lo aliente a compartir información. Esto puede incluir cuestionarios o publicaciones que se parezcan a preguntas de seguridad. Pueden ser estafas, hechas específicamente para recopilar su información.
Asegure dispositivos y conexiones
Use configuraciones y tecnologías de seguridad para asegurarse de estar lo más protegido posible. Es una buena idea mantener los dispositivos actualizados y usar bloqueos de pantalla y cifrado integrado.
También recomendamos usar una VPN en Wi‑Fi público para reducir los riesgos de interceptación. Las conexiones públicas conllevan riesgos.
Reduzca el rastreo y la recopilación de datos
El rastreo es otra amenaza para su información. Ajuste la configuración de privacidad y limite las cookies de terceros para restringir cómo se rastrean su conexión a internet y los detalles de su dispositivo. Revise los permisos de las apps y desactive el rastreo o las funciones de monitoreo innecesarias que puedan comprometer sus datos.
Restrinja, por ejemplo, el acceso a la ubicación para apps que no lo necesitan, para reducir la posibilidad de que sus datos se rastreen y usen para identificarlo.
Los expertos también recomiendan optimizar la configuración de privacidad del navegador: deshabilitar cookies de terceros, impedir el rastreo de sitios web, limitar anuncios; limpiar regularmente historiales de navegación (incluidas cookies y cachés) y eliminar extensiones innecesarias.
Monitoree el uso indebido de su identidad
A menudo conviene ser observador y configurar alertas para sus cuentas. Habilite alertas de transacciones en cuentas bancarias y tarjetas de crédito para ver cuándo se gasta dinero. Es buena idea revisar periódicamente los informes de crédito para detectar actividad desconocida. En el US, las “tres grandes” agencias de crédito, Experian, TransUnion y Equifax, proporcionan informes gratuitos.
Los servicios de monitoreo o depuración de identidad pueden ofrecer visibilidad adicional si desea supervisión continua de su información.
¿Cómo puede eliminar su información personal de internet?
Eliminar PII en línea es posible, pero puede ser un proceso y no una solución única. El objetivo es reducir la exposición en los lugares que más importan.
Los principales consejos incluyen:
- Eliminar o desactivar cuentas que no use. Los foros antiguos y las apps suelen almacenar detalles personales que ya no necesita en línea. Las redes sociales pueden almacenar mucha información. Elimine sus datos de estos donde sea posible.
- Endurezca la privacidad en redes sociales. Limite quién puede ver su perfil y qué información se hace pública. Elimine detalles personales como números de teléfono o fechas de nacimiento completas.
- Solicite eliminaciones. Pida a los propietarios de sitios web que borren información desactualizada o innecesaria sobre usted. También puede solicitar la eliminación de ciertos datos personales de los resultados de búsqueda cuando corresponda.
- Exclúyase de los data brokers. Muchas empresas recopilan y revenden datos personales. Puede enviar solicitudes de exclusión directamente o usar un servicio de eliminación confiable si su información aparece ampliamente listada.
- Revise de nuevo su PII en línea. La información personal puede reaparecer con el tiempo. Es crucial revisar y limpiar periódicamente en lugar de tratar la eliminación como una tarea de una sola vez.
¿Qué debe hacer si se expone su PII?
Si se expone su PII, trate de no entrar en pánico. Priorice pasos que limiten el acceso adicional y reduzcan el daño financiero.
- Asegure primero sus cuentas. Cambie contraseñas, especialmente la del correo electrónico. Habilite la autenticación multifactor (MFA) cuando sea posible.
- Verifique si hay actividad no autorizada. Revise inicios de sesión de cuenta y transacciones recientes, además de si se cambiaron configuraciones de seguridad.
- Contacte a su banco o emisor de tarjeta. Reporte cargos sospechosos y pregunte por protecciones adicionales.
- Congaele su crédito si es necesario. Un congelamiento de crédito puede evitar que se abran nuevas cuentas a su nombre hasta que asegure sus datos.
- Monitoree estados de cuenta y alertas. Mantenga el ojo en la actividad financiera y de cuentas para detectar uso indebido continuo.
- Reporte el robo de identidad. En el UK, por ejemplo, es fácil presentar un reporte ante el área Prevent Fraud de la policía o llamarlos al 0300 123 2040.
Tenga cuidado con las estafas posteriores. A veces los atacantes se hacen pasar por servicios de “recuperación” o equipos de seguridad después de una brecha. Verifique siempre de forma independiente antes de compartir más información.
Artículos relacionados:
- ¿Cuáles son los riesgos asociados con la filtración de datos?
- ¿Cómo puede proteger mejor la privacidad frente a amenazas en línea?
- ¿Cuáles son las principales causas de una brecha de datos?
- ¿Cómo impacta internet en la privacidad individual y la protección de datos?
Productos recomendados:
FAQ
¿Una dirección IP se considera PII?
Por sí sola, una dirección IP puede no identificar directamente a una persona, pero cuando se vincula con otros datos o registros de cuentas, puede volverse identificable.
¿Cuál es la diferencia entre PII y datos personales?
PII es un término comúnmente usado para describir información identificable. “Datos personales” es un término más amplio utilizado en regulaciones como GDPR y puede incluir tipos adicionales de datos.
¿Cuál es la diferencia entre PII y PHI?
PII abarca información general de identificación. PHI se refiere específicamente a información relacionada con la salud vinculada a una persona y está protegida por leyes como HIPAA.
¿Puede eliminar por completo su PII de internet?
La eliminación total rara vez es posible. La supervisión continua y las limpiezas periódicas suelen ser enfoques más realistas.
