Una semana para la protección y la privacidad de los datos

Mientras las medidas más básicas de protección de los datos y de la privacidad no sean tan automáticas como ponerse el cinturón de seguridad al subirse a un coche, seguirá siendo necesarias todas las iniciativas posibles de concienciación. Esta semana convergen dos iniciativas convergentes: el Día Internacional de la Protección de Datos (28 de enero) y la Semana de la Privacidad de Datos (26-30 de enero).

El 28 de enero es el día que escogió el Consejo de Europa para dedicarlo a la protección de datos en 2006 porque en esa fecha de 1981 se firmó el Convenio 108, el primer marco de privacidad internacional. En España, que forma parte de ese convenio desde 1985, la principal autoridad del área, la Agencia Española de Protección de datos, ha aprovechado para publicar un decálogo de recomendaciones de privacidad en el uso de la IA (“Cuidado con lo que confIAs").

Junto a la AEPD, el sector de la ciberseguridad se suele volcar en fechas así, como vimos ayer con Veeam. Repasamos algunos de los más destacados consejos de privacidad y protección de datos que nos han llegado en estos días:

Object First, proveedor de almacenamiento de backup on-premise, recomienda no tratar la privacidad como un simple requisito legal; reducir la superficie de ataque desde la arquitectura; apostar por el backup inmutable como última línea de defensa; diseñar la seguridad como un elemento integrado desde el diseño, no añadido a posteriori; y reducir la complejidad de los sistemas como estrategia de seguridad.

Karolis Arbaciauskas, jefe de producto de NordPass, cree que, “como sociedad, debemos mejorar nuestra higiene digital. Las contraseñas son la primera línea de defensa de nuestros datos confidenciales, pero, irónicamente, también siguen siendo la debilidad que más ignoramos en el mundo digital. Durante siete años consecutivos, el estudio de NordPass sobre las 200 contraseñas más comunes ha revelado la misma y desalentadora verdad sobre nuestros hábitos online. Millones de personas siguen usando claves ridículamente sencillas y fáciles de adivinar, como ‘admin’, ‘123456’ o ‘contraseña’”.

Desde Genetec, empresa de seguridad física empresarial, subrayan la importancia de comenzar con una estrategia clara de protección de datos; diseñar sistemas con la privacidad integrada desde el inicio; mantener defensas cibernéticas sólidas a lo largo del tiempo; utilizar servicios en la nube para respaldar la resiliencia y el cumplimiento; y elegir socios comprometidos con la privacidad y la transparencia.

Del fraude digital a la inteligencia artificial

Enrique de Miguel, director de la División de Investigación en Ciberseguridad- Inteligencia Artificial de Funditec, destaca tres niveles de fraude digital: el engaño directo, el Dark Pattern malicioso, que suplanta páginas legítimas lanzando mensajes de urgencia, y Nudge Alegal, que “empuja sutilmente al usuario hacia la opción más rentable para el sitio, aunque no sea la más rentable para él. La manera más habitual en la que los usuarios acaban en una web fraudulenta es mediante SMS, mensajería o correo con avisos urgentes procedentes de bancos, empresas de reparto o administraciones públicas”.

Corey Nachreiner, Chief Security Officer de WatchGuard, explica que “los actores de amenazas dependen cada vez más de la ingeniería social y del engaño habilitado por IA para robar credenciales, hacerse pasar por usuarios legítimos y exfiltrar datos de forma silenciosa. En muchos casos, estos ataques comienzan con algo tan simple como un enlace o una descarga engañosos, lo que subraya la importancia de la concienciación de los usuarios junto a los controles técnicos. Este cambio explica por qué proteger los datos exige ahora un enfoque más simple y unificado, que combine la protección de la identidad y del endpoint”.

Por su parte, Matt Cooke, director de estrategia de ciberseguridad para EMEA en Proofpoint, señala que, “una vez que la información confidencial o los datos personales se comparten en un sistema de IA, puede resultar difícil saber a dónde van o cómo se reutilizan esos datos, lo que supone una preocupación para muchos responsables de seguridad. Ante la realidad de un nuevo entorno de trabajo agéntico, los equipos de seguridad deben adoptar un enfoque centrado en las personas para la protección de datos, aplicando defensas coherentes en el correo electrónico, la nube, los endpoints, la web y las herramientas de IA”.

Por último, Mark Molyneux, Field CTO en Europa de Commvault, explica que, "en entornos de nube, las identidades comprometidas suelen ser la vía más rápida para acceder a datos confidenciales. La resiliencia significa detectar tempranamente los accesos anormales, limitar el radio de impacto y recuperarse con confianza cuando se eluden los controles de identidad. Por eso es fundamental una recuperación limpia. En el caso del ransomware o de las brechas con origen en la identidad, el riesgo es restaurar lo incorrecto en el momento incorrecto sin validar la integridad".