Sin privacidad no hay ciberseguridad

Las medidas de ciberseguridad protegen los sistemas, redes y servicios de las administraciones públicas, las entidades privadas o, incluso, a nuestro entorno doméstico de ataques tecnológicos. Sin embargo, la ciberseguridad no es un fin en sí mismo sino un medio para proteger a las organizaciones y a las personas.

Dichas medidas pueden ser de distinto tipo: organizativas, jurídicas y técnicas; y detrás de ellas hay personas que las diseñan, las instalan, las seleccionan, las configuran, las activan/desactivan, las emplean, las cumplen y las controlan. Por lo tanto, la información personal (datos, metadatos, entorno social y familiar, huella digital, claves criptográficas, etc.) de las personas que se encuentran tras las medidas de ciberseguridad se convierte en una de sus principales vulnerabilidades.

Durante el año 2020, el 85% de las brechas tecnológicas involucraron el factor humano. La realidad pone de manifiesto que el camino más fácil para comprometer una organización es conseguir que desde dentro abran las puertas a los intrusos, o incluso que ejecute directamente las acciones que el intruso desea. Para conseguirlo se han desarrollado las técnicas de ingeniería social.

La ingeniería social es la acción de engañar o chantajear a una persona para que revele información o emprenda una acción que pueda usarse para comprometer o afectar negativamente un sistema o, lo que es su fin último, una organización o un Estado. Existen muchas técnicas de ingeniería social: desde la extorsión más descarada hasta el pretexting, el phishing, el quid pro quo, baiting, smishing, vishing, farming, hunting, whaling, explotación de redes sociales y cualquier otro. Normalmente son técnicas de baja complejidad tecnológica, pero con cada vez más refinamiento psicológico y sociológico.

Los ataques basados en ingeniería social pueden ser simples, es decir, utilizando únicamente los sesgos cognitivos básicos e inherentes a la naturaleza humana. En estos casos el éxito suele conseguirse mediante envíos masivos con la esperanza de que un pequeño porcentaje de víctimas caiga en la trampa. Aunque muchos de ellos tienen como objeto la estafa y el impacto reducido al entorno del individuo, algunos pueden tener serios impactos en la organización o la sociedad.

Sin embargo, los ataques más peligrosos serán aquellos que estén ajustados a las peculiaridades de cada persona. Para ello es necesario recoger información específica sobre cada individuo, más allá de lo que puede ser su nombre, dirección, números de cuenta y tarjetas, teléfonos, correos, etc., y centrándose en sus debilidades evaluadas a partir de su perfil de compra, geolocalización, creencias, valores, miedos y deseos, y en definitiva su huella y perfil digital. Antes de la digitalización masiva, dicha recogida de información debía focalizarse sobre individuos clave de una organización objetivo que, sin embargo, actualmente puede realizarse de forma masiva sobre toda la población.

Este concepto no es nuevo. Lo que sí resulta novedoso es el nivel de potencial vulnerabilidad que se está alcanzando por la gran recopilación de datos sobre todas las esferas de comportamiento personal y colectivo, con gran granularidad, interoperabilidad y accesibles por entidades, tanto por empresas privadas como por administraciones públicas.

Por supuesto, cualquier organización intentará proteger los datos que pudieran hacer vulnerable a su director general, COO, CEO, CIO, CISO o cualquiera de los recursos humanos clave para la seguridad de la entidad (en definitiva, casi todo su personal). Sin embargo, todos esos roles están ocupados por personas que, por muy importantes que sean para la organización, son clientes o usuarios de una red social, entidad financiera, de seguros, de marketing, sanitaria, ayuntamiento, suministrador, plataforma de contenidos, etc. Por lo tanto, la protección de datos trasciende los límites de la organización y tiene un impacto en el individuo y en la sociedad.

En dichas entidades donde somos clientes, sin una adecuada aplicación de medidas específicas de protección de datos, se puede producir la acumulación y acceso a datos de diversas esferas de la vida privada, la filtración de dicha información, las brechas de datos personales, el empleo poco ético o directamente ilícito de conjuntos de datos unido a recursos de proceso y análisis masivo de datos permiten el perfilado automático, la generación de información clave sobre las vulnerabilidades de cada sujeto y, por tanto, de la organización u organizaciones de las que forma parte.

En la medida en que a los tratamientos de datos personales no se apliquen los principios de limitación de finalidad, limitación de la conservación y comunicación de datos, minimización y responsabilidad proactiva, o no se implemente la protección de datos por defecto y desde el diseño, la pérdida de privacidad convertirá a las personas en objetivos vulnerables. De esta forma, arrastrará a la inseguridad a la entidad u organización en la que se encuentran.

En esos casos, para conseguir el propósito del atacante ya no será necesario comprometer los sistemas. Cuando la privacidad, intimidad o el libre albedrío de las personas esté comprometido o simplemente condicionado, se podrá materializar un ataque sobre el corazón de la organización, o incluso el Estado y sus instituciones, que ninguna medida de ciberseguridad podrá mitigar.

En definitiva, sin privacidad los objetivos finales de las medidas de ciberseguridad se verán comprometidos desde sus cimientos. La ciberseguridad sin privacidad se encuentra en regímenes donde existen carencias en el estado de derecho y en las garantías democráticas, sin embargo, en estos casos, la ciberseguridad tendrá un objetivo distinto al de la protección de los individuos, sino que será una herramienta más para el control y limitación de los derechos y libertades de los ciudadanos.