El gancho en los datos

Matías Aránguiz Villagrán

En marketing se habla de producto gancho como aquel que atrae la atención de clientes: un producto atractivo que te hace entrar a una tienda. La misma lógica se puede usar para el uso y almacenamiento de datos. Sabemos que los datos valen y esto los hace atractivos… para hackers. Hay datos más atractivos que otros y websites o bases de datos más o menos seguros. Un ejemplo de estos últimos, en base a la cantidad de ataques que sufren en el mundo, son los hospitales, abogados e instituciones financieras.

Preparando mi regreso a Chile, hace un par de días entré a una página web de headhunters y me sorprendió de sobremanera la cantidad de información personal e irrelevante para el objetivo del servicio que solicitaban, no sólo de mi historial laboral y educacional, sino información personal como mi RUT y fecha de nacimiento. Sé que no estoy en la cabeza de las personas detrás del portal, sin embargo el riesgo al que este sitio y otros nos exponen es grande.

Muchos sitios web no hacen diferencia entre información personal y la que no lo es. En caso de haya un ataque informático y se filtren dichos datos, es sencillo para un hacker suplantar identidad, engañar o robar. La información personal requiere mayor protección y no es susceptible, en principio, de ser vendida, prestada o facilitada a terceros. Una vez que tus datos se filtran es imposible eliminarlos de la web, van a estar disponibles eternamente. En la “dark web” se pueden comprar bases de datos completas con información personal de millones de personas —sí, millones— por poco dinero. No existe “derecho al olvido” en las filtraciones de datos.

Como la venta de datos es un negocio, cualquier website o base de datos se convierte en una presa para hackers. La mayoría tiene bajos niveles de protección y existen innumerables herramientas gratuitas en internet para penetrar dichos sistemas.

Por ello es tan importante la “higiene de datos”, buenas prácticas en donde las empresas deben recolectar y almacenar sólo aquella información que les es relevante. A diferencia del típico discurso ignorante que muchas veces se hace de “mientras más datos, mejor”, este principio incluso se encuentra en la GDPR, Principio de la Minimización de Datos (Art. 5.1.c): no se deben almacenar datos más allá de lo que se requiere.

Si bien los datos son activos para la empresa —si es que son útiles—, todo dato que no sea usado es un pasivo, es un riesgo mantenerlo y hace a la empresa más atractiva para ataques, aumentando el costo de posibles compensaciones. Es fundamental que las empresas empiecen a tener una cultura de manejo de datos. Si tienen datos que no son relevantes para su trabajo, deben eliminarlos, disminuyendo así el riesgo en caso de que se filtren. En todo el mundo hay empresas que están pagando inmensas sumas como compensación por filtraciones.

Todo lo anterior es aplicable incluso cuando se usan las cláusulas de exención de responsabilidad, en que uno de los contratantes explicita que no se responsabiliza por ningún daño, perjuicio o pérdida al usuario causados por fallas en el software, en el servidor o en internet, y que tampoco será responsable por cualquier virus que pudiera infectar el equipo del usuario como consecuencia del acceso, uso o examen del sitio o a raíz de cualquier transferencia de datos, archivos, imágenes, textos, o audio contenidos en el mismo.