• Serie de Módulos Universitarios: Delitos Cibernéticos
  

• Módulo 10: Privacidad y Protección de Datos
  

• Introducción y logros de aprendizaje

• Temas clave

• • Privacidad: ¿Qué es y por qué es importante?
    
  • Privacidad y seguridad
    
  • Delitos cibernéticos que comprometen la privacidad
    
  • Leyes sobre la protección de datos
    
  • Leyes sobre la notificación de filtración de datos
    
  • La aplicación de las leyes de protección de la privacidad y los datos
    
  • Conclusión
  • Referencias

• Ejercicios

• Estructura de clase recomendada
  

• Lecturas principales

• Lecturas avanzadas

• Evaluación del estudiante
  

• Herramientas de enseñanza adicionales
  

•  

• Publicado por primera vez en marzo de 2019, actualizado en febrero de 2020

•  

 Este módulo es un recurso para los catedráticos 

Delitos cibernéticos que comprometen la privacidad

Los delitos cibernéticos violan la privacidad de las personas y la seguridad de sus datos, particularmente, la piratería, los programas maliciosos, el hurto de identidad, el fraude financiero y médico y ciertos delitos contra las personas que involucran el revelar información personal, mensajes, imágenes y grabaciones de audio y video sin el consentimiento o permiso de ellas (es decir, acoso, hostigamiento e intimidación cibernéticos, los cuales son tratados en Delito Cibernético Módulo 12 Delito Cibernético Interpersonal).

Los actores legales e ilegales consideran que los datos son un producto básico, tanto en línea como fuera de ella (Maras, 2016). Por esta razón, los datos son el primer blanco de los delincuentes cibernéticos. Los datos también desempeñan un papel importante en la comisión de muchos delitos cibernéticos, principalmente porque no están protegidos de manera adecuada y se puede acceder a ellos y obtenerlos ilícitamente. Las filtraciones de datos son el resultado de memorias portátiles encriptadas y otros dispositivos de almacenamiento (generalmente laptops y teléfonos inteligentes) extraviados o robados, una seguridad de sistema y datos deficiente, el acceso no autorizado a una base de datos o el exceso de acceso no autorizado a una base de datos y la divulgación, lanzamiento o publicación accidental de datos. Algunos ejemplos notables de filtración de datos incluyen los siguientes:

• La Base de Datos de Identificación Nacional Centralizada del Gobierno Nacional de India (Aashaar), la cual almacena los datos biométricos (p. ej., huellas dactilares y escaneo de iris) y los datos de identidad de 1 200 millones de indios y se usa para verificar identidades en los servicios financieros, del Gobierno, servicios básicos y otros, fue objeto de una filtración de bases de datos en 2018 y puso en riesgo los datos de identidad, como el acceso a nombres, números de identificación de doce dígitos, números de teléfono, direcciones de correo electrónico y códigos postales, pero no los datos biométricos (Safi, 2018; Doshi, 2018).
• La información de aproximadamente 30 millones de sudafricanos se filtró en línea en 2017, incluidos sus nombres, género, ingresos, historial de empleo, números de identidad, números de teléfono y direcciones domiciliarias, por la filtración de datos que sufrió una de las principales empresas inmobiliarias en el país, Jigsaw Holdings (Fihlani, 2017; Gous, 2017).
• Los datos de más de tres mil millones de usuarios de Yahoo! se vieron comprometidos en 2013, incluidos nombres, direcciones de correo electrónico, contraseñas (con encriptación que podía ser superada con facilidad) y fechas de nacimiento (Newman, 2017).
• Se accedió a Deloitte, una firma consultora mundial, a través de una cuenta no asegurada, comprometiendo los nombres de usuario y contraseñas, entre otros datos de aproximadamente 350 clientes (Hopkins, 2017).
• Los datos personales (p. ej. identificación nacional, nombre, género, nombres de los padres, dirección domiciliaria, fecha y ciudad de nacimiento) de más de 49 millones de turcos se puso a disposición en 2016 mediante una base de datos en línea consultable (Greenberg, 2016).
• En 2016, se pusieron en riesgo los datos personales y biométricos de más de 55 millones de votantes en Filipinas luego de que unos hackers de sombrero negro (para más información sobre la distinción entre los de sombrero negro, blanco y gris, consulte Delitos Cibernéticos Módulo 2 Tipos Generales de Delitos Cibernéticos; también consulte Radziwill et al., 2015; Chatelain, 2018b) pudieron acceder sin autorización al sitio web de la Comisión de Elecciones (COMELEC) (Tan, 2016).

Fuera de las filtraciones, lo datos médicos, financieros, etc. se podrían encontrar en foros en línea dedicados a tarjetas (p. ej., sitios en línea dedicados a vender datos de tarjetas de débito y crédito) y en sitios en la web oscura (ubicados en la web profunda) (Delito Cibernético Módulo 5 Delito Cibernético Interpersonal; consulte también, Maras, 2014 o Finklea, 2017, en inglés, y Chatelain, 2018a, en francés, para más información sobre la web oscura y la web profunda).

Además de revelar estos datos con propósitos financieros, los datos comprometidos pueden ser (y han sido) revelados para humillar a las personas y exponer sus acciones y comportamientos reales o considerados inmorales. Un caso puntual es la publicación de información personal (como nombres y direcciones de correo electrónico) de aproximadamente 37 millones de usuarios de Ashley Madison, un sitio web que conectaba usuarios en busca de relaciones extramatrimoniales en línea (Zetter, 2015).

El peso de asegurar los datos, mayormente, recae sobre las personas que sufren del robo de sus datos. A estas personas se les informa que deben minimizar su «huella digital» actualizando configuraciones de seguridad en aplicaciones, sitios web, redes sociales y otras plataformas en línea y eliminando o reduciendo la cantidad de datos sobre ellos que ponen a disposición de otros (Maras, 2016). Este enfoque centrado en la víctima hace que la responsabilidad de protección recaiga sobre las víctimas del delito cibernético y no sobre los delincuentes y las empresas cuyos sistemas fueron vulnerados. La realidad es que las víctimas no pueden proteger sus datos personales cuando estos están «almacenados en bases de datos de terceros y son el objeto del robo de estos, muy lejos de… [su] control» (Maras, 2016, 289). Es también cada vez más difícil minimizar la «huella digital» propia actualmente. Existen menos alternativas, si es que las hay, disponibles para las personas que optan por que no se recolecten, analicen ni usen sus datos. Por ejemplo, una persona que usa redes sociales tiene una de dos opciones: proporcionar el mínimo de información requerida para usar la plataforma social (lo cual es, en esencia, por lo que la persona «paga» para usar el dispositivo) o no proporcionar la información y no usar la plataforma. No se ofrece otra alternativa. Los dispositivos del internet de las cosas (IdC) (discutidos en la sección introductoria de este módulo) también requieren información personal para su uso. Cada vez más, los nuevos dispositivos que entran al mercado —hasta aquellos que no venían con conexión a te, como electrodomésticos, joyas, ropa y juguetes— ahora tienen conexión a internet (Maras, 2015) y dejan a los clientes con menos opciones, en caso elijan no comprar un dispositivo que no tenga estas opciones.

Siguiente: Leyes sobre la protección de datos

Volver al inicio