Empresas y particulares son cada vez más conscientes de la importancia de proteger los datos personales. No obstante, el auge del mundo digital ha abierto nuevas vías para la vulneración del derecho a la protección de los datos privados. Los estafadores virtuales o ciberdelincuentes se afanan por introducir nuevas técnicas y métodos que burlen los protocolos de seguridad. Una de las técnicas más utilizadas para conseguir los datos privados de los usuarios es el phising, que consiste en el envío de un correo electrónico a un usuario solicitándole algunos de sus datos personales. El estafador se hace pasar por una empresa o institución legitimada para el tratamiento de esos datos (un banco, una institución pública…), con el objetivo de coseguirlos. Los correos de tipo phishing, generalmente, contienen algún enlace a una página falsa que suplanta la identidad de una empresa o servicio en la que, si introducimos nuestros datos, éstos pasarán directamente a manos del estafador.
Puesto que se han desarrollado softwares capaces de detectar estos intentos de phising a través del correo electrónico, se utilizan, cada vez más, otros canales de comunicación, sobre todo mensajes a través de aplicaciones de mensajería instantánea, comentarios en redes sociales o SMS. Las formas nuevas formas de phising afectan a bancos, a pasarelas de pago online, a páginas de compra-venta, a redes sociales, al soporte técnico y de ayuda de los grandes servidores, a juegos online, a servicios de almacenamiento en la nube, a organismos oficiales y a portales de empleo.
La forma de operar es similar: el usuario recibe un mensaje que remite a un enlace externo en el que se informa de un cambio en la normativa, del cierre incorrecto de la sesión, de la detección de intrusos en el sistema de seguridad o de modificaciones en las condiciones del servicio. Con estas excusas, se pide una confirmación de datos, el número de la tarjeta de crédito o diferentes claves para iniciar sesión en algunas plataformas.
La normativa sobre protección de datos responsabiliza a las empresas que manejan listados con información de usuarios en los casos de phising y las obliga, por la Reforma del Reglamento Europeo de Protección de Datos, aprobada en marzo, a una adecuación LOPD (Ley Orgánica de Protección de Datos) y a una adaptación LSSICE (Ley de Servidos de la Sociedad de la Información, aprobada en mayo), así como a prepararse para inspecciones y auditorías obligatorias.
El Ayuntamiento de Madrid sancionó en mayo a dos establecimientos de servicios de envío de dinero, tras una inspección, por la vulneración del derecho de información en la recogida de datos basado en la LOPD. Para evitar este tipo de sanciones, lo ideal es que las empresas se pongan en manos de una consultoría, en Madrid o en cualquier otra ciudad españaola, con el objetivo de ajustar sus ficheros a la Ley, preparar su auditoría y velar por la privacidad de sus clientes.