Todos los cursos > Informática ( TI ) > Seguridad de la Información ::

Protección de datos y privacidad: reducir exposición y limitar impacto

Capítulo 9

Tiempo estimado de lectura: 9 minutos

Qué datos buscan los estafadores y por qué son tan valiosos

En fraudes digitales, el objetivo no suele ser “un dato” aislado, sino construir acceso y control. Los estafadores combinan piezas de información para pasar verificaciones, secuestrar cuentas, mover dinero o entrar a sistemas corporativos. Entender qué buscan ayuda a reducir exposición y a limitar el impacto si algo se filtra.

1) Credenciales (usuario, contraseña y tokens)

Usuario/contraseña: permiten iniciar sesión directamente o probar la misma clave en otros servicios (reutilización).
Códigos de un solo uso (OTP), códigos SMS, códigos de app: si el atacante los obtiene en tiempo real, puede completar el acceso aunque exista 2FA.
Tokens de sesión/cookies: pueden permitir entrar sin contraseña si se roban desde un dispositivo comprometido o una sesión abierta.
Respuestas a preguntas de seguridad: se usan para recuperación de cuenta.

2) PII (información personal identificable)

Incluye nombre completo, fecha de nacimiento, dirección, teléfono, correo, documento de identidad, fotos de documentos, y datos laborales. Se usa para:

Suplantación ante soporte o bancos (“soy el titular”).
Bypass de verificaciones (preguntas de seguridad, validaciones KYC).
Construcción de pretextos más creíbles (mencionar datos reales).

3) Datos bancarios y de pago

Número de tarjeta, vencimiento, CVV: habilitan compras fraudulentas.
Cuenta bancaria/IBAN/CLABE, alias, CBU: facilitan desvío de transferencias.
Capturas de pantalla de banca: exponen saldos, movimientos, números parciales, beneficiarios frecuentes.

4) Accesos corporativos y datos de trabajo

Correo corporativo (especialmente si es SSO): puerta de entrada a múltiples sistemas.
VPN, escritorio remoto, herramientas internas: acceso a red y recursos.
Directorios, organigramas, firmas, plantillas: permiten ataques más precisos y escalamiento interno.
Documentos sensibles: contratos, nóminas, facturas, listados de clientes, credenciales API, llaves privadas.

Cómo se usan esos datos para escalar ataques (de “un dato” a control total)

Dato obtenido	Uso inmediato	Escalamiento típico
Correo + contraseña	Acceso a una cuenta	Reutilización en otros servicios; cambio de correo/teléfono de recuperación
OTP/código 2FA	Completar inicio de sesión	Registrar un nuevo dispositivo; crear reglas de reenvío en correo
PII (DNI, dirección, fecha nac.)	Pasar validaciones	Recuperar cuentas; abrir líneas/servicios; ingeniería de soporte
Datos bancarios	Cargos o transferencias	Agregar beneficiarios; fraude recurrente; “mulas” y triangulación
Acceso a correo corporativo	Leer conversaciones	Suplantar a directivos/proveedores; manipular pagos; robar documentos

La idea clave: cuanto más “verificable” sea el dato (documento, número de cuenta, código de seguridad), más fácil es que el atacante convierta un intento en un acceso persistente.

Minimización de datos: reducir exposición sin frenar el trabajo

Minimizar datos significa compartir solo lo necesario, durante el menor tiempo posible, con el menor número de personas y por el canal correcto. Es una práctica diaria, no un ajuste único.

Checklist rápido de minimización (personal y laboral)

Evita publicar fecha de nacimiento completa, dirección, rutinas, fotos de documentos, pases de abordar, credenciales, pantallas de banca.
Separa correos: uno para banca/servicios críticos y otro para registros generales.
Reduce “pruebas” innecesarias: no envíes capturas de pantalla si basta con un número de ticket o un correo de confirmación.
Comparte por necesidad: si alguien “podría necesitarlo”, aún no es motivo; define el propósito y el mínimo dato.
Retención limitada: borra archivos sensibles de chats y descargas cuando ya no se requieren.

Compartición segura: qué nunca se debe pedir por correo/llamada y cómo usar canales oficiales

Información que nunca deberías entregar por correo, llamada o chat

Contraseñas (de cualquier servicio).
Códigos de verificación (OTP por SMS, app, correo) o códigos de recuperación.
Confirmaciones de “aprobar” en apps de autenticación si tú no iniciaste el acceso.
CVV o PIN de tarjeta.
Fotos completas de documentos de identidad, salvo procesos oficiales y verificados (y aun así, con medidas de protección).
Tokens, llaves API, certificados o archivos de configuración con secretos.

Regla operativa: si el dato sirve para entrar (autenticación) o autorizar (aprobación), no se comparte por canales informales.

Continúa en nuestra aplicación.

Escuche el audio con la pantalla apagada.
Obtenga un certificado al finalizar.
¡Más de 5000 cursos para que explores!

O continúa leyendo más abajo...

Descargar la aplicación

Guía práctica paso a paso: cómo compartir datos por canales oficiales

Detén la conversación si te piden datos sensibles “ya”. La urgencia no cambia la política.
No uses enlaces ni números proporcionados en el mensaje/llamada. Busca el canal oficial por tu cuenta (web oficial, app oficial, directorio interno).
Inicia tú el contacto: abre la app, entra al portal corporativo, o llama al número oficial publicado.
Verifica el contexto: número de caso/ticket, motivo, y qué dato mínimo necesitan. Si piden más, pregunta “¿qué alternativa hay sin compartir X?”
Entrega el mínimo: por ejemplo, últimos 4 dígitos de un documento en vez del documento completo, o un identificador interno en vez de una captura.
Registra evidencia: guarda el número de ticket, fecha, canal usado y lo compartido (para auditoría y seguimiento).

Ejemplos de “alternativas seguras” al envío de datos

En vez de enviar un documento por chat: subirlo a un portal oficial con autenticación y permisos.
En vez de compartir una contraseña: usar invitaciones/roles (p. ej., acceso por cuenta individual) o un gestor de contraseñas con compartición controlada (sin revelar el secreto).
En vez de mandar una captura de banca: compartir un comprobante oficial descargado desde la app (si es estrictamente necesario) y ocultar datos no requeridos.

Prevención de robo de cuenta: recuperación segura, alertas y revisión de sesiones

La mayoría de “robos de cuenta” se consolidan cuando el atacante logra cambiar métodos de recuperación, registrar un dispositivo nuevo o mantener una sesión activa. Estas medidas buscan cortar esa persistencia.

1) Recuperación segura (para que no te “quiten” la cuenta)

Actualiza correo y teléfono de recuperación a medios que controles y que no uses públicamente.
Activa 2FA fuerte (preferible app de autenticación o llave de seguridad) y guarda códigos de respaldo en un lugar seguro (offline o gestor cifrado).
Evita preguntas de seguridad basadas en datos públicos; si el servicio obliga, usa respuestas no adivinables (tratándolas como contraseñas).
Protege el correo principal: si alguien entra a tu correo, puede resetear casi todo. Aplica 2FA y revisa reglas de reenvío.

2) Alertas y notificaciones (detección temprana)

Activa alertas de inicio de sesión, cambios de contraseña, cambios de correo/teléfono, y nuevos dispositivos.
Activa alertas financieras: compras, transferencias, alta de beneficiarios, cambios de límites.
Revisa el “centro de seguridad” de cada servicio crítico al menos una vez al mes.

3) Revisión de sesiones y dispositivos (cortar accesos persistentes)

Muchos servicios permiten ver sesiones activas. Úsalo como rutina.

Entra al apartado de seguridad del servicio (desde la app o web oficial).
Revisa “Dispositivos” y “Sesiones activas”: ubicación aproximada, fecha, navegador.
Cierra sesión en todos los dispositivos si ves algo sospechoso o si perdiste un equipo.
Cambia la contraseña por una única y robusta (idealmente generada) y actualiza el gestor.
Revisa métodos de recuperación: elimina correos/teléfonos que no reconozcas.
Revisa integraciones: apps conectadas, accesos de terceros, “inicios de sesión con Google/Microsoft/Apple”. Revoca lo innecesario.

Documentos y archivos: cifrado, control de acceso y compartición con caducidad

Los documentos suelen contener PII, datos financieros, información contractual o credenciales incrustadas. La protección debe cubrir almacenamiento, envío y colaboración.

1) Cifrado: proteger el contenido aunque el archivo se filtre

Cifra el dispositivo (disco completo) en móvil y ordenador para proteger datos en caso de pérdida/robo.
Cifra archivos sensibles antes de enviarlos o subirlos a la nube, especialmente si contienen documentos de identidad, nóminas, contratos o listados.
Contraseñas de archivos: si usas ZIP/PDF con contraseña, comparte la clave por un canal distinto (por ejemplo, archivo por correo y clave por llamada a número oficial o por app corporativa).

Ejemplo de regla simple: Archivo y contraseña nunca viajan por el mismo canal.

2) Control de acceso: “quién puede ver qué”

Principio de mínimo privilegio: acceso solo a quienes lo necesitan, con permisos de lectura cuando sea suficiente.
Evita “cualquiera con el enlace” para documentos sensibles; prefiere acceso por usuario autenticado.
Separa versiones: un documento “externo” con datos reducidos y un documento “interno” completo.
Registra cambios: usa plataformas con historial y auditoría para detectar ediciones no autorizadas.

3) Compartición con caducidad y revocación

Compartir con caducidad limita el tiempo de exposición y reduce el impacto si el enlace se reenvía.

Elige un repositorio oficial (nube corporativa o servicio aprobado) en lugar de adjuntos en cadena.
Configura expiración del enlace (por horas o pocos días).
Restringe descarga si solo necesitan lectura o revisión.
Agrega contraseña al enlace si la plataforma lo permite (y compártela por canal separado).
Revoca acceso al finalizar el proceso (cierre de ticket, firma completada, entrega realizada).

Buenas prácticas específicas para archivos frecuentes

Documentos de identidad: comparte solo la cara necesaria; oculta campos no requeridos cuando sea posible; evita enviar fotos completas por mensajería.
Facturas y órdenes de compra: elimina datos bancarios si no son imprescindibles para el receptor; usa plantillas con campos mínimos.
Hojas de cálculo con clientes: separa identificadores internos de PII; protege con permisos; evita exportaciones locales.
Archivos con secretos (config, credenciales): nunca en documentos compartidos; usa gestores de secretos o bóvedas aprobadas.

Guía rápida de respuesta si crees que expusiste datos (limitar impacto)

Si ya compartiste información sensible, el objetivo es cortar accesos, reducir superficie y dejar trazabilidad.

Identifica qué se expuso: credenciales, OTP, documento, datos bancarios, archivo corporativo.
Si hubo credenciales/OTP: cambia contraseña inmediatamente, cierra sesiones, revisa métodos de recuperación e integraciones.
Si hubo datos bancarios: activa alertas, revisa movimientos, bloquea tarjeta si aplica, y contacta al canal oficial del banco.
Si fue un documento/archivo: revoca enlaces, cambia permisos, rota claves si había secretos, y registra quién tuvo acceso.
Documenta: fecha/hora, canal, contenido compartido, destinatario, capturas del enlace o ticket; esto acelera soporte y contención.

Ahora responde el ejercicio sobre el contenido:

Si recibes una solicitud urgente por chat para enviar un código OTP y así “verificar tu identidad”, ¿cuál es la acción más segura según las prácticas de minimización y uso de canales oficiales?

¡Tienes razón! Felicitaciones, ahora pasa a la página siguiente.

¡Tú error! Inténtalo de nuevo.

Los OTP sirven para autorizar acceso y no deben compartirse por chat, llamada o correo. Ante urgencia, hay que detener, usar un canal oficial verificado iniciado por ti y entregar solo el mínimo necesario.