Epidemia de filtraciones de datos: ¿necesitamos replantearnos el intercambio de datos?

Las filtraciones de datos están en aumento y la confianza está cayendo. En 2024, más de 5.500 millones de cuentas de usuario fueron comprometidas, un asombroso aumento de ocho veces respecto a las 730 millones de cuentas filtradas en 2023.

Aún más preocupante es que el 35,5 % de todas las filtraciones de datos reportadas estuvieron vinculadas a terceros, un 6,5 % más que en 2023, según el HIPAA Journal, que afirmó: “Las filtraciones de terceros se clasifican como aquellas que se originaron en un proveedor, suministrador o socio, con los atacantes pivotando para infiltrarse en las redes de clientes empresariales, y donde los datos de una organización se ven comprometidos mientras están bajo la custodia de un tercero”. En otras palabras, estas filtraciones de terceros ocurren cuando los datos personales se almacenan, procesan o gestionan por una entidad distinta del propietario de los datos, es decir, la organización que los recopiló.

Estas filtraciones van más allá de las multas regulatorias o del daño reputacional: erosionan la confianza del consumidor y afectan los cimientos de una economía cada vez más dependiente de los datos.

Si pudiéramos eliminar el intercambio o almacenamiento externo de datos personales en bruto, podríamos reducir de forma dramática los incidentes de filtraciones a nivel global.

Cuando se realiza de manera responsable, la colaboración con datos tiene el poder de generar un valor significativo para las empresas, los consumidores y la sociedad. Permite a las organizaciones comprender mejor a sus clientes, lo que conduce a ofertas más relevantes, una experiencia del cliente mejorada y un mayor retorno de las iniciativas de marketing.

A nivel social, impulsa avances en la investigación médica, una prestación de servicios públicos más inteligente y la inclusión financiera mediante métodos alternativos de calificación crediticia.

La colaboración con datos a menudo depende de transferencias en las que los archivos en bruto se envían a través de la nube, se exportan a socios, se almacenan en plataformas de terceros o se replican en entornos de proveedores.

Cuando los datos en bruto se exportan, transfieren o duplican entre entornos, se crean múltiples puntos de vulnerabilidad. Incluso cuando están encriptados, una vez que los datos se mueven, es más difícil controlarlos y monitorearlos, y es así como ocurren las filtraciones de terceros.

Afortunadamente, gracias a las tecnologías que mejoran la privacidad (PETs, por sus siglas en inglés), las organizaciones pueden colaborar con los datos, extraer información y construir modelos sin compartir ni exponer los datos en bruto.

En lugar de transferir datos sensibles a socios o plataformas, las PETs permiten a las organizaciones compartir conocimientos mientras mantienen los datos en bruto privados y protegidos.

Esto es lo que hacen algunas de las PETs más utilizadas:

• Computación segura multipartita (SMPC, por sus siglas en inglés): Permite que varias organizaciones calculen resultados de manera conjunta —por ejemplo, identificar clientes compartidos o patrones de fraude— sin revelar sus datos entre sí.

Los datos en bruto permanecen privados y nunca se comparten.

• Aprendizaje federado: Este modelo de IA viaja hacia los datos, no al revés. Aprende de cada conjunto de datos de manera local y solo comparte actualizaciones del modelo.

Los datos en bruto nunca se mueven ni se exponen.

• Encriptación homomórfica: Permite realizar análisis sobre datos encriptados. Incluso durante el procesamiento, los datos permanecen ilegibles.

Los datos en bruto permanecen encriptados en todo momento.

• Entornos de ejecución confiables (TEEs, por sus siglas en inglés): Una especie de 'bóveda' segura dentro de un chip de computadora que procesa datos sensibles de forma aislada.

Los datos en bruto pueden cargarse en un TEE, pero siempre deben estar encriptados primero.

Las PETs fueron nombradas una de las “10 tecnologías emergentes principales de 2024” por el Foro Económico Mundial, por su capacidad de permitir un uso responsable de los datos, reducir el riesgo de filtraciones y preservar la privacidad individual.

Para aprovechar plenamente el potencial de las PETs, las organizaciones deben seguir principios claros de privacidad desde el inicio, comenzando con una regla fundamental:

Nunca exponer datos personales en bruto a ningún tercero.

Quizás la forma más popular de colaborar con datos de consumidores es mediante el uso de data clean rooms —un entorno informático seguro donde múltiples partes pueden comparar o analizar sus conjuntos de datos sin revelar la información personal subyacente.

Sin embargo, muchos data clean rooms disponibles en el mercado hoy requieren que las organizaciones carguen los conjuntos de datos en bruto en una plataforma central para ser anonimizados. Aunque conveniente, este enfoque introduce un riesgo evitable al crear un nuevo punto de vulnerabilidad para filtraciones: el proveedor.

En su lugar, la anonimización debe realizarse en el sitio, bajo el control total del propietario de los datos. Por lo tanto, es mejor elegir plataformas PET y proveedores de clean rooms que ofrezcan un entorno seguro donde ninguna parte, ni siquiera el proveedor, pueda acceder o ver tus datos.

Estos pasos son esenciales para mantener la privacidad, el cumplimiento normativo y la confianza del consumidor.

Las PETs nos permiten desbloquear todo el potencial de los datos mientras protegen la privacidad del consumidor y, al preservar la confianza, facilitan la colaboración entre sectores.

Las cifras son claras: aproximadamente un tercio de todas las filtraciones de datos reportadas están vinculadas a terceros. Si las empresas dejan de exponer información personal en bruto a terceros, podríamos reducir ese número de manera significativa.

Las PETs proporcionan a las organizaciones las herramientas para lograrlo. Al permitir obtener información sin que los datos en bruto se expongan o salgan del control de su propietario, disminuyen el riesgo de filtraciones y preservan la confianza del consumidor.