¿Podemos recopilar estos datos con fines de seguridad?
Para las organizaciones es una práctica común el recopilar, almacenar, procesar y analizar datos de registros en línea. Este registro de datos incluye las direcciones IP de cada equipo que accede o intenta acceder a la red, el sitio web o el proceso. En hacking ético, estos registros se pueden usar para determinar la fuente de un ataque, el patrón de ataque y proporcionar una alerta temprana sobre estos sucesos, llegando incluso a poder prevenir un ataque.
Sin embargo, derivado de esta actividad podemos plantear dos preguntas relevantes: En el marco de la GDPR de la Unión Europea, ¿las direcciones IP se consideran datos personales? Y, de ser así, ¿pueden ser recopiladas, almacenadas y procesadas con o sin el consentimiento propietario de la IP? No hay una respuesta única, pues esto depende de otros factores.
¿Qué es una dirección IP?
Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, una dirección de Protocolo de Internet (IP) es una etiqueta numérica asignada a cada dispositivo conectado a una red informática que utiliza el Protocolo de Internet y cumple dos funciones principales: identificación de la interfaz de red y dirección de ubicación.
Una dirección IP puede identificar un dispositivo conectado, no la identidad real de la persona que usa ese dispositivo. Además, la medida en que la dirección IP identifica realmente un dispositivo puede depender de si la dirección IP es “estática” (el dispositivo tiene una dirección IP asignada específica asociada a ella) o “dinámica” (al dispositivo se le asigna una nueva dirección IP cada vez que se conecta a Internet). Incluso si es dinámica, puede depender de si la dirección IP se reasigna para cada sesión y cuánto tiempo puede durar cada sesión. Cuanto más tiempo esté asociada una dirección IP a un dispositivo, más se “asociará” esa dirección IP con ese dispositivo.
La información necesaria para conectar una dirección IP a un dispositivo no está públicamente disponible en la mayoría de los casos. Una dirección IP, por ejemplo 156.33.241.5, puede estar asociada con una oficina de gobierno, pero no con ningún individuo o dispositivo específico en esa oficina. La dirección IP identificará a un proveedor de servicios de Internet encargado de asignar dicha dirección a un suscriptor. Con la dirección IP, la fecha, la hora y posiblemente otros datos, el proveedor puede determinar a qué suscriptor se le asignó esa dirección IP en un momento determinado. Si el suscriptor utiliza una VPN o alguna herramienta similar, se necesitará de análisis forenses para poder determinar quién está asociado a la red.
Algunos expertos en hacking ético dudan que las direcciones IP puedan ser consideradas como datos personales, pues los proveedores de servicios de Internet no entregan esta información a nadie, generalmente se requiere una orden judicial u otro proceso legal para poder rastrear la dirección IP de un suscriptor de servicios de Internet. Por lo tanto, no es posible encontrar una dirección IP y asociarla a una persona en específico, así que esta información no puede ser considerada un dato personal.
Datos personales
Los datos personales son el núcleo de la Reglamentación General de Protección de Datos Personales (GDPR) de la Unión Europea, pero no está claro si una dirección IP se ajusta o no a su definición de datos personales. La GDPR establece que “un dato personal es cualquier información relacionada con una persona física identificada o identificable (sujeto de datos)”. En cuanto a los sujetos de datos, la GDPR establece que “una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de los factores físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona natural”.
Especialistas en hacking ético mencionan que, acorde a la GDPR, una dirección IP es considerada información personal cuando el proveedor tiene los datos adicionales necesarios para vincular esa dirección IP a un individuo específico. Por lo tanto, si su proveedor de Internet puede rastrear su identidad o actividades o identidad por su dirección IP, entonces, con respecto a ellos, su dirección IP es información personal. Pero el caso es ambiguo.
Todo depende del contexto
Una dirección IP puede ser información personal si desea hacer un seguimiento de lo que está haciendo una persona específica, si tiene la capacidad de hacerlo y si tiene acceso razonable a los datos necesarios para que esto suceda. Si está recopilando datos de dirección IP para ver qué sitios visitan sus empleados, entonces cuentan como datos personales. Si está realizando un análisis de tráfico general, esta información no deberá ser considerada como datos personales.
La recolección de estos datos por razones de seguridad puede ser un caso más complejo. En mayor medida, los registros se utilizan para tener una idea general del status de seguridad de una empresa. En cuanto a la seguridad, podemos saber que una dirección IP ha sido identificada como la fuente de un ataque en particular, y podemos, con otra información, vincular esa información a un actor malicioso en Bielorrusia (por ejemplo), eso aún no lo convierte en datos personales. Si luego vinculamos esa información, por ejemplo, a un grupo de hackers, esto se acerca más a la concepción de datos personales; la clave está ahí, en vincular toda esta información a una persona en específico.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
