Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Kiara Saloojee
  • DMARC Enthusiast

Información de identificación personal en el correo electrónico: qué es, por qué es importante y cómo protegerla

Cerradura digital que representa la protección de datos Pii

La información de identificación personal (PII) es cualquier dato que pueda identificar a una persona de forma directa o indirecta. Incluye datos obvios como nombres, números de identificación y direcciones de correo electrónico. También incluye datos menos obvios como cargos laborales, códigos postales y fechas de nacimiento.

El correo electrónico sigue siendo uno de los lugares más comunes donde las empresas envían, reciben y almacenan información de identificación personal. También es uno de los lugares donde esa información puede quedar expuesta con mayor facilidad. El correo electrónico se diseñó para facilitar la comunicación abierta, y los controles de seguridad se añadieron posteriormente. Eso significa que el propio canal supone un riesgo para las organizaciones que manejan datos confidenciales de clientes o empleados.

Para las empresas, la exposición de la PII en el correo electrónico no es solo problema técnico. Cuando los atacantes recopilan la PII a través phishing, dominios falsificados o buzones de correo comprometidos, la empresa cuya marca se suplantó suele sufrir las consecuencias.

Estos pueden incluir:

  • Sanciones por incumplimiento
  • Pérdida de confianza de los clientes y empleados.
  • Daños financieros

Si desea obtener una visión rápida de la exposición de su dominio a los ciberdelincuentes, puede realizar un análisis gratuito con el analizador de dominios de Sendmarc.

Analiza tu dominio

¿Qué es la PII?

La PII es información que puede utilizarse para identificar, contactar o localizar a una persona específica. Algunos datos revelan por sí solos la identidad de alguien. Otros solo cuando se combinan con información adicional.

La PII se divide en dos grupos:

1. Identificadores directos

Los identificadores directos son datos que suelen identificar a una persona por sí mismos. Algunos ejemplos son:

  • Nombre completo
  • Número de la Seguridad Social (SSN)
  • Número de teléfono
  • Dirección de correo electrónico
  • Dirección particular
  • Datos del pasaporte
  • Número de cuenta bancaria o tarjeta

Cuando varios de estos datos aparecen juntos en un correo electrónico, por ejemplo, una nómina que incluye el nombre completo, el número de la Seguridad Social y los datos bancarios, la sensibilidad aumenta.

2. Identificadores indirectos

Los identificadores indirectos pueden no identificar a una persona por sí solos, pero pueden hacerlo cuando se combinan con otra información. Entre ellos se incluyen:

  • Código postal
  • Fecha de nacimiento
  • Género
  • Raza o etnia
  • Cargo y empresa
  • Direcciones IP e identificadores de dispositivos
  • Detalles médicos

Debido a que estos identificadores aparecen en mensajes rutinarios, las personas suelen subestimar lo fácil que es exponer datos personales sin querer.

Lo que no incluye la PII

Los datos anónimos o agregados que no pueden vincularse a una persona específica no suelen considerarse información de identificación personal. Por ejemplo, «un cliente masculino de Ohio» no contiene información de identificación personal por sí solo.

La información de contacto comercial, como la dirección de correo electrónico del trabajo ([email protected]) o el número de teléfono de la oficina, suele encontrarse en una zona gris. Muchos reguladores no la tratan como información de identificación personal, ya que técnicamente se refiere a la vida profesional de una persona y no a su vida personal.

Dónde aparece la información de identificación personal (PII) en los correos electrónicos comerciales

Si revisas un buzón corporativo típico, encontrarás información de identificación personal por todas partes:

  • Equipos de RR. HH. intercambiando nóminas, contratos y solicitudes de empleo.
  • Compartir datos bancarios, números de identificación fiscal y facturas de clientes.
  • Procesamiento de la atención al cliente para actualizaciones de la dirección postal o el número de teléfono.
  • Sanidad y seguros: intercambio de información médica altamente sensible

Por eso, la información de identificación personal (PII) en el correo electrónico merece una atención especial en su estrategia de seguridad y cumplimiento normativo. Afecta directamente a sus clientes, empleados y empresa.

¿Por qué es tan arriesgado incluir información personal identificable en los correos electrónicos?

Para comprender por qué enviar información de identificación personal (PII) por correo electrónico es arriesgado, conviene recordar cómo se creó originalmente el correo electrónico.

El correo electrónico se diseñó para facilitar la comunicación abierta, no la confidencialidad. El cifrado y la autenticación se añadieron posteriormente. Estos controles no siempre se configuran de manera coherente en todos los sistemas.

Esto genera varias áreas de riesgo.

Riesgo de transmisión

Cuando se envía un correo electrónico, este pasa por varios servidores antes de llegar al destinatario. En cualquier etapa de ese recorrido, el mensaje puede quedar expuesto si la conexión no es segura, especialmente en redes como las Wi-Fi públicas.

Desde una perspectiva empresarial, esto significa que un mensaje que contenga escaneos de documentos de identidad, datos bancarios o información médica podría enviarse en texto sin formato, lo que lo haría susceptible de intercepción manipulado.

Almacenamiento y conservación

Incluso cuando la transmisión está cifrada, el almacenamiento a largo plazo de información personal identificable en el correo electrónico es un importante punto de exposición.

Los correos electrónicos y los archivos adjuntos permanecen en las bandejas de entrada, los elementos enviados y los archivos durante años. También se exportan a archivos sin conexión. El personal accede a ellos desde ordenadores portátiles, teléfonos móviles y, en algunos casos, dispositivos personales. Cada una de estas ubicaciones se convierte en un punto de acceso si un atacante puede entrar en el dispositivo.

Esto puede suceder a través de:

  • Ordenadores portátiles desatendidos o sin bloquear
  • Teléfonos sin pantalla de bloqueo
  • Dispositivos sin cifrar

Un solo buzón comprometido puede exponer años de comunicaciones confidenciales.

Error humano

El correo electrónico es una herramienta de comunicación impulsada por personas, por lo que los errores son inevitables.

Entre los problemas más comunes se incluyen enviar un correo electrónico al destinatario equivocado, reenviar cadenas de mensajes largas sin darse cuenta de que los mensajes anteriores contenían información de identificación personal o adjuntar accidentalmente el archivo equivocado. A menudo, las personas trabajan rápidamente o cambian de dispositivo, lo que aumenta la posibilidad de cometer errores.

Suplantación de identidad y phishing

Si los atacantes pueden hacer que un correo electrónico parezca provenir de su dominio, pueden convencer al personal, los clientes o los socios para que entreguen voluntariamente su información personal identificable. Algunos ejemplos son:

  • Correos electrónicos fraudulentos en nombre del departamento de RR. HH. en los que se pide a los empleados que suban sus documentos de identidad a un portal fraudulento.
  • Mensajes financieros falsos solicitando datos bancarios actualizados
  • Correos electrónicos falsos de atención al cliente que dirigen a los clientes a páginas de inicio de sesión para recopilar credenciales.

Incluso si su infraestructura es segura, seguirá enfrentándose a un grave problema si alguien puede suplantar de forma convincente su dominio y recopilar información de identificación personal en su nombre.

Evalúa la facilidad con la que los atacantes pueden suplantar tu dominio. El analizador de dominios gratuito de Sendmarc muestra si tus controles actuales protegen a tu organización contra el phishing.

Analiza tu dominio
Correos electrónicos digitales alrededor de un ordenador portátil

Lista de verificación práctica: Cómo proteger la información de identificación personal (PII) en el correo electrónico

No es posible eliminar por completo la información de identificación personal (PII) de los correos electrónicos, pero sí se puede reducir el riesgo con algunos cambios específicos. Considere limitar la frecuencia con la que se envía la PII, mejorar la forma en que se protege cuando es necesario enviarla y reforzar las cuentas que la gestionan.

1. Reducir la cantidad de información personal identificable enviada por correo electrónico.

Empiece por preguntarse si el correo electrónico es el canal adecuado para compartir datos. En el caso de los datos de alto riesgo, los portales seguros, los formularios o las herramientas de carga de documentos suelen ser más seguros, ya que están diseñados para información confidencial.

Cuando sea inevitable enviar un correo electrónico, envíe solo necesario. Si un equipo se ve tentado a adjuntar una exportación completa de un sistema, considere si pueden crear un reporte más específico reporte compartir un enlace al sistema en su lugar.

2. Reforzar el cifrado y la configuración.

Trabaje con su equipo de TI o de seguridad para garantizar que se aplique el protocolo TLS (Transport Layer Security) al correo electrónico en tránsito. Puede hacerlo conMTA-STS(Mail Transfer Agent Strict Transport Security), que puede indicar a los servidores receptores que solo conexiones cifradas.

Consejo: Para flujos de trabajo especialmente sensibles, añada capas adicionales, como herramientas de cifrado a nivel de mensaje.

3. Estandarizar flujos de trabajo más seguros para el envío de información de identificación personal (PII).

Defina qué se entiende por «bueno». Documente qué procesos pueden utilizar el correo electrónico para la información de identificación personal y cuáles deben utilizar canales alternativos.

Los equipos pueden crear plantillas más seguras, estandarizando la redacción que utilizan para procesos comunes (como solicitar documentos o confirmar detalles). La plantilla incluye la estructura y las instrucciones.

Los ejemplos claros también facilitan la detección de solicitudes inusuales o maliciosas. Cuando el personal sabe cómo es una comunicación legítima relacionada con la PII, es más probable que cuestione cualquier cosa que parezca fuera de lugar.

4. Capacitar a las personas para que reconozcan la información de identificación personal y la traten con cuidado.

La formación en materia de sensibilización debe ir más allá de phishing generales phishing .

Debería ayudar a las personas:

  • Reconozca qué se considera información de identificación personal (PII).
  • Comprenda sus obligaciones reglamentarias.
  • Saber cuándo pueden y cuándo no pueden enviar información personal identificable por correo electrónico.
  • Siéntete seguro al escalar solicitudes inusuales.

Los cursos de actualización breves y regulares suelen ser más eficaces que una única sesión de formación larga al año.

5. Utilice controles técnicos estrictos para el acceso al correo electrónico.

Aplique la autenticación multifactorial a todos los usuarios, pero especialmente a los administradores y ejecutivos. Establezca normas claras de seguridad para los dispositivos, como el cifrado completo del disco, bloqueos de pantalla seguros y funciones de borrado remoto.

Por último, implementar protocolos de autenticación implementar para que los destinatarios puedan verificar que los mensajes que afirman provenir de su dominio son legítimos. Esto respalda directamente sus esfuerzos para prevenir ataques de suplantación de identidad que recopilan información de identificación personal.

Cómo la autenticación del correo electrónico protege la información de identificación personal contra la suplantación de identidad

Muchas de las violaciones de PII más perjudiciales comienzan con una táctica sencilla: un usuario recibe un correo electrónico que parece provenir de una empresa de confianza y responde con información confidencial.

Protocolos de autenticación de correo electrónico: Sender Policy Framework SPF), DomainKeys Identified Mail DKIM) y autenticación, informe y conformidad de mensajes basados en dominio (DMARC) están diseñados para dificultar que los atacantes utilicen su dominio en intentos de suplantación de identidad.

  • SPF te permite definir qué servidores pueden enviar correos electrónicos en nombre de tu dominio.
  • DKIM añade una firma digital a los mensajes para que los destinatarios puedan verificar que el contenido no ha sido alterado durante el tránsito.
  • DMARC le permite especificar qué debe suceder cuando un mensaje no supera DKIM SPF DKIM y le ofrece visibilidad de todas las fuentes de correo electrónico.

Cuando DMARC aplica correctamente, con una política de p=quarantine p=reject los sistemas receptores pueden poner en cuarentena o bloquear los mensajes que afirman provenir de su dominio pero que no superan la autenticación. Como resultado, llegan a las bandejas de entrada muchos menos correos electrónicos fraudulentos de «RR. HH.» o «soporte técnico».

Para la protección de la información personal, esto es importante. Si los atacantes no pueden suplantar de forma convincente su dominio, les resultará mucho más difícil:

  • Solicitar documentos de identidad a empleados o clientes.
  • Recopilar datos bancarios y de pago mediante mensajes financieros falsos.
  • Dirige a las personas a páginas de recopilación de credenciales que se parecen a tu portal de inicio de sesión.

Cómo Sendmarc le ayuda a proteger la información de identificación personal (PII) al impedir el uso indebido de dominios

Sendmarc ayuda a las empresas a salvar la brecha entre la teoría y la práctica en lo que respecta a la autenticación del correo electrónico y la protección de la información de identificación personal (PII).

Sendmarc comienza por ofrecerte una visibilidad clara de quién envía correos electrónicos en nombre de tu dominio. DMARC se recopilan y se convierten en vistas sencillas y precisas que separan a los remitentes legítimos, como plataformas de marketing, CRM y sistemas de venta de entradas, de fuentes desconocidas o no autorizadas. Esto facilita la detección del origen de la suplantación de identidad o el abuso del dominio.

Sendmarc también le ayuda a configurar SPF DKIM . En lugar de probar y cometer errores en el DNS, obtendrá una configuración guiada, una validación automatizada y una gestión continua más sencilla. Las configuraciones erróneas que provocan silenciosamente que los mensajes fallen en la autenticación se detectan y resuelven sin conjeturas.

Con esa base, Sendmarc admite una progresión estructurada desde la supervisión hasta la protección completa. Se comienza con p=none recopilar datos, se pasa a p=quarantine los remitentes legítimos se han autenticado correctamente y, finalmente, se llega p=reject la confianza de que los correos electrónicos legítimos seguirán entregándose. En ese último paso se bloquean directamente los mensajes falsificados, lo que reduce directamente phishing para recopilar información de identificación personal.

Dado que los entornos de correo electrónico cambian constantemente, Sendmarc también supervisa cualquier actividad nueva o inusual. Se le avisa cuando nuevos servicios comienzan a enviar desde su dominio o cuando se producen cambios en el DNS. Esta supervisión continua ayuda a que su defensa se mantenga al día con sus actualizaciones.

Todo esto respalda sus objetivos generales de privacidad y cumplimiento normativo. Los organismos reguladores esperan que las organizaciones adopten medidas técnicas razonables para proteger los datos personales. Reducir el riesgo de suplantación de identidad en el correo electrónico y el uso indebido de dominios es una parte esencial para cumplir con esa expectativa.

Reserve una demostración para ver cómo Sendmarc le ayuda a detener los correos electrónicos falsos que recopilan información personal identificable, y a proteger a sus clientes, empleados y marca.

Reserva una demo