Flor García tiene 35 años, vive en la calle Castañeda, es gerente de Quantum, posee dos cuentas corrientes, es tarjetahabiente de Prisa y European Express y gana mensualmente Bs. 20.000. Está casada con Pablo López, de 40 años, médico de la Clínica Central, con un ingreso mensual de 35.000 Bs. y tienen dos hijos que estudian en el Colegio Sucre. Estos y otros datos como los números telefónicos de toda su familia, los sitios de compras, los datos de sus pólizas de seguro, así como sus preferencias de consumo, perfil deudor y hasta sus notas escolares están contenidos en las bases de datos de las empresas e instituciones que tienen o han tenido a Flor como cliente, empleada, afiliada o alumna. Estos datos obviamente son ficticios, pero permiten advertir la gran cantidad de información que los demás podrían poseer sobre nosotros.

La protección contra el riesgo que representaría para Flor la divulgación de sus datos personales y/o patrimoniales, constituye no solo una “buena práctica” sino una obligación legal. Por ello, la captura o divulgación de datos ajenos contenidos en un sistema informático constituyen hechos punibles previstos en la Ley Especial contra los Delitos Informáticos vigente en Venezuela, los cuales presentan tres modalidades: el espionaje informático que se refiere a la obtención o difusión indebidas de la información presente en una base de datos en general; la violación a la privacidad de la información de carácter personal que consiste en la captura, uso, alteración o supresión de los datos de alguna persona en particular y la revelación de la información de carácter personal, que versa sobre la divulgación o entrega a terceros de los datos de la persona. Pero, más que la aplicación de la Ley, lo ideal es prevenir estas situaciones.

Mientras nuestra interacción sea con instituciones conocidas, cuya reputación es un activo, podemos esperar “buenas prácticas” en materia de privacidad. Específicamente, en el caso de empresas tales como bancos o emisores de tarjetas de crédito, las reglas a las cuales están sujetos permiten exigir su responsabilidad. Además, a todos quienes compartimos nuestros datos personales o patrimoniales con instituciones no virtuales cuyas operaciones estén automatizadas, nos ampara el derecho constitucional de habeas data, gracias al cual podemos: a) exigir acceso a los datos personales propios que consten en registros públicos o privados; b) conocer el uso que se dará o se esté dando a nuestros datos personales y c) solicitar la actualización, corrección o destrucción de nuestros datos si son erróneos o violan nuestros derechos.

Los riesgos aumentan si realizamos operaciones sin precaución con entes virtuales desconocidos, si navegamos por Internet sin protección o si acatamos indicaciones de correos electrónicos de dudosa procedencia. En estos casos, podríamos ser víctimas de otros delitos previstos en la misma Ley como el sabotaje a nuestro sistema (hacking), el fraude en nuestras cuentas bancarias o la apropiación y uso indebido de nuestras tarjetas, todos los cuales podrían prevenirse en muchos casos mediante la adopción de “buenas prácticas” como las siguientes:

1. Obtener y mantener actualizados un antivirus y un firewall y configurarlos de manera que bloqueen o avisen acerca de cualquier intrusión o programa malicioso.

2. Tener cuentas de correo electrónico distintas para la participación en redes sociales y para las transacciones en línea con nuestras instituciones financieras.

3. Evitar el uso de la misma contraseña para todas las cuentas bancarias, de correo o suscripciones en línea.

4. Evitar el uso como contraseña de ciertos números y fechas “obvios” que puedan extraerse de los documentos de identidad personal.

5. Cambiar las contraseñas regularmente.

6. Abstenerse de compartir las contraseñas de los sistemas, cuentas y tarjetas.

7. Abstenerse de participar en sorteos de origen desconocido que soliciten cualquier dato personal. Si el sitio web es conocido, conviene tener una dirección de correo electrónico específica para estos fines.

8. Hacer transacciones en línea solo con un sitio web seguro, previa verificación de lo siguiente:

a. Que posea el signo característico del candado cerrado y la dirección precedida por las siglas https.

b. Que cuente con políticas de privacidad.

c. Que explique claramente las características del producto, su forma de entrega, garantía, políticas de devolución y reclamos.

9. En caso de recibir ofertas por correo electrónico provenientes de un sitio desconocido, abstenerse de hacer click en el enlace adjunto ya que podría tratarse de un ardid para conectar al usuario con un sitio programado para capturar sus contraseñas.

10. En caso de recibir correos electrónicos con apariencia de provenir de nuestra institución financiera, abstenerse de contestarlos y menos aún indicar nombre completo, dirección del estado de cuenta, números de cuentas, de PIN, de tarjetas de crédito o de contraseñas.

Estas sencillas precauciones contribuirán a reducir el nivel de riesgo en relación con la práctica que los hackers y defraudadores on line hacen de la ingeniería social, que no es más que el uso de trucos destinados obtener datos personales y contraseñas proporcionados por los propios usuarios, con lo cual suelen usurpar sus identidades y hacer uso indebido de su información personal y su patrimonio.

* Beatriz Di Totto fue co-redactora de la Ley Especial contra los Delitos Informáticos de Venezuela