Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago

En un contexto en el que la dependencia de dinero en efectivo se reduce cada vez más y el incremento de los pagos digitales o a través de tarjetas de crédito o débito se vuelve más relevante, resulta importante considerar los riesgos asociados a la seguridad de la información que facilita dichas transacciones. Para hacernos idea de la magnitud de la exposición, aquí dejo un par de cifras:

En los últimos años, Estados Unidos ha experimentado una notable transformación en los métodos de pago en este sentido. Según datos recientes, el efectivo representó el 16% de todas las transacciones en 2022, mientras que las tarjetas de crédito y débito constituyeron el 32% y el 30%, respectivamente. En el ambito de las billeteras digitales, Apple Pay domina el mercado de pagos móviles norteamericano, representando el 92% de las transacciones de débito móvil; mientras Google Pay hace lo suyo en economias emergentes con preferencia por dispositivos android.

En LatAm, el uso del efectivo disminuyó del 45% en 2019 al 21% en 2023. Entre 2021 y 2023, el porcentaje de personas que preferían el efectivo como medio de pago se redujo a la mitad, mientras que la proporción que optó por métodos electrónicos, como tarjetas de débito, crédito y pagos móviles, supero la duplicación.

Por un lado, es de celebrarse que el ecosistema de pagos se modernice hacia la reducción de uso de efectivo el cual resta velocidad a la movilidad de capitales o la trazabilidad transaccional. Pero con dichos avances surgen nuevos riesgos. Dos casos emblemáticos abonan a esta discusión:

Entre el 2007 y 2008, Hearland Payment System, una compañía estadounidense procesadora de medios de aceptación de pagos, fue víctima de un ciberataque masivo que comprometió alrededor de 130 millones de números de tarjetas. El ataque le costó a la compañía más US$200 millones de dólares en gastos y una pérdida de hasta el 77% de precio de sus acciones.

El ataque fue diagnosticado como una inyección de SQL, lo que consiste en ingresar codigo malicioso en la entrada de una aplicación web para manipular bases de datos o ejecutar comandos en un servidor. Aunque la inyección se desarrolló a lo largo de 2007, la vulnerabilidad existió 8 años antes del ataque, por medio de un código escrito para habilitar un un formulario web.

La vulnerabilidad de dicho código permitió a los atacantes ingresar a la red corporativa, en donde pasaron 6 meses intentando acceder a la red de procesamiento. Cuando lograron ingresar a la red de procesamiento, los atacantes instalaron un software de monitoreo y captura de data durante su tráfico (“sniffer”). Dado que en ciertos puntos de la red la información viajaba el texto en claro, los atacantes lograron capturar sufiente data como para crear versiones paralelas de tarjeta que contenian, incluso, la codificada en la banda magnética.

Los procesadores de pago, como Heartland, no son los únicos candidatos de ataque cibernpetico. Todo participante de econosistema de pagos puede estar expuesto.

En 2013, una de las mayores cadenas de retail estadounidense fue el blanco de uno de los casos de uso más interesantes en la materia: Target.

Los atacantes accedieron a la red de la empresa a través de las credenciales comprometidas de un proveedor de servicios de climatización. Una vez dentro, instalaron malware en los terminales de punto de venta (POS) para capturar datos de tarjetas, en el momento de ejecución de la transacción en la misma terminal.. Este ataque comprometió la información de aproximadamente 40 millones de tarjetas y los datos personales de 70 millones de clientes.

Las investigaciones mostraron que los atacantes, por medio de una simple busqueda en Google, obtuvieron 2 piezas clave de información: 1) los proveedores de Target; 2) un caso de estudio publicado por Microsoft en el que revelaban cómo Target usaba Microsoft System Centre Configuration Manager (SCCM) para gestionar maquinas virtuales y ajustes de seguridad, revelando con un gran nivel de detalle la insfraestructura de Target, incluyendo el sistema de gestión de los POS.

Con esta información, a travez de un ataque de phishing dirigido a un proveedor de target, los atacantes instalaron un malware llamado Citadel, mediante el cual obtuvieron las credenciales para accesar al portal de proveedores de Target. Dicho portal no se encontraba aislado de la red de la compañía, por lo que el mismo sirvió de puente para acceder a la red corporativa en donde se accedia a la base de datos de clientes y a la red en donde funcionaban los POS.

Ambos casos dejan lecciones muy importantes, resaltando la relevancia de técnicas, modernas o no, de protección de la información y la necsidad de extenderlas a toda la cadena de suministro de seguridad.

Los estandares PCI DSS (Payment Card Industry Data Security Standard) representan la respuesta que la industria ha orquestado para blindarse de este tipo de eventos. Dichos estándares nacieron en 2004 como una iniciativa conjunta de las principales marcas de tarjetas (Visa, Mastercard, American Express, Discover y JCB) con el fin de establecer un marco de seguridad global que protegiera los datos de los titulares de tarjetas durante las transacciones. Este conjunto de normas que ya cuenta con su versión 4.01., coloca la protección de Primary Account Number (PAN) en el corazón de 12 macro-requerimientos enfocados en generar un ambiente de protección integral de los sistemas críticos de una compañía; en particular, aquellos que interactuan con el PAN.

Ahora bien, PCI DSS por sí solo no es suficiente. Heartland, de hecho, habia obtenido varias certificacioens PCI antes ocurrido en ataque. Debe existir proactividad en la gestión de riesgos de ciberseguridad, así como disciplinada y consistentemente en el uso de herramientas.

Para ambos casos, la primera línea de defensa pudo haber sido la segmentación de red, particularmente aquellas en las que interactuan terceros. Con dicha segmentación, se podría haber logrado aislar su red operativa de manera que esta no abriera puertas a otras redes. De igual manera, no cabe duda que otra gran lección es la gestión estricta de los proveedores de cualquier clase, quienes deben ser tambien condicionados al uso de medidas relevantes de seguridad.

Tambien existen tecnicas que protejen la información, aún cuando el atacante ya se encuentra en casa. Estas tecnicas garantizan que un robo de información resulte inutil para el atacante.

La P2PE («Point-to-Point Encryption»), pudo prevenir la captura de información desde el POS de Target, así como la captura de información en tránsito en las redes internas de Heartland). Esta técnica consiste en convertir datos sensibles (como el PAN) en un formato ilegible mediante un algoritmo criptográfico, que solo puede ser descifrado con una clave específica.

Por otro lado, la Tokenización resulta util para reducir el riesgo asociado con el almacenamiento de datos sensibles. Esta herramienta que se usa para incorporación de tarjetas en billeteras digitales como Apple Pay y Google Pay, consiste en reemplazar datos sensibles con un identificador único (token) sin ni guna vinculación matematica entre con el dato original, que no tiene valor fuera de sistema que lo generó.

Post-mortem resultan claras las formas de reducir el riesgo de ambos casos abordados. No obstante, lo cierto es que la creciente complejidad del ecosistema de pagos y el aumento de las transacciones digitales abren riesgos que probablemente aún no conocemos.

Por suerte, el mundo evoluciona hacia una mayor concientización sobre estos problemas y ningún actor de ecosistema puede ignorar su rol en esta labor. Esta concientización ha permeado tanto en las empresas, gobiernos, como en los mismos certificadores.

Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago.

Por mi parte, me doy por satisfecha si la próxima vez que participes de un simulacro de Phishing en tu empresa, recuerdas este artículo y evitas caer en la trampa.

Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación.

La ley se presenta como una herramienta oportuna para garantizar el derecho a la autodeterminación informativa, un derecho reconocido y protegido por la Sala de lo Constitucional mediante jurisprudencia desde hace casi una década. Este derecho otorga a los individuos la facultad de decidir quién, cuándo, dónde y cómo se recopila y trata su información personal.

A continuación, destacaré tres aspectos fundamentales de esta ley que, a mi juicio, constituyen una actualización legislativa clave y que se han inspirado en los mejores estándares internacionales, específicamente en el Reglamento General de Protección de Datos Personales (RGPD) de la Unión Europea.

1. Derechos de los interesados: ARSOPOL / ARCOPOL

El primer punto relevante es el reconocimiento explícito de los derechos de los titulares de los datos personales. Estos derechos, comúnmente conocidos por sus siglas ARSOPOL / ARCOPOL, incluyen:

Acceso: Derecho a conocer qué datos personales se están tratando.

Rectificación: Derecho a corregir datos incorrectos o incompletos.

Cancelación o Supresión: Derecho a solicitar la eliminación de datos personales.

Olvido: Derecho a la eliminación de información que ya no sea necesaria.

Portabilidad: Derecho a recibir los datos en un formato estructurado y transferible.

Oposición: Derecho a oponerse al tratamiento de los datos.

Limitación del tratamiento: Derecho a restringir el uso de los datos personales, solo a tratamientos que sean relevantes para el fin para el cual se recolectaron.

El reconocimiento de estos derechos es una garantía fundamental para los ciudadanos, permitiéndoles un mayor control sobre su información personal.

2. La “Responsabilidad Proactiva”

El segundo aspecto clave es el principio de la “Responsabilidad Proactiva” o como lo define la legislación salvadoreña «Responsabilidad Comprobada», que, en términos sencillos, es la obligación de demostrar que los responsables del tratamiento de datos cumplen con la ley. Este principio establece que las personas naturales o jurídicas que recaban y gestionan datos personales deben implementar medidas técnicas y organizativas adecuadas para asegurar la protección de la información. Además, deben ser capaces de demostrar que su tratamiento de datos cumple con todos los requisitos legales establecidos.

Este principio es esencial porque coloca a los responsables del tratamiento en una posición proactiva, exigiendo no solo que cumplan con la normativa, sino que también puedan evidenciar dicho cumplimiento en todo momento.

3. El Delegado de Protección de Datos (DPO)

El último aspecto para destacar es la figura del Delegado de Protección de Datos (DPO), un actor clave en la implementación y vigilancia del cumplimiento normativo. En la ley salvadoreña, esta figura es esencial para garantizar la correcta protección de los datos personales, desempeñando un papel fundamental en la supervisión y en el aseguramiento del cumplimiento de la normativa.

Aunque la normativa salvadoreña establece una base sólida para el DPO, El Salvador podría tomar como referencia marcos más avanzados, como el RGPD de la Unión Europea, que otorgan ciertas garantías adicionales para fortalecer la autonomía de esta figura. Por ejemplo, en otras legislaciones se establece la estabilidad en el puesto, lo que le permite ejercer sus funciones con independencia y sin riesgo de represalias, además de exigir que reporte directamente a las instancias más altas de la organización, asegurando así que sus decisiones sean tomadas de manera autónoma y sin presiones externas.

Este tipo de garantías adicionales podría ser un excelente punto de partida para seguir fortaleciendo el papel del DPO en El Salvador, asegurando un cumplimiento normativo más robusto y una mayor protección de los datos personales de los ciudadanos.

4. Obligaciones de las entidades sujetas a la Ley

La nueva Ley para la Protección de Datos Personales establece que se aplicará a todas las personas, ya sean naturales o jurídicas, que realicen el tratamiento de datos personales, ya sea por cuenta propia (como responsables del tratamiento) o en calidad de encargados de tratamiento (tratando datos personales en nombre de un tercero). La acción que genera la obligación de cumplir con esta ley es el «tratamiento» de datos, el cual se define como:

«Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.» (Definición del RGPD).

En este contexto, la aplicación de la ley abarca a todos los sectores productivos del comercio, dado que todos, en mayor o menor medida, manejan datos personales no solo de sus clientes, sino también de sus empleados. Además, es necesario poner especial énfasis en los centros de asistencia sanitaria, como hospitales y consultorios médicos, ya que los datos tratados en estos lugares son considerados «Datos Especialmente Protegidos» o, como los define la ley salvadoreña, «Datos Sensibles». Estos datos requieren una protección adicional debido a su naturaleza delicada.

5. Régimen sancionatorio

La ley establece infracciones catalogadas como leves, graves y muy graves. Naturalmente al ser temas de cumplimiento administrativo, estas sanciones son pecuniarias para los infractores, tomando como parámetro salarios mínimos mensuales vigentes del sector comercio:

Las multas Leves de 1 hasta 10 salarios mínimos.

Las multas Graves de 11 hasta 25 salarios mínimos.

Las multas Muy Graves de 26 hasta 40 salarios mínimos.

6. Oportunidades de mejora

Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación.

El primer punto de mejora es la confusión que existe sobre la Seudonimización y la Anonimización con la Disociación, esto debido a que lo largo de la ley se confunden estos términos, siendo que la información anonimizada es un conjunto de datos que no guarda relación con una persona física identificada o identificable. Mientras que la información seudonimizada es un conjunto de datos que no puede atribuirse a un interesado sin utilizar información adicional, es decir, la Seudonimización y Anonimización son formas de Disociación de Datos. Un ejemplo de esta confusión es el artículo 8 literal b), y artículo 10 literal e).

La segunda oportunidad de mejora es desarrollar más bases de licitud del tratamiento, o aclarar y dar más relevancia para su aplicación a las que se contemplan en el Principio de Licitud. En todo el recorrido de la ley se hace ver que la única base licitud de tratamiento válida es el Consentimiento, dejando la duda si se aplicarán las desarrolladas en Principio de Licitud, las cuales son:

• Cumplimiento Contractual.
• Cumplimiento de una obligación Legal.
• Proteger intereses vitales del interesado.
• Cumplimiento de un interés público.
• Interés Legítimo (esta base da para hablar un artículo completo).

Corolario

En resumen, los puntos destacados representan elementos clave para la implementación de la nueva Ley de Protección de Datos Personales en El Salvador: los derechos de los interesados, la responsabilidad comprobada de los responsables del tratamiento, y la figura del delegado de Protección de Datos.

Aunque la ley establece sanciones claras, aún existen oportunidades de mejora en términos de definición y bases de licitud para el tratamiento de datos. No obstante, este avance normativo contribuirá a crear un entorno más seguro y transparente para la gestión de los datos personales de las personas.

Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.

Introducción
Se ha aprobado un marco normativo de protección de datos personales que, sin duda, contribuirá a salvaguardar la información de los salvadoreños frente a un uso inadecuado de su información.

Publicada en el Diario Oficial del 15 de noviembre, la normativa entró en vigencia el 23 del mismo mes, iniciando los plazos para su implementación, adecuación, adopción de medidas de protección y establecimiento de mecanismos que permitan el ejercicio de los derechos ARCO-POL.

La ley establece tres actores principales: la Agencia de Ciberseguridad del Estado, los sujetos obligados como responsables de tratamiento de datos y los titulares de estos. Cada uno de ellos desempeña un papel relevante, debiendo prepararse no solo para enfrentar los retos que implica su implementación, sino también para aprovechar las oportunidades que esta normativa genera.

A continuación, desarrollaré los principales retos y oportunidades para cada uno de estos actores.

AGENCIA DE CIBERSEGURIDAD DEL ESTADO “ACE”
Es la entidad rectora, encargada de aplicar y supervisar el cumplimiento de la ley.
Entre sus principales atribuciones tenemos la supervisión y sanción de las instituciones obligadas, garantizar la protección de datos, promover programas de sensibilización, resolver controversias, dictar políticas de seguridad, crear certificaciones, impartir capacitaciones y asesorar a entidades públicas y privadas.

RETOS:
Financiamiento, recursos humanos y plataforma tecnológica
Dado que tanto la Ley de Ciberseguridad y Seguridad de la Información como la Ley para la Protección de Datos Personales son de reciente promulgación, es necesario construir desde cero las estructuras y mecanismos idóneos para su implementación. Esto requiere dotar a la ACE de recursos suficientes en términos financieros, humanos y tecnológicos, para asegurar su buen funcionamiento y el cumplimiento de sus objetivos.

Es crucial contar con personal calificado, capaz de enfrentar las complejidades que demanda un entorno tan amplio y en constante cambio, especialmente en el ámbito digital. Para fortalecer la capacidad operativa de la ACE, es preciso adquirir herramientas para supervisar el cumplimiento normativo, como sistemas de análisis de datos, plataformas de gestión de cumplimiento, supervisión de riesgos cibernéticos y monitoreo. Además, se debe implementar un portal que incluya servicios en línea para la recepción, registro y gestión de denuncias.
Elaboración de disposiciones para la aplicación de la Ley

La ACE debe emitir, en los tres meses posteriores a la entrada en vigencia de la ley, políticas, medidas y guías que proporcionen a los sujetos obligados claridad y dirección para cumplir con los requisitos legales.

Capacitación
La autoridad de control debe jugar un rol activo en materia de capacitación. Requiere garantizar que sus propios funcionarios cuenten con los conocimientos técnicos, jurídicos y prácticos necesarios para desempeñar adecuadamente su trabajo, lo que requiere de una formación continua.

Por otro lado, debe proporcionar a los sujetos obligados y a los titulares de los datos, herramientas educativas que les permitan profundizar en el conocimiento de la ley.

Cooperación interinstitucional
Esto implica la coordinación con diversas entidades, tanto nacionales como internacionales, para asegurar la correcta aplicación y cumplimiento de la ley. Además, incluye la colaboración para compartir información, recursos y mejores prácticas.

OPORTUNIDADES:
Promoción de un entorno más seguro y confiable en el manejo de datos personales
Mediante la implementación de normativas claras, auditorías periódicas, educación y capacitación de las partes involucradas, respuesta rápida a incidentes y creación de programas de certificación.

Liderazgo en la protección de datos
Posicionar al país como un referente regional en la materia y eventualmente pueda ser considerado como un país con nivel de protección adecuado.

Mejorar la confianza pública:
Una buena aplicación de la ley incrementa la confianza de los ciudadanos en la entidad rectora y en los sujetos obligados, asegurando que sus datos están debidamente protegidos.

SUJETOS OBLIGADOS
Es toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros.

El ámbito de aplicación de la ley no establece excepciones; todas las personas que realicen tratamientos de datos, sin importar tamaño, naturaleza o alcance, deberán cumplir con ella.

RETOS:
Adaptación a la normativa:
Los sujetos obligados deben garantizar que sus políticas y procedimientos de gestión de datos estén alineados con los nuevos requisitos legales, incluyendo los datos personales obtenidos antes de su vigencia.

Adaptarse adecuadamente a la normativa requiere diversas actividades que aseguren su cumplimiento más allá de ajustes superficiales. Es preciso realizar un diagnóstico y evaluación inicial del estado de la empresa en cuanto al tratamiento de datos para detectar áreas críticas, establecer prioridades y planificar mejoras necesarias.

Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.

Es prudente empezar a elaborar políticas y revisar procesos internos desde ahora, ya que la implementación de modelos de gestión implica inversión de tiempo dentro de las organizaciones.

Capacitación constante
La formación continua es crucial para cumplir con la ley. Este desafío no solo recae en los equipos de IT, sino también en los departamentos legales y de recursos humanos y dependerá de la alta dirección que toda la organización esté alineada con la normativa
Implementación de mecanismos para el ejercicio de derechos ARCO-POL

Los sujetos obligados como responsables del tratamiento deben garantizar que los titulares puedan ejercer sus derechos efectivamente, mediante mejoras tecnológicas y operativas que faciliten su cumplimiento de manera eficiente y segura.

Costos asociados
Las necesidades y costos asociados a la implementación de la ley varían significativamente según el sector y tamaño de la empresa, así como el tipo y volumen de tratamiento de información personal que realice.

OPORTUNIDADES:
Mejora en la imagen corporativa
Cumplir con la normativa vigente contribuye a mejorar la reputación de las empresas, demostrando su compromiso con la seguridad y privacidad de los datos y generando confianza entre sus usuarios y clientes.

Innovación tecnológica.
Es beneficioso aprovechar la ley como una oportunidad para innovar, desarrollando nuevos servicios y procesos que integren la protección de datos desde su concepción (Privacy by Design).
Reducción de riesgos legales
Una gestión adecuada de la privacidad evita el riesgo de sanciones severas.

TITULARES DE LOS DATOS PERSONALES

RETOS:
Conocer sus derechos
Para muchas personas, la protección de datos personales parece irrelevante hasta que se ven afectadas. Por eso, es crucial educarse y concienciar sobre la importancia de proteger su información personal y conocer sus derechos.
Seguridad en entornos digitales

No basta con que exista una ley para proteger los datos personales; las personas deben tomar medidas de seguridad, especialmente en el entorno digital. La combinación de una legislación robusta y la educación sobre prácticas seguras, como el uso de contraseñas fuertes y la actualización de software, ayuda a prevenir vulnerabilidades y ciberataques.

OPORTUNIDADES:
Mayor control sobre sus datos personales
Los titulares tienen ahora un mayor control sobre sus datos, lo que les permite ejercer sus derechos frente a los sujetos obligados.
Transparencia en el tratamiento de datos
Las personas pueden exigir mayor transparencia a las empresas sobre el procesamiento de sus datos personales, fomentando una cultura de responsabilidad.

CONCLUSIÓN:
La Ley para la Protección de Datos Personales es un avance significativo hacia la consolidación de un marco normativo que garantice la privacidad y seguridad de los datos. Su implementación plantea retos importantes para los organismos de control y los sujetos obligados, debiendo adoptar las disposiciones en plazos definidos y con claridad normativa.
Es preciso educar y sensibilizar a los titulares de los datos sobre sus derechos, fomentando su rol activo en la gestión de su información personal. El equilibrio entre regulación, cumplimiento y empoderamiento ciudadano será clave para el éxito de esta legislación

En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.”

1. Introducción

La evolución tecnológica ha transformado profundamente las expectativas de los consumidores al elegir productos y servicios, estableciendo nuevos estándares que las empresas deben atender para mantenerse competitivas. En este contexto, el manejo adecuado de los datos personales no solo es un imperativo ético y legal, sino una oportunidad estratégica para diferenciarse en mercados saturados y ganar la confianza del cliente. Según un estudio reciente de Cisco, el 95% de las compañías que invierten en privacidad de datos personales, también conocida como protección de datos personales, obtienen beneficios que superan los costos, con un retorno promedio de inversión de 1.6 veces. Este hallazgo confirma una realidad incuestionable: la privacidad no solo mitiga riesgos, sino que genera valor tangible.

Las empresas que integran la privacidad en su funcionamiento logran atraer nuevos clientes que valoran el manejo responsable de sus datos, fortalecen la lealtad de su clientela actual y optimizan su eficiencia operativa. En un mundo digitalizado, donde los teléfonos inteligentes superan en número a las cuentas bancarias, y tanto gobiernos como empresas dependen de flujos masivos de información, el resguardo de los datos se traduce en una ventaja competitiva medible.

En los siguientes párrafos, este artículo propone cómo las empresas en El Salvador, al armonizar estrategias empresariales con la protección de datos personales y ciberseguridad, pueden transformar el cumplimiento legal en un motor de confianza, diferenciación y expansión.

2. Cumplimiento Legal como Punto de Partida

El cumplimiento de leyes en materia de privacidad de datos y ciberseguridad es un punto de partida para construir ventajas competitivas. El marco normativo salvadoreño proporciona directrices importantes, como otorgarles derechos a las personas en El Salvador relativos al acceso, rectificación, cancelación, oposición, portabilidad y limitación sobre sus datos personales (ARCO-POL). Para ponerlo en perspectiva, estos son derechos fundamentales en estándares internacionales como el (i) Reglamento General de Protección de Datos (RGPD) en Europa; y (ii) California Consumer Privacy Rights Act (CCPA) de California, Estados Unidos.

Una empresa que integre por diseño estos conceptos en su funcionamiento diario, más allá de evitar infracciones por incumplimiento a la normativa pertinente, tendrá la oportunidad de destacar en el mercado actual, fomentando la transparencia y la confianza de sus clientes. La veracidad de esto es evidente al considerar las expectativas del consumidor actual.

3. Generación de Confianza: El Valor Estratégico de la Privacidad
   Desde la perspectiva del consumidor, un estudio del año 2023 de la Asociación Internacional de Profesionales en Privacidad (IAPP, por sus siglas en inglés) revela que el 64% de los consumidores confían más en las empresas que proporcionan información clara sobre cómo manejan sus datos personales en las políticas de privacidad.
   Por el contrario, el 33% pierde confianza en aquellas empresas que usan sus datos de manera no transparente. Más del 80% de los afectados por violaciones de datos dejan de hacer negocios con las empresas involucradas. Estas cifras exhiben que, aunque no existe un manejo perfecto de datos personales ni ciberseguridad impenetrable, las empresas que priorizan la protección de datos y adoptan prácticas preventivas refuerzan la confianza del cliente, consolidando relaciones y asegurando su crecimiento en mercados cada vez más competitivos y regulados.
4. Privacidad como Diferenciador en Mercados Competitivos

Convertir el manejo adecuado de datos personales en un diferenciador rentable es complejo y requiere inversión. Sin embargo, dicha necesidad es inevitable, dado que las empresas que ofrecen productos o servicios comúnmente lo hacen utilizando herramientas digitales, como computadoras y teléfonos inteligentes, para recolectar, procesar, almacenar o analizar información durante sus operaciones diarias. Por ejemplo, esto incluye el manejo de información (texto, audio, o video) que permita la identificación de las personas, su domicilio, nacionalidad, teléfono, dirección electrónica, datos biométricos, creencias religiosas, o salud, entre otros.

Por lo anterior, es estratégicamente importante que toda empresa diseñe un sistema eficiente para gestionar esta información. Además de prevenir riesgos, una implementación adecuada puede fortalecer la confianza del cliente y consolidar la reputación empresarial, incluso en momentos difíciles, como un incidente de ciberseguridad. En México, otro estudio de la IAPP muestra cómo el 49% de los consumidores siguen confiando en una empresa tras una violación de datos únicamente si esta demuestra un manejo transparente y responsable del incidente.

En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.” Ahora su marca es sinónimo de privacidad a nivel mundial y en gran parte ello les permite mantener una clientela leal y rentable en todo el mundo.

5. La Importancia de Una Estrategia Particularizada y Sostenible

Cada compañía es diferente y opera con particularidades que las distinguen y las hacen únicas. Del mismo modo, el tema de privacidad de datos debe analizarse caso por caso, de manera que las soluciones se diseñen acorde con dichas particularidades. Lo ideal es desarrollar medidas acordes al concepto “Privacidad por Diseño,” el cual se centra en incorporar de forma proactiva, integral e indisoluble la protección de datos en los sistemas, aplicaciones, productos y servicios, así como en las prácticas de negocio y procesos de la empresa. Este enfoque promueve una mentalidad proactiva, no reactiva; preventiva, no correctiva, y centrada en el usuario.

Según buenas prácticas, entre las medidas básicas a incorporar por las empresas se encuentran políticas de privacidad claras, capacitación del personal y un plan de respuesta a incidentes, entre otras. Sin embargo, es necesario realizar un análisis particularizado para cada empresa, incluso si la operación es pequeña, con el fin de diseñar una gestión de datos integral dentro de las actividades. Para empresas con operaciones más grandes, la complejidad de los elementos a considerar aumenta, y otros subtemas, como los flujos transfronterizos de datos, deberían tomarse en cuenta. Por último, a medida que pasa el tiempo o crece la empresa, es esencial actualizar los procesos y sistemas existentes para mantener su debido funcionamiento.

6. Conclusión

En conclusión, más allá de que la protección de datos es un tema ineludible para las empresas, es de mucho beneficio verlo como una oportunidad para distinguirse y poder catapultar sus operaciones locales a nuevas alturas e incluso competir en mercados internacionales que exigen de un manejo de datos equivalente a su jurisdicción para gestionar datos personales de sus ciudadanos. Desarrollar políticas de Privacidad por Diseño es la manera ideal para que las empresas puedan alinearse con estas exigencias. En cualquier caso, un enfoque proactivo, respaldado por asesoría integral de expertos debidamente calificados, permitirá a empresas en El Salvador convertir la protección de datos en un activo estratégico que impulse la innovación, fomente el desarrollo empresarial y fortalezca las relaciones con los clientes.

Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo.

En los últimos años, la transformación digital ha revolucionado la forma en que las entidades públicas y privadas tratan sus datos. Esta modernización también ha expuesto al país a un panorama de riesgos cibernéticos sin precedentes. Los ataques dirigidos contra sistemas gubernamentales y entidades estratégicas han evidenciado la creciente vulnerabilidad de las infraestructuras críticas ante actores maliciosos, algunos con capacidades de ciberinteligencia avanzadas; este riesgo se expande hacia las empresas y el público en general y se concreta en vulneraciones diarias. (Arreola, 2019).

Nos enfrentamos a un entorno donde las amenazas incluyen al robo de información, el bloqueo de sistemas mediante ataques DDOS, ransomware, keyloggers, troyanos y campañas más sofisticadas, como el espionaje digital, la alteración de datos estratégicos y el debilitamiento de la confianza pública a través de la diseminación de información manipulada.

Estas acciones no son únicamente obra de actores individuales, sino que reflejan la coordinación de redes internacionales con fines económicos, políticos y, en ocasiones, ideológicos. Los ataques recientes han mostrado la existencia de brechas significativas en la protección de datos y sistemas, lo que subraya la necesidad de estrategias robustas que combinen tecnología avanzada con inteligencia humana (HUMINT).

Normalmente, las barreras de seguridad más efectivas suelen estar en el ámbito de la tecnología, ya sea a través de sofisticados firewalls, sistemas de detección de intrusos, inteligencia artificial o herramientas de encriptación avanzada. Sin embargo, esta creencia a menudo pasa por alto una realidad contundente: la capa 8, es decir, el ser humano, sigue siendo el punto más vulnerable y, paradójicamente, el más explotado en el espectro de ciberseguridad. (López, 2024).

Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo. Un correo malicioso abierto, una contraseña compartida, descuidos en redes sociales o incluso una conversación aparentemente inocente, son suficientes para abrir las puertas a ataques devastadores. (Gian, 2018).

Por esta razón, el enfoque en ciberseguridad debe trascender el hardware y el software, poniendo énfasis en el fortalecimiento de la capa 8. Esto implica educar, capacitar y sensibilizar a las personas para que no solo reconozcan las amenazas, sino que también desarrollen habilidades críticas para neutralizarlas.

Implica construir una cultura de ciberseguridad donde cada persona, desde el usuario más básico hasta el ejecutivo más experimentado, comprenda su papel y responsabilidad en la defensa de la información y se conviertan en «activos de seguridad». De este modo, la seguridad deja de ser únicamente una cuestión técnica y se convierte en un esfuerzo colaborativo, con el humano como el primer eslabón en una cadena de protección verdaderamente robusta. Aquí es donde los protocolos HUMINT se convierten en un pilar clave. (Wilson, 2020).

Estos protocolos requieren un enfoque sistemático que combine habilidades humanas, procedimientos técnicos y un sólido marco ético; incluyendo un profundo conocimiento cultural y psicológico del entorno. Para comenzar, es esencial definir objetivos claros que alineen la recopilación de inteligencia humana con las necesidades específicas de ciberseguridad, como la prevención de ataques de ingeniería social, la detección de amenazas internas o el rastreo de actores maliciosos en entornos digitales. La selección y capacitación del personal es un paso crítico, ya que el equipo HUMINT debe incluir profesionales capacitados en análisis de comportamiento, negociación y ciberseguridad, además de contar con formación en técnicas avanzadas de recopilación y manejo de información confidencial.

La gestión de fuentes humanas es otro pilar fundamental, incluye identificar, evaluar y mantener relaciones con insiders, informantes o colaboradores externos que puedan proporcionar información relevante. Para recopilar datos, los protocolos HUMINT deben apoyarse en entrevistas estructuradas, observación directa, infiltración en comunidades digitales y encuestas internas diseñadas cuidadosamente para no comprometer la privacidad ni generar desconfianza. Asimismo, la integración de HUMINT con herramientas tecnológicas de ciberseguridad, como sistemas de análisis de patrones y alertas automatizadas, permite validar y enriquecer la información obtenida.

El análisis y procesamiento de la información recolectada es clave para convertirla en inteligencia accionable; contrastar datos mediante triangulación, identificar patrones sospechosos y generar reportes útiles para la toma de decisiones. Todo el proceso debe desarrollarse dentro de un marco ético y legal, respetando regulaciones como el GDPR y asegurando la confidencialidad de las fuentes. Finalmente, los protocolos deben evaluarse y mejorarse continuamente mediante auditorías y ajustes estratégicos, garantizando que la organización esté preparada para enfrentar amenazas emergentes. Al adoptar este enfoque integral, las organizaciones pueden fortalecer su capacidad para anticipar y mitigar riesgos, convirtiendo al factor humano de una debilidad potencial en un pilar clave de la ciberseguridad.

Aunque tradicionalmente estos protocolos han estado más asociados con entidades gubernamentales e inteligencia estatal, las empresas pueden y deben aplicar protocolos HUMINT adaptados a su contexto, especialmente si enfrentan riesgos significativos de ciberseguridad. La adopción por parte de empresas privadas depende de sus necesidades, recursos y del marco ético y legal bajo el cual operan y pueden concentrarse en los siguientes elementos:

Prevención de amenazas internas (Insider Threats):
Identificación de empleados descontentos o vulnerables que puedan filtrar información sensible o colaborar con actores externos. Esto incluye la implementación de canales de comunicación confidenciales y entrevistas estratégicas.

Protección contra ataques de ingeniería social:
Los atacantes a menudo usan ingeniería social para obtener acceso a sistemas empresariales. Un protocolo HUMINT puede ayudar a las empresas a comprender cómo operan estos actores y a educar a los empleados sobre los riesgos.
Investigación de ciberamenazas externas:

Empresas en sectores críticos, como tecnología, finanzas o infraestructura, pueden emplear HUMINT para infiltrarse en foros de la dark web donde se comercian datos robados o se planean ataques específicos.

Evaluación de socios y proveedores:
Evaluar riesgos asociados con terceros que manejan datos sensibles o acceden a los sistemas empresariales.
Recopilación de inteligencia competitiva ética:
Sin cruzar líneas legales o éticas, las empresas pueden utilizar HUMINT para entender tendencias de la industria y anticiparse a los movimientos de la competencia.

Así, la integración de HUMINT en estrategias de ciberseguridad representa una oportunidad para fortalecer la protección de activos digitales y humanos en un entorno cada vez más vulnerable; pero, implica retos relacionados con la confidencialidad y seguridad de las fuentes humanas, debiendo respetar los principios de transparencia, consentimiento informado y propósito legítimo en el tratamiento de datos.

Bibliografía:
Arreola García, A. (2019). Ciberseguridad: ¿Por qué es importante para todos?. Ciudad de México: Siglo XXI Editores.
Giant, N. (2018). Ciberseguridad para la i-generación: Usos y riesgos de las redes sociales y sus aplicaciones. Madrid: Narcea Ediciones.
Wilson, O. (2020). Intelligence Gathering: Front Line HUMINT Considerations (Hostile Environment Risk Management).