“Me han pedido mis datos personales en una página web y quiero retirarlos”, “no he proporcionado mi número de tarjeta pero sí he dado mi número de teléfono y no quiero que lo tengan ¿qué puedo hacer?”. Estas son preguntas que recibimos habitualmente en nuestro buzón de timos ([email protected]).
Muchas veces ya hemos introducido nuestros datos en el apartado de una página web cuando detectamos que no es la que creíamos o algo nos huele a fraude, ¿cuál es la solución en estos casos? Dependerá de si la página web es legítima o no y cuál es el fin que persigue.
Practica ‘egosurfing’ para ver si se está haciendo un uso indebido de tus datos personales
¿Qué información circula sobre nosotros en internet? Para el Instituto Nacional de Ciberseguridad (INCIBE) el egosurfing es “una buena práctica que todos deberíamos realizar periódicamente, para saber qué se dice de nosotros, cómo se dice, quién lo dice y con qué objetivo, e identificar posible información que no debería estar publicada y que queramos que sea eliminada”.
Es importante que usemos los buscadores de internet y las redes sociales pero, además, podemos valernos de herramientas como “Google Alerts” que nos avisará cuando se publique información sobre nosotros.
El maldito e informático experto en técnicas de hacking, Santiago Casteleiro, hace hincapié en que “se deberá prestar especial atención a comprobar si nuestro nombre aparece en una lista de scammers”. Esto es, si nos están suplantado y timando a otras personas en nuestro nombre. En Maldita.es ya te explicamos por qué no debes enviar una foto de tu DNI a cualquier persona que te lo pida y que no conozcas.
Ejerce tu ‘derecho al olvido’ o a la supresión
Si tras realizar egosurfing encuentras información que se ha publicado sin tu consentimiento, recuerda que puedes ejercer tu derecho de supresión (conocido como ‘derecho al olvido’). El Reglamento General de Protección de Datos (RGPD) contempla este derecho, a través del cual “puedes eliminar todos tus datos almacenados que tenga la web”, explica a Maldita.es Víctor Jesús Agulló, analista de seguridad y maldito que nos ha prestado sus superpoderes.
La Agencia Española de Protección de Datos (AEPD) tiene disponible en su página web un formulario que podemos rellenar con nuestros datos para ejercer este derecho. Una vez completado, debemos buscar el contacto del Delegado de Protección de Datos (DPO) del organismo al que vayamos a pedir que suprima nuestros datos y enviarle este documento junto a una copia de nuestro DNI, que servirá para identificarnos.
El tiempo del que disponen para contestar a este tipo de petición es de un mes, pero si no tuviésemos respuesta para entonces, podremos presentar una reclamación ante la AEPD. Agulló también recomienda “usar algún tipo de sistema de email que indique si se ha abierto el correo o no, como la extensión de Chrome Mailtrack y “si no nos importa gastarnos algo de dinero, enviar un burofax desde una oficina de Correos, en lugar de un email, ya que este tiene la particularidad de que una vez recibido, se da por leído automáticamente, por lo que la empresa tiene un mes a partir de la misma hora y día que se le envía”.
Si no sabemos o no encontramos a la persona a la que debemos enviar el email o burofax “puede intermediar la AEPD para pedirle a la empresa un representante, pero esto puede alargar y complicar el proceso, así que lo puede mandar al correo de contacto, quejas o legal que encuentre”, añade el analista de seguridad.
¿Y si estamos ante un caso de ‘phishing’ y la página web no tiene política de privacidad o no responde?
“Si la web no es legítima, es improbable que le importe cumplir la ley” señala Mar Arribas, nuestra maldita que nos ha cedido sus superpoderes en ciberseguridad. En estos casos en los que la página se hace pasar por otra o tiene como objetivo el engaño, “lo mejor es denunciarlo ante las autoridades”, añade. Recuerda que debes hacerlo aportando tantas pruebas como puedas.
Cuando no tenemos a quién reclamar nuestros derechos de acceso, rectificación, cancelación u oposición, dependiendo de los datos que hayamos introducido, “deberemos estar pendientes de los movimientos de nuestra tarjeta (si dimos los datos bancarios) o del funcionamiento de nuestro smartphone”, explica Santiago Casteleiro. Esto último se debe a que si hemos introducido datos como nuestro nombre y DNI “los ciberdelincuentes pueden realizarnos un ataque de SIM Swapping o secuestro de tarjeta SIM”, aunque para poder llevar a cabo esto último “los cibercriminales deberían de conocer su compañía de teléfono y los datos proporcionados les pueden facilitar la tarea de averiguar qué compañía es”, explica a Maldita.es.
Ante la sospecha de que nos estén suplantado o que puedan hacerlo por haber introducido unos datos, Agulló sugiere denunciarlo ante la policía ya que, “si alguien comete delitos en nuestro nombre, podemos defendernos aportando la denuncia”. Y, también, ponerlo en conocimiento de la AEPD, como señala la la abogada especializada en derecho digital, privacidad y protección de datos, Camino García “para poner en comunicación estos hechos y que se realicen las averiguaciones necesarias y, en su caso, se inicie el correspondiente procedimiento sancionador”.
Es mejor prevenir: haz verificaciones previas antes de dar tus datos
En ocasiones proporcionamos nuestros datos o los introducimos en determinados apartados pensando que como no son los de nuestra tarjeta bancaria, no nos puede pasar nada. Pero como siempre insistimos, parte de los casos de phishing sólo pretenden hacerse con nuestra información, es decir, con nuestros datos personales. Por tanto, el maldito y consultor en privacidad y comunicación, Jesús Cobos, destaca la importancia de “hacer consultas y comprobaciones muy sencillas antes de introducir nuestros datos personales en una web para intentar garantizarnos cierta seguridad”.
¿Cuáles son estas comprobaciones? “Mirar si la web tiene certificado seguro (dirección que empiece por https://, o que tenga el candado en nuestro navegador que indica que es válido) y revisar el Aviso Legal y la Política de Privacidad de la web para saber el titular de la misma”.
Sobre el “Aviso Legal” nos habla la abogada especializada en derecho digital, privacidad y protección de datos, Camino García. En estas verificaciones previas “debe aparecer la identificación completa del titular del sitio web, incluyendo razón social, NIF, teléfono, email, domicilio social, y datos de inscripción en el registro público en el que conste inscrito”.
La alarma, asegura, nos debe sonar cuando esta información no aparezca completa: “Nos puede dar la pista de que el titular de la web no tiene una actividad legítima o pretende hacer un uso fraudulento de los datos”.
El otro apartado importante es la “Política de Privacidad” donde veremos si existen “mecanismos habilitados para el ejercicio de derechos y canales de comunicación”. Desde FACUA ya han explicado a Maldita.es en otras ocasiones la importancia de no comprar en los sitios web que carecen de política de privacidad.
Otros consejos que nos traslada Casteleiro: verifica si una página se está haciendo pasar por otra. Aunque tenga el logo de la supuesta empresa u organización, podría estar haciéndose pasar por ella. Fíjate, además, si hay partes de la página escritas en otros idiomas y que no tenga faltas de ortografía. Si es así, desconfía.
En definitiva, pon en práctica todos estos consejos y, ante la duda, no proporciones tus datos y escríbenos a [email protected] o través de nuestro chatbot de WhatsApp (+34 644 22 93 19) para que verifiquemos la página.
En este artículo han colaborado con sus superpoderes el maldito Víctor Jesús Agulló, analista de seguridad; Mar Arribas, experta en ciberseguridad; Santiago Casteleiro, informático experto en técnicas de hacking y Jesús Cobos, consultor en privacidad y comunicación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
* Este artículo se ha actualizado el 16/10/2024.
Primera fecha de publicación de este artículo: 30/09/2021