En el actual entorno digital hiperconectado, los datos personales, así como la información corporativa constituyen uno de los activos más valiosos y, simultáneamente, uno de los más vulnerables; las amenazas cibernéticas se han sofisticado a un nivel tal que las medidas reactivas ya no son suficientes para proteger la información crítica.
La adopción técnica de Protección de Datos (Privacidad) y Seguridad por Defecto y desde el diseño no solo mejora la postura de seguridad de las organizaciones, asegura que, sin importar el nivel de conocimiento técnico del usuario, sus datos estarán protegidos automáticamente desde el primer uso del sistema.
Se debe entender a la Protección de Datos desde el Diseño (Privacy by Design), al proceso que permite a las organizaciones que en el tratamiento de datos personales se apliquen técnicas y estrategias desde su fase inicial para evitar riesgos para los derechos de los titulares en atención al estado de la técnica, naturaleza y fines del tratamiento, así también para que los datos personales no sean por defecto accesibles a personas no autorizadas. Estas estrategias se deben incorporar en todo el ciclo de vida del sistema.
Los siete principios fundamentales de la privacidad por diseño definidos por Ann Cavoukian son los siguientes:
- Proactivo, no reactivo; preventivo, no correctivo.
- La privacidad como configuración predeterminada.
- Privacidad incorporada en la fase de diseño.
- Funcionalidad total: pensamiento “todos ganan”.
- Aseguramiento de la privacidad en todo el ciclo de vida.
- Visibilidad y transparencia.
- Respeto por la privacidad de los usuarios: mantener un enfoque centrado en el usuario.
Ejemplo de Privacidad por Diseño
En un sistema de salud en línea, desde el diseño se incorpora: separación de roles para limitar el acceso a datos médicos, cifrado por diseño de historia clínicas, consentimiento explícito antes de compartir información con terceros y políticas automáticas de retención y eliminación de datos personales.
La Protección de Datos por Defecto (Privacy by Default) es un principio que forma parte del enfoque más amplio conocido como Privacidad desde el Diseño (Privacy by Design), propuesto por la Dra. Ann Cavoukian (Comisionada de Protección de datos de Ontario en Canadá, término aceptado a nivel internacional en la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad, celebrada en la ciudad de Jerusalén en el 2010, y se emitió la denominada “Resolución sobre la Privacidad por Diseño” en la cual se reconoció la importancia de incorporar principios de privacidad dentro de los procesos de diseño, operación y gestión de los sistemas de las organizaciones para obtener un marco de protección integral referido a protección de datos).
A nivel de ingeniería de software, la Privacidad por Defecto se traduce en:
- Desarrollo orientado a la Seguridad y Privacidad desde el inicio del ciclo de vida del sistema (Secure SDLC).
- Configuración de políticas predeterminadas restrictivas en bases de datos, servidores, APIs, etc.
- Uso de técnicas como pseudonimización, anonimización y cifrado.
- Interfaces que facilitan al usuario cambiar configuraciones, pero no requieren acción para garantizar su privacidad básica.
Ejemplo de Privacidad por Defecto
Para el caso de aplicaciones de mensajería instantánea (WhatsApp, Signal, Telegram, entre otras), las conversaciones están cifradas de extremo a extremo automáticamente; el perfil no es visible para contactos desconocidos, la geolocalización está desactivada por defecto y no se guardan copias de seguridad sin consentimiento explícito.
La implementación de la protección de datos personales desde el diseño y por defecto son de obligatorio cumplimiento cuando se realiza tratamiento de datos personales, conforme lo disponen los artículos 39, 47 y 67 de la Ley Orgánica de Protección de Datos Personales y su reglamento de aplicación.
La Seguridad por Defecto (Security by Default) hace referencia a que los sistemas deben diseñarse y configurarse de manera que garanticen la operación, administración y registro de actividades para que sean mínimas necesarias y accesibles a personas autorizadas, es importante encontrar un equilibrio entre ciberseguridad y su funcionalidad; se basa en el principio de mínimo privilegio y mínima superficie de ataque, y busca reducir las vulnerabilidades asociadas a configuraciones inseguras o permisivas por omisión.
Técnicamente, la Seguridad por Defecto implica que, cuando un sistema, aplicación o servicio es desplegado por primera vez: solo están habilitadas las funcionalidades esenciales, los puertos, servicios y APIs no necesarios están desactivados, el acceso es restringido por configuración inicial, no abierto, las credenciales predeterminadas deben estar inhabilitadas o forzar su cambio inmediato, y la recolección y exposición de datos está minimizada.
Ejemplo de Seguridad por Defecto
Un servidor que instala por defecto con el puerto SSH cerrado a conexiones externas previene accesos remotos no autorizados por omisión.
La Seguridad por Diseño (Security by Design) es un enfoque técnico y metodológico que implica incorporar mecanismos de seguridad desde las fases más tempranas del ciclo de vida del desarrollo de sistemas (SDLC); su objetivo es prevenir vulnerabilidades estructurales y proteger activamente la confidencialidad, integridad y disponibilidad de la información desde la arquitectura del sistema, no como un añadido posterior.
Los principios técnicos fundamentales en la Seguridad por Diseño son:
- Evaluación de amenazas desde el inicio (Threat Modeling).
- Principio de menor privilegio (Least Privilege)
- Defensa en profundidad (Defense in Depth)
- Superficie de ataque mínima, Diseño seguro por defecto
- Validación y sanitización de entradas
- Registro y auditoría incorporada
Ejemplo de Seguridad por Diseño
En una aplicación Web bancaria, la Seguridad por Diseño se presenta en; Autenticación multifactor integrada desde el diseño; todos los datos sensibles cifrados (en tránsito y en reposo); límite de intentos de acceso, protección contra fuerza bruta; modelado de amenazas previo al desarrollo para definir medidas contra inyecciones, robo de sesiones, XSS; configuraciones seguras por defecto y revisión continua de código.
La implementación de la seguridad desde el diseño y por defecto es obligatoria en las entidades, organismos e instituciones del sector público, conforme dispone el Acuerdo Ministerial Nro. MINTEL-MINTEL-2024-0003 de 1 de marzo de 2024, en el cual se expide el “ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN – EGSI”, que dentro de los controles de la Seguridad de la Información dispone:
“(…) 4.27. Arquitectura del sistema seguro y principios de ingeniería (…) La ingeniería de sistemas seguros debe implicar: a) El uso de principios de arquitectura de seguridad, tales como “seguridad por diseño“, “defensa en profundidad”, “seguridad por defecto”, “denegación predeterminada”, “fallo seguro”, “desconfiar de la entrada de aplicaciones externas”, “seguridad en implementación“, “asumir incumplimiento, “privilegio mínimo“, “facilidad de uso y administración” y “funcionalidad mínima”; b) Una revisión del diseño orientada a la seguridad para ayudar a identificar las vulnerabilidades de la seguridad de la información, asegurar que se especifiquen los controles de seguridad y cumplir con los requisitos de seguridad; (…)”
En conclusión, la ciberseguridad moderna ya no puede sostenerse sobre pilares reactivos y manuales, es necesario adoptar un doble enfoque de protección de los datos personales y de seguridad de la información. Estos principios deben ser considerados como patrones de arquitectura fundamentales en cualquier solución digital, tanto en la nube como en entornos on premise.
Por lo tanto, la adopción técnica de Protección de Datos (privacidad) y Seguridad desde el Diseño y por Defecto; sin bien, eleva la calidad del software, reduce costos asociados a incidentes y fortalece la confianza del usuario; lo más importante es que, mejora la postura de seguridad de las organizaciones y establecer estrategias jurídicas y técnicas decisivas para proteger los derechos de los titulares de los datos personales, pues permiten: a) prevenir vulnerabilidades en lugar de corregirlas después; b) reducir riesgos tanto operativos como legales, ya que se minimiza la exposición de datos personales y vectores de ataque desde la concepción del sistema; c) automatizar la protección, incluso para usuarios no técnicos; y, d) construir sistemas seguros por arquitectura, no solo por parcheo posterior.
Este enfoque proactivo es esencial para afrontar los desafíos de la ciberseguridad moderna y construir soluciones digitales sostenibles y resilientes. Es crucial que desarrolladores, arquitectos de sistemas y responsables de la toma de decisiones sobre el tratamiento de datos personales y la implementación de seguridad en las organizaciones adopten estos principios como parte integral de sus prácticas.
Hagamos de la seguridad y la protección de datos una prioridad desde el diseño y por defecto, asegurando que nuestras organizaciones estén preparadas para prevenir y afrontar amenazas de manera efectiva. La seguridad y la protección de datos personales no debe ser una opción, sino un compromiso compartido. ¡Actuemos ahora para construir un futuro digital más seguro y protector de los derechos de las personas!
