Las víctimas de robo de identidad lo saben: su vida personal queda completamente destrozada, y se trata de una experiencia de una violencia después indescriptible, en la que algún desconocido comete crímenes bajo tu nombre, destruyendo así tu reputación. Desentrañar el lío que sigue es un proceso largo, doloroso e interminable – todo esto porque alguien fue negligente o deliberadamente negligente con sus datos.
Incluso si dichos datos no fueron expuestos en cuanto a la violación Equifax, usted debería de sentirse preocupado y enojado. Se trata de un acto potencialmente catastrófico: aproximadamente 143 millones de personas (alrededor del 45% de la población estadounidense) se enfrentan ahora a la perspectiva del robo de identidad.
Como sociedad, necesitamos replantear seriamente el por qué y el cómo debemos identificar a las personas. ¿Cómo se convirtió el número de seguro social en un número de usuario predeterminado, especialmente para las funciones no gubernamentales, como las del Buró de Crédito? Cuando la Administración del Seguro Social publicó por primera vez en 1936 el número de derechohabiente (NSS), su «único propósito» era de rastrear las ganancias de los trabajadores a nivel de las ventajas. De hecho, Kaya Yurieff subraya que hasta 1972, en la parte inferior de la tarjeta del Seguro Social se leía: «PARA FINES DE SEGURIDAD SOCIAL – NO PARA LA IDENTIFICACIÓN.»
Los números de seguridad social (NSS) no fueron diseñados para ser utilizados para la identificación general, además de que antecedieron la era digital. No fueron construidos para abordar el modelo de amenaza que enfrentan hoy en día. Parte del problema es que ahora los NSS son recolectados por las empresas para propósitos no previsibles y esparcidos como confetis en servidores conectados a Internet. Por otro lado, este número es como una credencial; incluso si un individuo tiene que presentar su carnet del Seguro Social, siempre es posible falsificarlo.
Los coreanos tienen experiencia directa de las trampas de los continuos identificadores nacionales. De 2004 a 2014, aproximadamente el 80% de los coreanos tenían sus números de identificación nacionales y datos personales robados dentro de diversas empresas. El escándalo llevó a requerir una revisión del sistema nacional de identidad. El sistema no fue rediseñado, pero los individuos mayores de 17 años se vieron asignados unos nuevos números con un costo estimado de miles de millones de dólares. Desde el 2014, la Ley sobre la Protección de los Datos Personales (PIPA por sus siglas en inglés), prohibió el manejo de los números de identificación de los ciudadanos, independientemente de cualquier aprobación en cuanto al destino de los datos, y exigió que se eliminarán de los procesadores de datos, todos aquellos números de derechohabientes que se hubiesen recolectado dentro de los dos años anteriores a Agosto del 2014.
Las empresas estadounidenses tendrían que sacar una página del libro de Corea del Sur; no necesitan esperar a que la legislación implemente la minimización de datos, si pueden limitar por ellos mismos la cantidad de datos que recogen y conservan. Cuando el número de Seguro Social de una persona no es necesaria al 100% para prestar algún servicio ¿por qué solicitarlo? A medida que más usuarios se vean afectados por motivo de intrusión de datos, más dudarán en comprometerse con una empresa que solicite su número de Seguro Social en línea. Las empresas que adopten la minimalización de datos evitarán esta trampa ´desde el principio.
En el caso de que una empresa requiera el número de Seguro Social de un ciudadano, se tiene que preguntar si es realmente necesario pedírselo (una vez que se estableció la identidad de alguien, ¿podría usarse o crearse otro número de identificación?).
En un macronivel, quizá sea tiempo de plantear mejores vías de manejo de los números de Seguro Social en los Estados Unidos. Mientras un compromiso de tal naturaleza y su costo aparezcan importantes, prevalece el costo potencial de todas las consecuencias por casos de robo de identidad en contra de millones de ciudadanos norteamericanos. Sólo en lo que fue del 2016, los robos de identidad en Estados Unidos alcanzó un monto de más de 16 mil millones de dólares [5].
Idealmente, necesitaríamos de un sistema que permita que un identificador sea substituido mientras se mantiene la continuidad del registro de la persona. Esto ya existe, pero sólo en una escala limitada y sólo después de que un individuo haya sido víctima de un robo de identidad (Véase:https://faq.ssa.gov/link/portal/34011/34019/article/3789/can-i-change-my-social-security-number: “Una víctima de un robo de identidad continúa siendo perjudicada por el uso de su número original.”). No tenemos que acabar con los números de Seguro social, pero no debe ser el método «ir a» para validar la identidad de alguien en línea o fuera de línea. En cualquier caso, estos números (NSS) necesitan una mayor seguridad cuando se entregan (por ejemplo, doble factor de autenticación) y cuando se colectan (ex. cifrado, control de acceso, etc.). También necesitamos medios fáciles para revocar y reemplazar números cuestionados.
Como ciudadano, que sea para usted o por ejemplo para los demás, – tiene que afirmar su privacidad. Si se le pide su número de seguro social, pregunte por qué la empresa lo necesita, cómo se usará y cómo protegerá esos datos. Propóngale de implementar un medio alternativo de identificación. Si ya no utiliza un servicio, pídale que cancele su cuenta y elimine todos sus datos personales asociados. Acuérdese de ya no reutilizar contraseñas, no responder preguntas de seguridad con información capciosa, debe elegir diferentes preguntas para cada servicio y utilizar el cifrado cuando se pueda. Para más consejos en materia de privacidad en línea, vaya a Sword and Shield y Your Digital Footprint Matters (Asuntos que implican su huella digital).
Los usuarios pueden tomar medidas para protegerse, pero en última instancia, la responsabilidad recae en las manos de quienes manejan nuestros datos personales. Los administradores de datos deben dejar de abusar con los datos de otras personas. No basta decir “Ups, hemos tenido una violación de datos, lo sentimos”. Si las compañías no toman en serio este asunto, no se les debe permitir recopilar y manejar los datos personales. Además, los que procesan datos deben ofrecer fuertes planes de contingencia para reducir al máximo el impacto de una infracción en la vida diaria de los usuarios. A fin de cuenta, la carga de una violación la tendría que soportar sobre todo el que maneja los datos y no el usuario final.