Per què sempre diem que protegir les teves dades és protegir la teva llibertat, perquè cada vegada que es pirateja, es compra o es publica una foto s’està alimentant un mercat de dades global. On vivim, què comprem, què busquem, amb qui parlem…

Cada dia compartim milers de fragments de nosaltres mateixos i la majoria de vegades, sense pensar-hi.

En aquesta suma silenciosa es va construint el mirall més perillós de la nostra identitat digital. El complicat de no tenir consciència al respecte és que no només les dades es filtren, sinó el que el mercat criminal fa amb elles quan es creuen, correlacionen i venen, els databrokers.

L’usuari mitjà no s’adona que la seva identitat digital no viu en un sol lloc. Està hiperfragmentada en desenes de bases de dades, algunes més i altres menys segures, altres exposades. Quan una d’aquestes peces es filtra, sigui un correu, un DNI, un patró de consum, al grup criminal se li obre una porta que mai es tanca del tot, i per tant, a l’usuari i al seu entorn.

La filtració no és el final: és el principi

Hauríem d’assumir que les dades robades es combinen amb altres filtrades anys enrere i que creen perfils complets: on vius, amb qui parles, què votes, què compres, si estàs en una relació i de quin tipus, si fas servir psicofàrmacs... Aquesta informació es ven en mercats de dades a empreses i evidentment a màfies.

A partir d’aquí, el dany es multiplica: fraus financers, xantatges, deepfakes, manipulació de la reputació, assetjament digital, i és important ser-ne conscients, però sobretot posar límits i sol·licitar que els nostres drets es protegeixin.

Què haurien de fer les empreses

La protecció de dades no és un tràmit legal, o millor dit, no és només un tràmit legal, és una qüestió de seguretat nacional i de confiança social. Les empreses han d’implementar la protecció per disseny i per defecte, minimitzant la informació que recullen i xifrant tot el que emmagatzemen.

Però, per descomptat, a més, és vital que mapegin els seus fluxos de dades, controlin accessos, auditin els seus proveïdors i disposin de plans de resposta a incidents un cop ja filtrats, perquè sí, això pot passar, passa cada dia, i a la “millor organització”.

No protegir les dades que tracten, és no protegir aquells que han confiat en x organització i per tant posa molt més fàcil als grups criminals que perpetrin atacs, i no, no es pot deixar en mans dels usuaris finals que un cop ja fet el dany, siguin ells qui l’hagin de reparar.

No entenc que únicament hagin de donar part a l’agència de dades denunciant que han patit una bretxa de seguretat i que no se’ls obligui a mapar, rastrejar i sol·licitar l’eliminació de la filtració. No té sentit i no és de rebut per a aquells que han confiat en ells. Això també hauria de ser política de RSC, responsabilitat social corporativa, exposen les persones.

Què poden fer els ciutadans

No podem continuar utilitzant el mateix correu, ni el mateix nom d’usuari, ni el mateix número de telèfon, hem de fragmentar les dades, fer servir relays de seguretat i no continuar confiant amb els ulls tancats. Cada usuari hauria d’aprendre a fragmentar la seva identitat digital.

Fer servir comptes de correu diferents segons el context (professional, oci, banca), els relays dels nostres smartphones serveixen. Activar l’autenticació multifactor, hauria de ser imperatiu legal. Evitar compartir el DNI o documents personals excepte quan sigui imprescindible i degudament etiquetat.

Utilitzar gestors de contrasenyes i targetes virtuals per a les compres en línia. Limitar quines imatges i dades publiquem a les xarxes. La clau és, que com més difuses siguin les teves peces digitals, menys poder té qui les roba.

Si les teves dades ja s’han filtrat

Per descomptat, et faig un spoiler de la teva identitat digital, sí, les teves dades ja estan filtrades, així que, o ens contractes o a una empresa de ciberseguretat, o do it yourself, com? documenta la filtració o filtracions, captura les URLs i les comunicacions en què apareixen les teves dades, canvia les contrasenyes afectades des d’un dispositiu net, activa el doble factor de verificació, de passada a tots els serveis, des de missatgeria instantània, mails, i per descomptat xarxes socials. Contacta amb el teu banc i sol·licita una targeta virtual, revisa periòdicament els moviments o activa’t alertes.

Activa’t Google One, compra una subscripció a Brandyourself, i sol·licita l’eliminació de cadascuna de les teves dades, almenys a la clearweb, i si no et fan cas, insisteix i almenys força que desinfectin aquestes mateixes.

Denuncia-ho a Policia, Guàrdia Civil o Mossos d’Esquadra i posa-ho en coneixement de l’AEPD, reclama si una empresa no respon o incompleix. Si a més no et responen i estàs a Catalunya, fes-ho saber a la UCC (Unió de Consumidors de Catalunya).

Hem de fer-nos escoltar, no estem indefensos, el RGPD, el reglament europeu de protecció de dades ens dona drets ARCO, d’accés, rectificació, supressió i oposició, però és clar, cal exercir-los, si no “es perden”.

Òbviament no et serà fàcil, el mercat negre sap molt bé com protegir “els seus actius”, és a dir, els teus actius revenduts, s’amaguen i es protegeixen molt més que nosaltres, als seus canals i grups de Telegram, en molts sites tancats sota dominis a la darkweb sense poder-los contactar, i no és que no els afecti la llei, és que al no estar contactables, fins que no es realitza una macrooperació policial, no cauen, i mentrestant exploten les teves dades.

Una cultura digital madura

La seguretat no consisteix a no tenir por, sinó a tenir mètode, aquesta pot ser la frase que més repeteixo a classe.

Com a ciutadans, necessitem alfabetització digital real, saber com funcionen els sistemes que fem servir. I com a societat, hem d’entendre que protegir les dades no és paranoia: és preservar l’autonomia.

La nostra identitat digital no hauria de ser una mina d’or per a altres, sinó un espai segur que ens representi, no que ens exposi.