Un colega conecta una memoria USB personal en el puesto de la oficina para transferir fotos de vacaciones. Al día siguiente, el servicio de informática detecta un malware en la red interna. Este tipo de escenario se encuentra regularmente, y ilustra cuán importantes son los desafíos digitales en gestos cotidianos, no en conceptos abstractos.
La seguridad en línea, la protección de la privacidad y las buenas prácticas digitales no son una disciplina reservada a los especialistas. Son reflejos operativos que cada usuario, empleado o particular, puede integrar sin una formación pesada.
También recomendado : Cómo resolver eficazmente los problemas de conexión CGOS: consejos y soluciones prácticas
Metadatos y mensajerías cifradas: lo que el cifrado no cubre
Se habla mucho de mensajerías cifradas de extremo a extremo. Su adopción avanza notablemente entre los 18-25 años en Francia, según un estudio de la ANSSI publicado en marzo de 2026. El contenido de los mensajes se vuelve ilegible para un tercero. Hasta ahí, el razonamiento se sostiene.
El problema es que el cifrado no protege los metadatos. Quién se comunica con quién, a qué hora, desde qué lugar, con qué frecuencia: esta información sigue siendo accesible para los operadores, las plataformas, a veces para los anunciantes. Suficiente para reconstruir una red social completa, hábitos de desplazamiento, e incluso afiliaciones políticas o sindicales.
Lectura complementaria : Todo sobre las cajas prioritarias: funcionamiento, ventajas y buenas prácticas en tienda
Concretamente, se puede enviar un mensaje cifrado a un abogado o un médico sin que nadie lea el contenido, pero el simple hecho del intercambio sigue siendo visible. Para los profesionales que manejan datos personales sensibles (salud, jurídico, educación), este punto cambia las reglas del juego. Se pueden encontrar recursos detallados sobre estas cuestiones de privacidad y seguridad digital en tic-et-net.org, que compila enfoques prácticos a menudo ausentes de las guías institucionales.
La estrategia en el terreno: limitar las aplicaciones instaladas, desactivar la geolocalización por defecto, y privilegiar herramientas que minimicen la recolección de metadatos (no solo aquellas que cifran el contenido).
Deepfakes y acoso en línea: una amenaza concreta para la privacidad
Los deepfakes no consensuales han explotado en 2025, particularmente en contextos de acoso. El informe del Transparency Center de Meta (Q4 2025) señala una tendencia preocupante: los informes tratados eficazmente por las plataformas están en disminución mientras que los volúmenes aumentan.
En la práctica, esto significa que un rostro publicado en una red social puede ser integrado en un video manipulado en cuestión de minutos, con herramientas accesibles de forma gratuita. Las víctimas son mayoritariamente mujeres y menores.
Reducir la exposición sin desaparecer
La respuesta no consiste en abandonar las redes sociales. Pasa por gestos de configuración precisos:
- Restringir la visibilidad de las fotos de perfil a los contactos confirmados, no a los amigos de amigos ni al público.
- Desactivar la descarga automática de las imágenes publicadas (opción disponible en varias plataformas, a menudo enterrada en los parámetros de privacidad).
- Verificar regularmente si su rostro aparece en contenidos no autorizados a través de herramientas de búsqueda inversa de imágenes.
Para las empresas, la CNIL recuerda que la difusión de deepfakes utilizando la imagen de un empleado puede constituir una violación de los datos personales según el RGPD. El empleador tiene una obligación de sensibilización sobre estos riesgos, al igual que sobre el phishing.
Reglamento europeo sobre la IA: lo que cambia para los usuarios en el día a día
Desde la entrada en vigor de la AI Act en agosto de 2025 (reglamento UE 2024/1689), las herramientas de IA generativa, chatbots, asistentes virtuales y generadores de texto o imagen, están sujetas a nuevas obligaciones de transparencia. Las sanciones por violaciones de la privacidad en estas herramientas se han reforzado.
En la práctica, cuando se utiliza un chatbot profesional o un asistente de IA para redactar un correo, generar un documento o analizar datos de clientes, la información ingresada puede alimentar los modelos de entrenamiento. Ingresar un número de seguridad social, un nombre de paciente o un detalle contractual en una herramienta de IA de uso público equivale a hacerlos potencialmente explotables.
Precauciones operativas con las herramientas de IA
Las opiniones varían sobre este punto según los sectores, pero algunas reglas básicas se aplican en todas partes:
- No pegar nunca datos personales identificativos (nombres, direcciones, números de expediente) en una herramienta de IA generativa no alojada internamente.
- Verificar si la herramienta ofrece una opción de no reutilización de los datos ingresados para el entrenamiento, y activarla sistemáticamente.
- Considerar cada solicitud enviada a un chatbot como un mensaje potencialmente público: solo se debe incluir lo que se aceptaría ver publicado.
Ransomware en las instituciones educativas: un ángulo a menudo descuidado
El informe ENISA “Threat Landscape 2025” señala un aumento significativo de los ataques por ransomware dirigidos a instituciones educativas en Europa. Escuelas, colegios, universidades: estas estructuras acumulan presupuestos informáticos limitados, parques de máquinas heterogéneos y usuarios poco formados en los riesgos digitales.
Un ransomware en un instituto no es solo un problema técnico. Es el acceso a los boletines escolares bloqueado, los datos de salud de los alumnos potencialmente expuestos, las comunicaciones con las familias interrumpidas. Los niños y adolescentes son tanto usuarios como víctimas colaterales de estos ataques.
La protección pasa por medidas simples pero raramente aplicadas: copias de seguridad fuera de la red, segmentación entre el Wi-Fi pedagógico y el Wi-Fi administrativo, autenticación de doble factor para los accesos a los espacios digitales de trabajo. En este último punto, la mayoría de los ENT ofrecen la opción, pero sigue desactivada por defecto en muchas instituciones.
Las buenas prácticas en línea no son un tema de especialistas, se juegan en la configuración de una cuenta, la elección de una herramienta o la forma en que se trata un archivo adjunto dudoso. La seguridad digital y la privacidad se protegen mediante gestos concretos, repetidos, adaptados al contexto de cada usuario, ya sea en la oficina, en la escuela o en un teléfono personal.