Dumpster diving: ¡en ciberseguridad, lo que es basura para unos es oro para otros!
¿Alguna vez has oído el término “dumpster diving”? En una traducción libre al español, podríamos llamar a esa práctica “buceo en el basurero”. En su origen, el concepto describía, de hecho, un acto muy común en diversos países de todo el mundo, el de rebuscar en botes de basura y contenedores en busca de artículos que, aunque hayan sido desechados por sus dueños originales, aun podrían resultar útiles para terceros.
Sin embargo, aquí no hablaremos de ese dumpster diving. El término fue adaptado para el área de seguridad de la información y pasó a referirse a la actividad delictiva practicada por actores maliciosos de revolver la basura, específicamente la de grandes empresas, en busca de resquicios de información privilegiada que se puedan usar para ataques dirigidos. ¿Y sabes qué es lo peor? Que ellos suelen tener éxito en esa empresa, ya que muchas corporaciones no eliminan adecuadamente la información registrada en medios físicos.
Revolviendo tus desechos
Detente un segundo a pensar e imagina todo lo que una empresa podría estar tirando sin prever en absoluto la posibilidad de que exista un espía atento al bote de basura: informes impresos, libretas con listas de contactos, CD y DVD con propiedades intelectuales e incluso computadoras enteras, muchas veces con sus respectivos discos de almacenamiento (HD o SSD) aun dentro, sin la debida “higienización”. Aun si la máquina se formateó antes de eliminarse, si el formateo no se realiza de la forma correcta, aun es posible recuperar contraseñas, archivos y muchos otros materiales preciosos para el ciberdelincuente.
A veces, el problema está en una falla de la higiene cibernética por parte del colaborador, que no lo piensa dos veces antes de estrujar un informe en papel y tirarlo a la basura. En otras ocasiones, el problema está en la falta de una política empresarial que oriente a los empleados sobre cómo eliminar información de acuerdo con el tipo de medio usado para su almacenamiento. Independientemente de dónde se encuentre el error, lo cierto es que sus consecuencias pueden ser desastrosas, abarcando desde la filtración de credenciales hasta estafas de extorsión.
Entonces, ¿cómo proceder?
Por supuesto, desechar medios físicos adecuadamente puede no ser una tarea fácil. Sin embargo, cuando las políticas y procesos ya están establecidos, la práctica se vuelve natural, como cualquier otro hábito de higiene cibernética. Aquí dejamos algunos tips preciosos.
-
Documentos impresos: usa una destructora de papel para eliminar documentos físicos. Se trata de un dispositivo que triturará la información física en papel de forma tal que la volverá incomprensible.
-
CD y DVD: podemos simplemente romperlos o también triturarlos. Algunas personas usan un objeto afilado para rayar el disco para que ningún dispositivo lector logre desplegar su contenido.
-
Discos rígidos, pendrives y otros medios físicos: lo más recomendable es usar la técnica conocida como “desmagnetización”, que “quema” el campo magnético de este tipo de medio y lo vuelve totalmente inutilizable. Existen, en el mercado, dispositivos específicos para ese proceso.
Sin embargo, recuerda que todas esas operaciones y procesos deben estar documentados en procedimientos claros y disponibles para todos los colaboradores de la compañía. Así, la empresa estará alineada integralmente a los protocolos de eliminación de información.