STI 2020 ®

¿Qué es el Dumpster Diving y cómo prevenirlo?

by

STI 2020®
in , , , ,
En nuestros días, existen multitud de técnicas mediante las cuales un tercero puede hacerse con nuestra información personal más preciada. En el sector de la tecnología de la información, la búsqueda en contenedores de basura es un método utilizado con frecuencia para recuperar información, que podría usarse para realizar un ataque a una red informática. La búsqueda en contenedores, no se limita a buscar en la basura tesoros claros como códigos de acceso o contraseñas escritas en notas pegajosas, sino que también, mediante el hallazgo de dispositivos digitales, se puede conseguir información muy valiosa sobre sus anteriores propietarios.
¿Qué es un ataque mediante Dumpster Diving?

Para tenerlo claro desde el principio, el Dumpster Diving (búsqueda en contenedores de basura), es un ataque que consigue una gran cantidad de información sobre una asociación, empresa, persona o entidad. Y es que no hay mejor forma de obtener más información sobre un individuo o empresa, que de la basura que tiran. Resulta sorprendente, cuánta información personal y privada se desecha y que es encontrada en la basura.

Para empezar, nunca debemos desechar información, sin considerar antes cómo se puede usar contra nosotros. Si descartamos declaraciones, facturas u otros documentos que contienen información privada, debemos considerar quemarla, triturarla u otra forma de destruirla de forma segura.

La búsqueda en contenedores de basura, es una instancia de hacking sin tecnología. La gente arroja una buena cantidad de información altamente confidencial.

A más de una persona, le sorprendería la cantidad de información sobre ella, su vida o empresa que se puede encontrar en la basura. Pensemos en la última vez que se tiró un informe bancario, médico, etc. ¿Lo llegamos a destrozar antes de tirarlo?

La variedad de datos que algunas personas pueden obtener de contenedores de basura puede ser:

  • Información de contacto de familiares, amigos, clientes y socios comerciales.
  • Códigos de acceso y contraseñas escritas en un bloc de notas.
  • Datos de la tarjeta de crédito (incluso tarjetas caducadas) o de la cuenta bancaria.
  • Copias de planos de diseños.
  • Borradores de planes de negocios.
  • Calendarios, agendas y listas de tareas pendientes para días anteriores.
  • CD, DVD y otros dispositivos de almacenamiento. Pudiendo contener copias de seguridad, discos de recuperación de sistemas, etc.

Como hemos comentado anteriormente, debemos asegurarnos de destruir la información o los dispositivos que la contienen, de forma que resulte inservible, antes de tirarla a la basura.

Ejemplos de Dumspter Diving

No sería justo hablar de Dumpster Diving, sin mencionar a Jerry Schneider. En 1968, cuando Jerry estaba en la escuela secundaria ya estaba detrás de un negocio mayorista de equipos telefónicos.

Un contenedor de basura le dio la idea, especialmente, la basura de la Compañía Telefónica del Pacífico que contenía mucha documentación, manuales y facturas relacionadas con el sistema de pedidos y entrega.

Otro caso notable es el de Larry Ellison, quien se encontró en el año 2000 cuando contrató a detectives privados para buscar en los contenedores de basura de Microsoft, información muy beneficiosa para él, lógicamente.

En 2001, Industrial Espionage fue reconocido como un asociado importante en el mercado de champús, entre los competidores Proctor & Gamble y Unilever. Personal de dicha compañía que trabajaba para Proctor & Gamble, realizaron búsquedas en contenedores de reciclaje fuera de las Corporaciones de Unilever, teniendo éxito en la recopilación de información muy importante sobre análisis de mercado, predicciones e información sobre sus próximos productos. Pero, las dos corporaciones llegaron al final a un acuerdo extrajudicial, que las beneficiaba a ambas.

¿Qué puede buscar un ciberdelincuente en la basura?

La seguridad en el sector tecnológico, no puede limitarse a los controles internos, salidas, entradas, personal y políticas de alta dirección. Es vital asegurarse de la destrucción adecuada de la información, aunque ya no tenga importancia para la corporación.

Se debe tener en cuenta, que la información que ya no es relevante para el negocio, puede ser utilizada ilegalmente por terceros no autorizados, pudiendo generar problemas para la organización.

Ahí van algunos ejemplos de lo que pueden buscar los ciberdelincuentes:

  • Correos electrónicos personales y direcciones del personal.
  • Números de teléfono y otra información.
  • Contraseñas, Pin y otros números como el de la seguridad social que el personal acostumbra a escribir en notas adhesivas, por ejemplo.
  • Estados bancarios u otros datos sobre información financiera.
  • Información médica que puede ser util.
  • Cualquier dato sensible.
  • Información de inicios de sesión, copias de seguridad o discos de recuperación de sistemas.
  • Información comercial importante.
  • Información publicitaria de interés.
  • Información sobre trabajadores.
  • Información sobre software, herramientas o tecnologías que se están utilizando en la empresa.
¿Cómo protegernos contra el Dumpster Diving?

Para protegernos a nosotros mismos o a nuestra empresa de la búsqueda en contenedores de basura, deremos asegurarnos de que todo el papel impreso sea triturado. Las empresas con material impreso muy sensible, pueden triturarlo o incluso quemarlo convenientemente.

Con tiempo y los recursos adecuados, puede ser posible recomponer el papel triturado como si de un puzle se tratase, utilizando imágenes escaneadas y software.

Los ordenadores, dispositivos de almacenamiento y otros equipos de trabajo también deben ser destruidos. Desmontándolos si es necesario, para asegurar la imposibilidad de su recomposición. Si deseamos donar, revender o regalar equipos, deberemos previamente eliminar todos los datos que contienen los dispositivos.

Debemos asegurarnos que los discos duros, se borran convenientemente para que los datos no se puedan recuperar. Cualquier dispositivo, disco o almacenamiento de información debe destruirse o borrarse correctamente para evitar que se recupere información confidencial.

¿Cuales son las mejores prácticas para evitar el Dumpster Diving en ciberseguridad?
  • Aplicar un Plan de Gestión de Residuos y Basura. Si un cliente o empleado ya no está en la empresa, es importante eliminar correctamente sus datos.
  • Eliminación de medios de almacenamiento. La eliminación regular y constante de los medios de almacenamiento, deshaciéndonos de los DVD y CD o de algunas otras unidades que contengan información privada identificable, como videos, fotos o alguna otra información confidencial. Si tenemos PC’s, computadoras portátiles u otro hardware para retirar, debemos desecharlos correctamente y borrar todos los archivos y programas que contengan para evitar problemas futuros.
  • Hacer cumplir la política de retención de datos. Se debe cumplir una política de mantenimiento de los datos que custodiamos y monitorizamos, cuánto tiempo deben mantenerse y eliminar la información cuando ya no sea relevante. Además, debemos asegurarnos de que la política abarque correctamente el tratamiento de la información. Los empleados deben saber cómo manejar, almacenar y desechar datos en todas sus formas. Además, un certificado de destrucción de datos confidenciales, puede ser importante, para evitar problemas en el futuro.
  • Usar una trituradora. Colocar contenedores de trituradora protegidos junto a los contenedores de basura dentro de cada puesto de trabajo. No sólo debemos romper y tirar el papeleo en contenedores, ya que los atacantes pueden unirlos sin esfuerzo y recopilar información para planificar un ataque cibernético.
  • Formar debidamente a los trabajadores. Llevar a cabo programas educativos regulares para enseñar a los empleados sobre la eliminación de información y otras estrategias para prevenir ataques. Describir lo que implica la política de retención de datos y cómo deben cumplirla.
  • Mantener la papelera en una ubicación segura antes de la eliminación. Puede sonar simple, pero es extremadamente importante mantener la papelera en un lugar seguro, antes de su eliminación. Se pueden utilizar contenedores de reciclaje bloqueados o cubos de basura.
  • Trabajar con empresas de reciclaje de confianza. Si se contrata a una empresa de reciclaje para la eliminación de desechos, debemos asegurarnos que sea una empresa de confianza. Realizar una investigación adecuada antes de la contratación, puede ser importante.
Conclusión

En conclusión, el “Dumpster Diving” es una táctica de ciberseguridad que a menudo se pasa por alto, pero que puede tener consecuencias significativas.

Aunque puede parecer inofensivo, el acto de buscar en la basura información descartada puede dar a los ciberdelincuentes acceso a datos valiosos y sensibles. Es imperativo que las organizaciones sean conscientes de este riesgo y tomen medidas para protegerse, como la implementación de políticas de eliminación de datos seguras y la educación de los empleados sobre la importancia de manejar adecuadamente la información confidencial.

En un mundo cada vez más digital, incluso nuestra basura puede ser una mina de oro para los ciberdelincuentes. Por lo tanto, es esencial permanecer vigilantes y proactivos en nuestra lucha contra las amenazas cibernéticas.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.