Cómo deshacerse adecuadamente de la basura corporativa

Cómo deshacerse adecuadamente de la basura corporativa

En la historia de la investigación criminal ha sucedido más veces de lo que nos podemos imaginar. El cuerpo de un delito que puede ser algo tan simple como una carta que, ya sea por despreocupación o voluntariamente, puede estar simplemente a la vista en el sitio más visible. Tal vez en un tarjetero, bastante sucia y arrugada, casi completamente rota al medio. Al ser difícil reparar específicamente en ella y por la naturaleza expuesta del lugar, lo más probable es que no será buscada ni levantará sospechas. Es lo que ocurre en una escena de “La carta robada”, cuento de Edgar Allan Poe, que transcurría a mediados del siglo XIX.

Han pasado los años y avanzado el siglo XXI, en plena era digital y con una gestión empresarial en constantes cambios, el botín más buscado es la información. Aunque muchas veces cuesta obtenerla vía delictivos programas digitales operados por expertos ciberdelincuentes, todavía buena parte de ella suele estar a nuestro alcance de la forma más simple.  Es un hecho que muchas empresas desechan información que puede representar un riesgo para la seguridad y su reputación.

En efecto, al preparar un ataque dirigido contra una empresa, hay ocasiones en que los atacantes recurren al dumpster-diving o la búsqueda en la basura, que viene a ser lo mismo, con la esperanza de encontrar información útil. Pese a que en la vida real no se encontrarán con 50 contraseñas válidas en un bote de basura, aun así, los cibercriminales pueden dar con mucha información útil en la basura de una empresa.

Aunque soñar es gratis, incluso los recolectores de basura más optimistas no esperan encontrar un portafolio de documentos marcados como ULTRA SECRETO. Pero no necesitan secretos impresionantes para desacreditar a una empresa o para organizar un ataque dirigido; cualquier chisme o información corporativa puede ayudarles a engañar a los empleados mediante ingeniería social.

Si asumimos que Ud. no acostumbra a desechar evidencias de cuentas fraudulentas o informes de que su negocio daña el medio ambiente, por ejemplo, el peligro está entonces en los datos personales, tanto de los clientes como de los empleados. En estos días, un hallazgo de este tipo garantiza la atención de los reguladores y multas considerables, recuerda el experto de Kasperky Lab, Nicolay Pankov.

Kaspersky top secret

Sin embargo, hasta hoy todavía vemos casos que empiezan con datos personales desechados. A pesar de las muchas historias de advertencia, no todos los empleados se dan cuenta de que, por ejemplo, una lista de dirección de entrega de pizza es información confidencial. Preocupa aún más que se desechen registros médicos con números de seguridad social, facturas de pago con detalles bancarios y escaneos de documentos de identidad.

Ahora bien, cabe entonces preguntarse qué les sirve a los cibercriminales para un ataque de ingeniería social. En pocas palabras, los cibercriminales pueden utilizar como arma la información que encuentren en documentos de trabajo, como sobres y medios de almacenamiento digital que hayan sido desechados sin cuidado.

Los documentos de trabajo, incluso los que no contienen datos clasificados, pueden revelar lo que hace el equipo, la terminología que utiliza, los procesos que ha implementado y mucho más. En posesión de esta información, un atacante puede hacerse pasar por un participante en el proceso de trabajo por correo electrónico, o incluso por teléfono, lo que les ayuda a obtener información adicional o montar un ataque BEC convincente.

Los sobres de cartas comerciales siempre incluyen al remitente y al destinatario. Si se sabe que el empleado de la empresa M recibe documentos de representantes de la empresa N, un cibercriminal, por ejemplo, podría comunicarse con el destinatario con una solicitud convincente para aclaración, o bien, enviar un enlace malicioso que parezca acuse de recibo de un documento real físico.

Los medios digitales pueden ser un verdadero tesoro de información. Un smartphone roto puede escupir listas de contactos y mensajes, los cuales son útiles para imitar al dueño previo del dispositivo; y las unidades de memoria flash, o incluso discos duros desechados, contienen muchos documentos de trabajo y datos personales.

En general, incluso una bolsa de entrega de comida a domicilio con el nombre del empleado de una empresa ofrece oportunidades para la ciberdelincuencia, como, por ejemplo, un correo electrónico de phishing con enlaces falsos de los especiales de un menú o programas de fidelidad.  (Y no es que esta sea una estrategia muy popular, pero sí es real).

DATOS PARA UN INFORME

Cómo deshacerse adecuadamente de la basura

Para empezar, se recomienda minimizar o eliminar el uso de papel como medio de almacenamiento. Hacerlo no solo ayudará a salvar el planeta, sino que también evita eficientemente el problema de la eliminación.

Antes que nadar, destruya todos los documentos en papel que estén relacionados con el trabajo de la empresa. Esto significa todos, no solo los que incluyan datos personales. Tritúrelos. Haga lo mismo con los sobres.

Los medios digitales (discos duros, memorias USB) no van en la basura. El siguiente paso es dejarlos mecánicamente inutilizables y llevarlos a un centro de reciclaje de residuos electrónicos. Parta los discos y memorias con pinzas. Para los discos duros, utilice un taladro o martillo. Recuerde que dentro de cada teléfono hay una unidad de memoria flash y dentro de cada ordenador un disco duro. Si se van a desechar, primero asegúrese de que no es posible acceder a su información.

Antes de desechar paquetes o bolsas de comida a domicilio, rómpalos y destruya las etiquetas que incluyan el nombre y dirección del destinatario. Tenga en cuenta que la seguridad de su empresa depende directamente de cada empleado de esta, desde la recepción hasta la alta dirección, por ello, entiendan y obedezcan estas reglas. Cada uno, sin importar su puesto, necesita tener el conocimiento básico y práctico para manipular información potencialmente peligrosa.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.