Los ciberdelincuentes saben que la basura puede contener bastantes "tesoros" y a algunos de ellos no les importa mancharse las manos para encontrarlos.
Cosas como calendarios, diagramas de red, recibos de tarjetas de crédito, nóminas, emails internos, hojas de gastos, presupuestos, nombres y contraseñas, análisis económicos, etc. son algunas de las cosas que los amigos de lo ajeno pueden hallar si buscan bien. En términos de ciberseguridad a esta práctica de rebuscar en la basura de una compañía o institución se la conoce como dumpster diving.
Los atacantes pueden usar incluso aquellos documentos que parezcan más inofensivos para sus fines maliciosos. Por eso es importante que las empresas destruyan lo máximo posible sus datos antes de que acaben en la basura.
Los actores de amenazas pueden hacerse con números de teléfonos para ataques de vishing, haciéndose pasar por empleados de la organización, o las listas de contactos para atacar cuentas personales. Incluso pueden servirse de un recibo para obtener acceso a datos privilegiados de la compañía. Y así hasta el infinito. El dumpster diving, al fin de cuentas, se enmarca dentro de los ataques de ingeniería social.
Dentro de esta modalidad también se incluirían aquellos equipos o medios de almacenamiento que son desechados. Si no se ha realizado un formateado o borrado completo, los hackers pueden llegar a recuperar la información almacenada.
Todo esto puede ser muy grave, dependiendo de a qué se dedique la organización. Las empresas financieras y relacionadas con el ámbito sanitaria deben extremas sus precauciones.
Cómo evitar un ataque de dumpster diving
A diferencia de otros ciberataques, estos pueden ser fácilmente evitables si las organizaciones hacen los deberes y 'tiran la basura' como es debido. TechTarget especifica algunas fórmulas para prevenir estas amenazas:
- Educar a los empleados. Teniendo en cuenta que los trabajadores suelen ser el eslabón más débil en la cadena de la ciberseguridad, es crucial ofrecerles educación en estos temas. Deben recibir información sobre los típicos métodos de ingeniería social y cómo hacer una eliminación adecuada. El departamento de TI debe prohibirles expresamente llevarse copias impresas a casa y no darles equipos viejos o anticuados.
- Tritura todo lo que puedas. Ofrece un acceso fácil y rápido a trituradoras de documentos al lado de cada cub de basura. Si tienes muchos empleados teletrabajando, proporciónales también aparatos de este tipo para sus domicilios.
- Basura segura. La basura debe tratarse como una especie de tesoro guardado bajo llave, porque esto es lo que puede suponer para los cibermalos. Es recomendable usar contenedores de basura y reciclaje cerrados con llave o almacenarlos en un área segura hasta que se vayan a recoger.
- Usa métodos completos de borrado de archivos. Las empresas también deben deshacerse de todos los archivos digitales y asegurarse de que son eliminados por completo. Antes de desechar o vender un dispositivo o equipo hay que asegurarse de que la información se elimina completamente.
En este sentido hay que hacer un borrado seguro de datos de discos duros y eliminar los datos de TPM. También conviene borrar de manera segura CDs y otros soportes o hacer la correspondiente desmagnetización del almacenamiento magnético.
- Implementar una política de retención de datos. Esta ayudará a ofrecer unos protocolos precisos de cuánto tiempo debe guardar una organización cada información y cómo se deben desechar. Se pueden definir las políticas de retención de datos e incluso crearse certificados de destrucción para realizar un seguimiento legal.