Las organizaciones que desean niveles de seguridad adecuada deben enfocar sus estrategias más allá de meros controles internos, gestión de permisos y políticas de privilegios; es esencial disponer de forma efectiva de toda la data y documentos comerciales que se desechan. A pesar de que existen herramientas de alta gama para llevar a cabo estos procesos, los piratas informáticos siempre están un paso adelante a estas medidas de seguridad, implementando tácticas de espionaje tales como buceo de contenedores como métodos para recopilar información.
Nunca deseches de tus documentos u otra fuente de información confidencial simplemente tirándolos a la basura, ya que los estafadores de identidades pueden usar la información contenida en estos para planear ataques cibernéticos contra tu negocio. Las estadísticas actuales muestran que los estadounidenses reciben más de 4 millones de correos no deseados cada año, y más del 88% de la información contenida en estos se obtuvo investigando la basura de alguien.
Para las empresas y organizaciones es esencial tener una comprensión integral de tácticas como el buceo de contenedores en el ámbito de la seguridad cibernética, así como medidas para poder prevenirlo; a continuación, te presentamos un análisis con todo lo que necesitas saber al respecto.
¡Vamos a empezar nuestro breve estudio! En primer lugar, nos toca definir, ¿qué es el buceo de contenedores?
¿Qué es el Buceo de Contenedores?
Poder familiarizarnos con la definición de buceo en contenedores es el primer paso para combatir este ataque, también conocido como “dumpster diving” en inglés; el principio básico que regula este ataque es aquel que pregona que «la basura de un hombre es el tesoro de otro» en ámbitos completamente diferentes.
El buceo en contenedores en la seguridad cibernética es un proceso mediante el cual se investiga la basura de un individuo u organización para recuperar información que tiene el potencial de ser usada para comprometer los recursos de la red o planificar un ataque cibernético.
Una persona que revisa tu papelera puede recopilar suficientes datos para crear un perfil de ti como individuo o de tu organización con el fin de cometer fechorías como robos de identidad; además de basura física, los actores maliciosos también pueden acceder a los contenedores de basura electrónica o puntos de reciclaje para obtener información confidencial que puede comprometer gravemente tu empresa a través del uso de malware.
¿Qué datos pueden obtener los buzos de contenedores?
Cuando un recolector revisa tu basura, está en la búsqueda de cualquier información que le permita llevar a cabo un ataque cibernético, algunos de los datos que estos delincuentes pueden obtener de su basura incluyen:
- Domicilio o direcciones de correo electrónico
- Contraseñas privadas, PIN o cualquier dato de índole confidencial
- Extractos de cuenta bancaria
- Firmas digitales
- Copias duplicadas de la licencia de conducir, u otras tarjetas de identidad
- Manuales que describen políticas internas, números de teléfono de empleados e impresos estratégicos
- Informes médicos, datos biométricos de antiguos empleados
- Números de teléfono celular
- Información de estados financieros, cuentas contables, balances e informes de auditoría
¿Qué ataques comienzan con un Buceo de Contenedores?
El buceo en contenedores es un primer paso en muchos tipos de ataques cibernéticos, tales como la ingeniería social, la cual se vale de la interacción humana para atraer a víctimas y hacer que estas divulguen su información personal o confidencial.
El objetivo principal de los ataques de ingeniería social es generar confianza en el objetivo antes de hacer que revele datos confidenciales o actúe en base a instrucciones fraudulentas; el buceo de contenedores es una de las numerosas formas que los atacantes de ingeniería social usan para recopilar información y establecer confianza con sus víctimas.
Por ejemplo, si estos recuperasen un recibo por reabastecer un producto, pueden disfrazarse del empleado usando el mismo nombre y la misma hora de entrega para obtener acceso a recursos confidenciales, dicho acceso puede ser usado para instalar un keylogger u otro malware que permite obtener acceso a los recursos del sistema de la compañía.
Otro ataque que usa el buceo de contenedores es el robo de identidad, bajo esta modalidad los atacantes buscan información en las papeleras, tales como facturas u otros documentos con información confidencial; estos pueden usar dichos datos para abrir cuentas de tarjetas de crédito nuevas, haciéndose pasar por ti y posiblemente accediendo a los fondos de tu cuenta.
¿Cómo prevenir el buceo de contenedores en el ámbito de la seguridad cibernética?
Para evitar que los buscadores de basura obtengan información valiosa sobre ti o tu organización, es necesario establecer una política de eliminación mediante la cual debes asegurarte de que toda información, documentos, notas y hardware no deseados sean destruidos correctamente, a continuación presentamos algunas prácticas para evitar el buceo de contenedores en tu organización:
Implementa un plan para el manejo de los desechos
Es necesario implementar un plan para administrar de manera efectiva tus contenedores de basura y puntos de reciclaje como parte de tu estrategia de prevención de pérdida de datos; la basura que se maneja en tu organización puede ser de dos formas: digital y física, por lo que toca determinar cómo desechar documentos, notas, libros y hardware no deseados de forma específica, dicho plan también debe detallar qué información guardar y descartar.
Por ejemplo, si un cliente o empleado ya no está en su organización, es importante eliminar correctamente sus datos; en el caso de basura física, puedes triturar o quemar el papeleo.
Práctica la eliminación debida de medios de almacenamiento
Puedes practicar la eliminación estricta y consistente de medios de almacenamiento físicos, asegúrate de deshacerte de los DVDs y CDs o cualquier unidad que contenga información de identificación personal, tales como fotos, videos o cualquier otra información confidencial; si tienes computadoras, laptops u otro hardware que desechar, asegúrate de hacerlo adecuadamente y borre todos los archivos y programas instalados en estos para evitar daños futuros, si lo consideras necesario, asegúrate de inutilizar los discos duros de estos equipos.
Haz cumplir la política de retención de datos
Puedes aplicar políticas de retención de datos que rijan y controlen cuánto tiempo se debe conservar la información y eliminarla cuando ya no sea relevante, también puedes asegurarte que la política abarque el propósito de procesar toda la información que circula en tu sistema.
Tus empleados siempre deben saber manejar, almacenar y desechar datos de la empresa en todas sus formas, es necesario también agregar el uso de un certificado de destrucción de datos confidenciales.
Usa un triturador
Coloca contenedores trituradores seguros al lado de cada papelera en tu entorno de trabajo, no te limites a romper y tirar el papeleo en contenedores, ya que los delincuentes pueden unirlos fácilmente y recuperar información para planificar ataques cibernéticos; la trituradora destruye por completo estos documentos que contienen información confidencial.
Educa a tus empleados
Debes llevar a cabo programas de formación frecuentes para capacitar a tus empleados sobre todo lo referente a la eliminación adecuada de la información, así como otras estrategias de prevención de ataques; asegúrate de explicarles en qué consiste tu política de retención de datos y cómo cumplirla, haz normativas que indiquen expresamente la prohibición de llevarse a casa impresiones, fotocopias, computadoras viejas o cualquier otra fuente de información de la empresa para desecharlas por su cuenta.
Mantén la basura en un lugar seguro antes de desecharla
Puede sonar como algo simple, pero es extremadamente importante mantener la basura en un lugar seguro antes de desecharla, puedes usar contenedores de reciclaje cerrados o papeleras especiales.
También puedes construir una cerca alrededor de la papelera para evitar cualquier intrusión; esto no garantiza seguridad al 100% pero crea una barrera para evitar que cualquier potencial atacante acceda a regurgitar información.
Usa empresas de reciclaje de confianza
Si deseas contratar a una empresa de reciclaje que te asista en el manejo de eliminación de desechos, asegúrate que sea una empresa de confianza, ya que los atacantes pueden disfrazarse de empresas de reciclaje y obtener acceso a tu información, por lo que es necesario asegurarse de llevar cabo una investigación adecuada sobre la empresa antes de confiarles tus desechos.
Pensamientos finales
El buceo de contenedores sigue siendo una de las múltiples formas que utilizan los piratas informáticos para recopilar información sobre sus objetivos, por lo que debes evitar que estos buceen entre tus desperdicios para obtener información valiosa de la empresa; asegúrate de implementar todos los consejos de prevención que se analizan en este artículo.
Use una trituradora para destruir el papeleo que contenga datos confidenciales y fomenta la conciencia adecuada capacitando a tu personal continuamente para prevenir este tipo de ataques.