Cómo deshacerse adecuadamente de la basura corporativa

Muchas empresas desechan información que puede representar un riesgo para la seguridad y para su reputación.

Al preparar un ataque dirigido contra una empresa, en ocasiones los atacantes recurren al dumpster-diving o buscar en la basura, que viene a ser lo mismo, con la esperanza de encontrar información útil. En la vida real, no se encontrarán con 50 contraseñas válidas en un bote de basura, al estilo de Hackers, pero aun así, los cibercriminales pueden encontrar mucha información útil en la basura de una empresa.

Qué no poner en el basurero

Incluso los recolectores de basura más optimistas no esperan encontrar un portafolio de documentos marcados como ULTRASECRETO. Pero bien sabemos que no necesitan secretos impresionantes para desacreditar a una empresa o para organizar un ataque dirigido; cualquier chisme o información corporativa puede ayudarles a engañar a los empleados mediante ingeniería social.

Basura comprometedora

Si asumimos que no acostumbras a desechar evidencia de cuentas fraudulentas o informes de que tu negocio daña el medio ambiente, el peligro está entonces en los datos personales, tanto de los clientes como de los empleados. En estos días, un hallazgo de este tipo garantiza la atención de los reguladores y multas considerables.

Sin embargo, hasta hoy todavía vemos casos que empiezan con datos personales desechados. A pesar de las muchas historias de advertencia, no todos los empleados se dan cuenta de que, por ejemplo, una lista de dirección de entrega de pizza es información confidencial. Preocupa aún más que se desechen registros médicos con números de seguridad social, facturas de pago con detalles bancarios y escaneos de documentos de identidad.

Qué les sirve a los cibercriminales para un ataque de ingeniería social

Los cibercriminales pueden utilizar como arma la información que encuentren en documentos de trabajo, sobres y medios de almacenamiento digital que hayan sido desechados sin cuidado.

Los documentos de trabajo, incluso los que no contienen datos clasificados, pueden revelar lo que hace el equipo, la terminología que utiliza, los procesos que ha implementado y mucho más. En posesión de esta información, un atacante puede hacerse pasar por un participante en el proceso de trabajo por correo electrónico, o incluso por teléfono, lo que les ayuda a obtener información adicional o montar un ataque BEC convincente.

Los sobres de cartas comerciales siempre incluyen al remitente y al destinatario. Si se sabe que el empleado de la empresa M recibe documentos de representantes de la empresa N, un cibercriminal, por ejemplo, podría comunicarse con el destinatario con una solicitud convincente para aclaración, o bien, enviar un enlace malicioso que parezca acuse de recibo de un documento real físico.

Los medios digitales pueden ser un verdadero tesoro de información. Un smartphone roto puede escupir listas de contactos y mensajes, los cuales son útiles para imitar al dueño previo del dispositivo; y las unidades de memoria flash, o incluso discos duros desechados, contienen muchos documentos de trabajo y datos personales.

En general, incluso una bolsa de entrega de comida a domicilio con el nombre del empleado de una empresa ofrece oportunidades para la ciberdelincuencia, como, por ejemplo, un correo electrónico de phishing con enlaces falsos de los especiales de un menú o programas de fidelidad. (Y no es que esta sea una estrategia muy popular, pero sí es real).

Cómo deshacerse adecuadamente de la basura

Para empezar, te recomendamos minimizar o eliminar el uso de papel como medio de almacenamiento. Hacerlo no solo ayudará a salvar el planeta, sino que también evita eficientemente el problema de la eliminación.

En primer lugar, destruye todos los documentos en papel que estén relacionados con el trabajo de la empresa. Esto significa todos, no solo los que incluyan datos personales. Tritúralos, también los sobres.

Los medios digitales (discos duros, memorias USB) no van en la basura. Tu siguiente paso es dejarlos mecánicamente inutilizables y llevarlos a un centro de reciclaje de residuos electrónicos. Parte los discos y memorias con pinzas. Para los discos duros, utiliza un taladro o martillo. Recuerda que dentro de cada teléfono hay una unidad de memoria flash y dentro de cada ordenador un disco duro. Si los vas a desechar, primero asegúrate de que no es posible acceder a su información.

Antes de desechar paquetes o bolsas de comida a domicilio, rómpelos y destruye las etiquetas que incluyan el nombre y dirección del destinatario.

Ten en cuenta que la seguridad de tu empresa depende directamente de cada empleado de esta, desde la recepción hasta la alta dirección, entiendan y obedezcan estas reglas. Cada uno, sin importar su puesto, necesita tener el conocimiento básico y práctico para manipular información potencialmente peligrosa.

Consejos