Datos privados en ventas de segunda mano

Nuestros expertos definen la avalancha de datos en los dispositivos usados.

El Equipo de Investigación y Análisis Global (GReAT) ha examinado la seguridad de los dispositivos de segunda mano. Entre los dispositivos, que los jefes de investigación de DACH Marco Preuss y Christian Funk analizaron durante dos meses a finales de 2020, se encontraban: computadoras laptops y una variedad de medios de almacenamiento, como discos duros y tarjetas de memoria.

Su objetivo no era establecer las diferencias de acuerdo con el tipo de dispositivo sino examinar los datos en ellos con el fin de aprender cómo los datos electrónicos se relacionan de persona a persona, u otras ventas de mercado de segunda mano. Como vendedor, ¿qué rastro podrías estar dejando? Como comprador, ¿cómo puedes hacer que tu dispositivo se comporte como si fuera nuevo? Y hasta que lo logres, ¿es seguro usar tu dispositivo seminuevo?

Resultados

Una abrumadora mayoría de los dispositivos que los investigadores examinaron contenía por lo menos algunos rastros de datos, sobre todo personales, pero algunos eran corporativos; y más de 16% de los dispositivos les dieron acceso directo a los investigadores. Otro 74% revelaron datos valiosos cuando los investigadores les aplicaron métodos de extracción de datos. En apenas un 11% los datos se habían borrado correctamente.

Los datos que Preuss y Funk encontraron incluían cosas que podrían ser potencialmente inofensivas o terriblemente reveladoras e incluso peligrosas: entradas de calendarios, notas de reuniones, datos de acceso, documentos internos, fotos personales, información médica, documentos fiscales y demás. Además, como Funk ha precisado, los datos personales no tienden a perder valor con el tiempo; simplemente no puedes esperar a que el riesgo se aminore y sentirte más seguro luego de pasado cierto tiempo (y, a todo esto, no es que sentirse seguro en realidad disminuya el riesgo).

Además de la información directamente utilizable como las listas de contactos, los documentos fiscales y los expedientes médicos (o el acceso a las contraseñas almacenadas), los dispositivos electrónicos contienen información que podría causar daño indirecto; piensa por ejemplo en cómo los cibercriminales aprovechan la información que averiguan de los perfiles y publicaciones en redes sociales. Los contenidos de los dispositivos digitales son sumamente informativos.

¿Ya mencionamos al malware?

No es arriesgado afirmar que no todos comparten tu misma tolerancia en cuanto a la seguridad en dispositivos digitales. Algunos podrían protegerse de modo más minucioso que tú, pero si estás comprando de segunda mano, no es improbable que no solo reciban los datos de alguien, sino también malware como un extra. De los dispositivos que Preuss y Funk examinaron, 17% activaron nuestras alarmas de escáner antivirus.

Precuela: un estudio más amplio

La investigación de la que te informamos aquí en realidad comenzó con un estudio que Kaspersky comisionó a Arlington Research. Encuestó a miles de consumidores en edad adulta en el Reino Unido, Alemania y Austria. El estudio inicial funcionó como una confirmación aproximada, pues halló que las ventas digitales de segunda mano son de hecho una fuente segura y confiable de filtraciones de datos; menos de la mitad de los cientos de compradores no encontraron fotos, “material explícito”, datos de contacto, documentos confidenciales como pasaportes ni credenciales de inicio de sesión en los dispositivos que habían comprado.

Ten cuidado al vender

Aunque aproximadamente al 10% de los encuestados se les había dado dispositivos en los cuales encontrarían la información del vendedor, no muchos ignoraron, borraron de inmediato o informaron sobre los datos encontrados al dueño original o a las autoridades. Más allá de sólo echar un vistazo (el 74% de los encuestados dijo haber encontrado el modo de hacer esto), más de 1 en cada 10 admitió que venderían los datos encontrados si pensaran que podrían sacar algún provecho.

Recomendaciones y consejos

El Centro de Ciberseguridad Nacional del Reino Unido proporciona algunos consejos útiles para los compradores y vendedores de dispositivos electrónicos de segunda mano, desde crear copias de seguridad de la información personal hasta asegurarse de que el dispositivo esté tan limpio como si fuese nuevo.

Para los vendedores

Como vendedor, tu prioridad principal es borrar tu información del dispositivo que estás vendiendo de modo que puedas mantenerla segura y privada. Sí, también es importante asegurarse de que el dispositivo esté seguro, que esperamos hayas hecho desde el principio, pero el punto es mantener tu información privada.

  • Respalda tus datos: ya sea un teléfono, una computadora, una tarjeta de memoria u otra forma de almacenamiento, realiza una copia de seguridad confiable antes de borrar la información del dispositivo que estás vendiendo.
  • Quita la tarjeta SIM y las tarjetas del almacenamiento de los teléfonos; borre la eSIM si tu dispositivo utiliza una.
  • Activa la autenticación de dos factores en las cuentas que lo permitan, y luego cierra sesiones de todos los servicios (banco, correo electrónico, medios sociales) en el dispositivo que estás vendiendo.
  • Dependiendo del dispositivo en cuestión, restablece el dispositivo a las configuraciones de fábrica o formatea los medios.
  • Toma en cuenta que en muchos casos los datos aún pueden recuperarse incluso después de restablecerlo a las configuraciones de fábrica o formateo de medios. Para garantizar que no dejes nada en el dispositivo, necesitas adoptar pasos adicionales, que pueden variar según el tipo de dispositivo, modelo y configuración; busca la información sobre cómo eliminar de modo seguro tus datos de ellos.

Para los compradores

Nuestro consejo para los compradores de dispositivos de segunda mano es similar al consejo general sobre posesión digital, pero un poco más estricto debido a que debemos asumir que un dispositivo de segunda mano es riesgoso. Mejor prevenir que lamentar.

  • Dependiendo del dispositivo en cuestión, restablece el dispositivo a las configuraciones de fábrica o formatea los medios de almacenamiento.
  • Instala y activa solución de seguridad confiable inmediatamente (si es posible, antes de siquiera adquirir el dispositivo) para contrarrestar el riesgo de encontrar malware ya presente en el dispositivo; y realiza un escaneo antes de usar el dispositivo por primera vez.

Consejos