ingeniería social

Cómo deshacerse adecuadamente de la basura corporativa

Muchas empresas desechan información que puede representar un riesgo para la seguridad y para su reputación.

Nikolay Pankov
23 Jun 2021

Al preparar un ataque dirigido contra una empresa, en ocasiones los atacantes recurren al dumpster-diving o buscar en la basura, que es lo mismo, con la esperanza de encontrar información útil. En la vida real, no se toparán con 50 contraseñas válidas en un bote de basura, al estilo de Hackers, pero aun así, los cibercriminales pueden encontrar mucha información útil en la basura de una empresa.

Qué no poner en el basurero

Incluso los recolectores de basura más optimistas no esperan encontrar un portafolio de documentos marcados como ULTRASECRETO. Pero bien sabemos que no necesitan secretos impresionantes para desacreditar a una empresa o para organizar un ataque dirigido; cualquier chisme o información corporativa puede ayudarles a engañar a los empleados mediante ingeniería social.

Basura comprometedora

Si asumimos que no acostumbras a desechar evidencia de cuentas fraudulentas o informes de que tu negocio daña el medio ambiente, el peligro está en los datos personales, tanto de los clientes como de los empleados. En estos días, un hallazgo de este tipo garantiza la atención de los reguladores y multas considerables.

Sin embargo, hasta hoy todavía vemos casos que comienzan con datos personales desechados. A pesar de las muchas historias de advertencia, no todos los empleados se dan cuenta de que, por ejemplo, una lista de dirección de entrega de pizza es información confidencial. Preocupa aún más que se desechen registros médicos con números de seguridad social, facturas de pago con detalles bancarios y escaneos de documentos de identidad.

Qué les sirve a los cibercriminales para un ataque de ingeniería social

Los cibercriminales pueden utilizar como arma la información que encuentren en documentos de trabajo, sobres y medios de almacenamiento digital que hayan sido desechados sin cuidado.

Los documentos de trabajo, incluso los que no contienen datos clasificados, pueden revelar lo que hace el equipo, la terminología que utiliza, los procesos que ha implementado y mucho más. En posesión de esta información, un atacante puede hacerse pasar por un participante en el proceso de trabajo por correo electrónico, o incluso por teléfono, lo que les ayuda a obtener información adicional o montar un ataque BEC convincente.

Los sobres de cartas comerciales siempre incluyen al remitente y al destinatario. Si se sabe que el empleado de la empresa M recibe documentos de representantes de la empresa N, un cibercriminal, por ejemplo, podría comunicarse con el destinatario con una solicitud convincente para aclaración, o bien, enviar un enlace malicioso que parezca acuse de recibo de un documento real físico.

Los medios digitales pueden ser un verdadero tesoro de información. Un smartphone roto puede escupir listas de contactos y mensajes, los cuales son útiles para imitar al dueño previo del dispositivo; y las unidades de memoria flash, o incluso discos duros desechados, contienen muchos documentos de trabajo y datos personales.

En general, incluso una bolsa de entrega de comida a domicilio con el nombre del empleado de una empresa ofrece oportunidades para la ciberdelincuencia, como por ejemplo, un correo electrónico de phishing con enlaces falsos a especiales de un menú o programas de lealtad. (Y no es que esta sea una estrategia muy popular, pero sí es real).

Cómo deshacerse adecuadamente de la basura

Para empezar, te recomendamos minimizar o eliminar el uso de papel como medio de almacenamiento. Hacerlo no solo ayudará a salvar el planeta, sino que también evita eficientemente el problema de la eliminación.

En primer lugar, destruye todos los documentos en papel que estén relacionados con el trabajo de la empresa. Esto significa todos, no solo los que incluyan datos personales. Tritúralos, también los sobres.

Los medios digitales (discos duros, memorias USB) no van en la basura. Tu siguiente paso es dejarlos mecánicamente inutilizables y llevarlos a un centro de reciclaje de electrónicos. Parte los discos y memorias con pinzas. Para los discos duros, utiliza un taladro o martillo. Recuerda que dentro de cada teléfono hay una unidad de memoria flash y dentro de cada computadora un disco duro. Si los vas a desechar, primero asegúrate de que no es posible acceder a su información.

Antes de desechar empaques o bolsas de comida a domicilio, rómpelos y destruye las etiquetas que incluyan nombre y dirección del destinatario.

Ten en cuenta que la seguridad de tu empresa depende directamente de cada empleado de esta, desde la recepción hasta la alta dirección, entiendan y obedezcan estas reglas. Cada uno, sin importar su puesto, necesita tener el conocimiento básico y práctico para manipular información potencialmente peligrosa.

Llega el Prime Day: conoce las técnicas más utilizadas por defraudadores para que no te conviertas en víctima

Cosas que debes tener en cuenta si quieres tomar provecho del Amazon Prime Day.

Privacidad y niños

Soluciones Targeted Security

Otras soluciones

OTRA INDUSTRIA

OTROS PRODUCTOS

OTROS SERVICIOS

Cómo deshacerse adecuadamente de la basura corporativa

Qué no poner en el basurero

Basura comprometedora

Qué les sirve a los cibercriminales para un ataque de ingeniería social

Cómo deshacerse adecuadamente de la basura

Los trucos de ingeniería social

Ciberataques sin malware

Llega el Prime Day: conoce las técnicas más utilizadas por defraudadores para que no te conviertas en víctima

Consejos

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Browser-in-the-browser: una nueva técnica de phishing

¿Quieres invertir por internet? Ten primero en cuenta estos consejos de seguridad

Suscríbete y recibe nuestras publicaciones en tu correo

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog