Dumpster Diving

Dumpster Diving. Buceo en la basura.

dumpster diving

El Dumpster Diving conlleva la busqueda de material confidencial en un contenedor, papeleras o centros de reciclaje, son lugares ideales para encontrar datos confidenciales e importantes. Los buscadores en desechos electrónicos  de hoy en día, alimentados por las redes sociales, se dedican a indagar y buscar cualquier dato que le pueda llevar a efectuar su engaño,chantajeo ciberdelincuencia.

¿Qué es el Dumpster Diving?

La piratería sin tecnología es la piratería que no requiere el uso de herramientas de alta tecnología. El buceo en contenedores es un ejemplo de piratería sin tecnología. Las personas arrojan cantidades asombrosas de información altamente confidencial ,y las empresas investigarán cuando alguien informe haber visto a una persona merodeando alrededor de un contenedor de basura corporativo.

El buceo en contenedores es la búsqueda de información útil en los cubos de basura. El contenedor puede estar en un vertedero público o en una zona en la que no se permita la entrada de personas no autorizadas. El buceo en contenedores se basa en una debilidad humana: la falta de conocimientos sobre seguridad. Se pueden encontrar muchas cosas buceando en los contenedores (por ejemplo, portátiles,discos duros,pendrive,CDs, DVDs,  directorios de empresas, etc.) Quizás el ejemplo más famoso de buceo en contenedores es el de Jerry Schneider en el sur de California. Cuando Jerry estaba en el instituto, en 1968, encontró documentos sobre el sistema de pedidos y entregas automáticas de Pacific Telephone, que permitía pedir aparatos y entregarlos en puntos muertos. Jerry reunió equipos telefónicos por valor de cientos de miles de dólares y formó Creative Systems Enterprises para venderlos; parte de ellos se vendieron a Pacific Telephone. Jerry fue detenido en 1972 y creó una empresa de seguridad en 1973, que abandonó en 1977.

Este ataque usando el Dumpster Diving, se puede dirijir tanto a grandes organizaciones o empresas como a particulares , enviando a las víctimas correos electrónicos falsos que parecen proceder de una fuente legítima. La información obtenida al comprometer la privacidad de la víctima se utiliza para el fraude de identidad.

Puede sonar extraño, pero imagínate que un hacker sepa tanto sobre ti sólo por revisar tu basura durante un rato. Se vuelve aún más aterrador cuando se combina esta imaginación con el conocimiento que el ladrón en línea tiene sobre usted, reunido a través de lo que se ha publicado en Internet. Esto es lo que ocurre en la realidad.

Objetivos del Dumpster Diving informático.

Todos sabemos que los delitos informáticos son aquellos que se cometen con la ayuda de recursos informáticos. En este sentido, el buceo en contenedores no es más que una traslación a la realidad del clásico buceo por ordenador. En paralelo a la busqueda de residuos físicos útiles en los cubos de basura y en los contenedores físicos, se buscan los residuos digitales en los contenedores de reciclaje de los equipos a los que tienen acceso. Más allá del historial de navegación de los dispositivos.

¿Con qué fin? Para utilizar otras técnicas criminales a partir de ahí. La información contenida en muchos de los documentos que se tiran a la papelera de reciclaje es de carácter personal, lo que sería muy útil para aplicar mecanismos de ingeniería social. Sin embargo, esta no es la única finalidad del contenedor de reciclaje, ya que también se pide esta práctica delictiva electrónica. La información obtenida también puede utilizarse para chantajear a los usuarios por dinero o para encontrar sus contraseñas y acceder a sus cuentas digitales.

Peor aún, gran parte de la información contenida en los documentos que tiramos es de carácter financiero o bancario. Para las empresas, esto es especialmente peligroso, ya que un hacker podría encontrar información confidencial que podría poner en riesgo a la empresa, incluso documentos confidenciales que contengan datos personales de terceros, lo que podría conllevar graves sanciones por parte de la Agencia Española de Protección de Datos. Por eso es tan importante protegerse del contenedor.

¿Qué buscan los ciberdelincuentes?

  • Dirección de correo electrónico / dirección
  • Números telefónicos para realizar Vishing
  • Contraseñas y otros números de seguridad  que podríamos haber escrito en notas adhesivas para nuestra conveniencia
  • Estados de cuenta bancarios / estados financieros
  • Registros médicos
  • Documentos importantes
  • Credenciales de inicio de sesión de cuenta
  • Secretos comerciales
  • Secretos de marketing
  • Información de la base de empleados.
  • Información sobre el software / herramientas / tecnologías que se utilizan en la empresa.
dumpster diving

Prevención ante el Dumpster Diving

El buceo en contenedores no sólo consiste en buscar contenedores o desechos informáticos. Es una acción que incluye muchas otras subacciones para recuperar documentos borrados. Incluso si se han eliminado de la papelera de reciclaje. En este sentido, un ordenador que pierde su utilidad no puede tirarse simplemente a la basura. Esto significaría que podrían acabar en manos de los ciberdelincuentes. A continuación, pueden recuperar la totalidad o parte de los documentos eliminados.

Entonces, ¿qué podemos hacer? Destruya los archivos digitales. Si tus dispositivos ya no son útiles, aplique  las técnicas necesarias para hacer irrecuperable la información de su disco duro.

Como hemos dicho antes, la destrucción de residuos digitales es muy importante. No sólo por la seguridad de la empresa y de su persona. También y sobre todo por la necesidad de cumplir con lo establecido en el Reglamento General de Protección de Datos europeo y su desarrollo nacional: la Ley Orgánica de Protección de Datos y la garantía de los derechos digitales.

La posibilidad de triturar los documentos es una contramedida muy eficaz contra la búsqueda en el contenedor. Las trituradoras de papel son cada vez más asequibles, así que hazte con una si es posible para poder deshacerte de forma segura de las tarjetas de crédito, los extractos bancarios, las facturas de servicios públicos y los historiales médicos. Aunque te vuelvas loco con las características de todas las opciones de destructoras, fíjate en lo que te conviene y trata de comprar una que se ajuste cómodamente a tu presupuesto.  La mayoría de las organizaciones tienen trituradoras y fomentan su uso. Asegúrate de tener el permiso de la empresa u organización a la que perteneces antes de llevar a cabo dicha acción.

Aprendizaje social.

Independientemente de las medidas que se tomen para evitar los registros de papeleras, siempre hay que tener en cuenta el factor humano.

Un proceso de seguridad que diga «no conectar memorias USB» es poco realista. Una política realista es la que permite a los usuarios conectar únicamente memorias USB en dispositivos protegidos por software de control.

Lo más importante ni siquiera es la tecnología. Más bien tenemos que asegurarnos de contratar a personas de confianza y formarlas adecuadamente. El 40% de las violaciones de seguridad son causadas por empleados actuales o antiguos, no por piratas informáticos externos. Y si los empleados malintencionados tienen acceso a los datos sensibles, no hay ninguna solución técnica fiable para garantizar que no ocurra nada malo.

En otras palabras, no importa si se deshace correctamente de sus viejos discos duros si la cultura de su empresa es de empleados no formados. Eso es un riesgo para la seguridad.

Dumpster Diving,consideraciones a tener en cuenta

Si alguna vez has tirado a la basura algo que podría haber destruido en la trituradora, deberías preguntarte quién podría tener acceso a ello. El Dumpster Diving es un método de recuperación de información de baja tecnología que consiste en extraer documentos con información de la basura. Una persona puede tirar un papel con una contraseña, un documento de trabajo, un recibo de pago, una factura o cualquier otra cosa con información confidencial. Cualquiera que tenga acceso a un contenedor de basura, a una bolsa de basura  o a un contenedor exterior puede sacarla y utilizarla. Aunque la información no es tan simple como un trozo de papel con una contraseña, la información de múltiples documentos puede ser compilada en algo que un atacante pueda utilizar.

Las empresas deben tener una política para que todos los documentos que contengan información sensible sean destruidos y no se tiren a la basura normal. Pero incluso si su empresa sigue estas políticas, eso no le protege de que los empleados se lleven la información a casa y la tiren. La segunda encuesta anual de Infosecurity Europe, mencionada anteriormente, reveló que el 80% de los empleados se llevan información confidencial a casa cuando cambian de trabajo. Aunque un atacante no tenga acceso a la información de su organización, eso no significa que no pueda obtenerla de los empleados actuales y antiguos.

Intentar limitar la información que un empleado puede y no puede llevarse a casa desde el trabajo puede ser difícil, si no imposible. Muchos empleados en el lugar de trabajo utilizan tabletas, ordenadores portátiles y otros dispositivos que almacenan importantes cantidades de datos y entran y salen de la empresa con regularidad. Por tanto, la educación y las políticas son importantes para garantizar que los trabajadores se tomen en serio esta responsabilidad.

Hay una mayor necesidad de que los trabajadores controlen con qué salen del edificio el último día de trabajo. Si un antiguo empleado está lo suficientemente enfadado como para dejar una empresa con información confidencial, también es probable que esté más que dispuesto a dar esa información a cualquiera que se la pida.

Recurso pedagógico
Llave de seguridad
Cursos de Ciberseguridad
Honegain, conócelo a fondo
Ir arriba