Hay un dicho famoso que la mayoría seguro han escuchado: «La basura de un hombre es el tesoro de otro».
Eso significa que lo que una persona considera inútil podría ser de gran valor para la otra. El concepto de Dumpster Diving se basa en esto.
En el mundo de la seguridad de la información y las amenazas cibernéticas, el dumpster diving es el proceso de buscar basura para obtener información útil sobre una persona o empresa que luego se puede utilizar con el propósito de piratear.
Este ataque está dirigido principalmente a grandes organizaciones o negocios para llevar a cabo phishing mediante el envío de correos electrónicos falsos a las víctimas que parecen provenir de una fuente legítima. La información obtenida al comprometer la confidencialidad de la víctima se utiliza para fraudes de identidad.
Puede sonar extraño, pero trata de imaginar a un pirata informático sabiendo tantas cosas sobre ti simplemente revisando tu papelera durante un cierto período de tiempo. Sonará más espeluznante una vez que combine esta idea con el conocimiento del ladrón en línea sobre ti, que recopiló a través de lo que se ha publicado en la web. Esto sucede en la realidad.
Por lo tanto, existe la necesidad de que todos tengan una comprensión profunda sobre el llamado «Dumpster Diving».
Para ello explicaremos en qué consiste esta forma de ingeniería social y cómo prevenirla.
Indice
¿Qué es el Dumpster Diving?
El Dumpster diving (buceo en el contenedor) en informática se refiere a la exploración de la papelera de un sistema con el fin de encontrar detalles para que un pirata informático pueda realizar un ciberataque. El primer paso para realizar un ataque a un servicio de redes sociales es bucear en el contenedor. Y la fase de ingeniería social vendrá después, cuando los usuarios en línea son llevados a una trampa para que revelen datos privados sobre ellos.
Dumpster Diving es el acto de acceder sin autorización a determinada información que pasa por la basura de una empresa, ya sea dentro o fuera del edificio.
El atacante generalmente busca algún tipo de información confidencial que se arrojó a la basura. La información de secreto comercial debe eliminarse adecuadamente.
La mayoría de las empresas usan la trituración como una forma de destrucción, pero el hecho de que se rompa en pedazos pequeños no significa que no se pueda volver a armar. Una forma de destruir adecuadamente algunos documentos es quemarlos con un método o servicio de incineración en papel. Esto borra toda la existencia del documento.
Bucear en contenedores de basura implica sumergirse en contenedores de basura en busca de información valiosa. Muchas veces, sin darnos cuenta, tiramos a la basura documentos con información confidencial que puede ser utilizada por delincuentes con fines maliciosos.
Uno de los documentos que es más habitual encontrar tirados en la basura son los curriculum en los que aparece gran cantidad de información sobre una persona, como su teléfono, domicilio o dirección de correo electrónico.
¿Qué busca el hacker?
Un hacker, al buscar en la basura, pretende acceder a la siguiente información personal o empresarial:
- Dirección de correo electrónico / dirección
- Números telefónicos para realizar Vishing
- Contraseñas y otros números de seguridad social que podríamos haber escrito en notas adhesivas para nuestra conveniencia
- Estados de cuenta bancarios / estados financieros
- Registros médicos
- Documentos importantes
- Credenciales de inicio de sesión de cuenta
- Secretos comerciales
- Secretos de marketing
- Información de la base de empleados.
- Información sobre el software / herramientas / tecnologías que se utilizan en la empresa.
Factores de riesgo
Se estima que cada año se eliminan 50 millones o más de PC, ordenadores portátiles y servidores. Por eso, la información que poseen también plantea un riesgo nuevo y creciente para sus antiguos propietarios.
Los nuevos dispositivos de almacenamiento portátiles, como las unidades flash USB y los reproductores de música portátiles, pueden almacenar gigabytes de datos y facilitar la descarga de información privilegiada por parte de un miembro descontento. Además, los dispositivos de comunicación y computación de mano como BlackBerries y PDA pueden, por correo electrónico, canalizar datos confidenciales fuera de la organización, o dejar que entren virus u otro malware.
Después de desechar un dispositivo, el contenedor se convierte en el mayor riesgo. Dependiendo de la sensibilidad de los datos en el disco, los gerentes de TI pueden utilizar, desde procesos manuales de bajo coste y software comercial hasta destrucción física para asegurarse de que no se pueda accederse a datos de un dispositivo desechado.
Como la mayoría de los gerentes de TI saben, reformatear un disco duro simplemente borra la información del directorio que indica dónde se almacenan los datos. Pero no borra los datos en sí.
Una amplia variedad de herramientas, que van desde freeware y shareware hasta software comercial, hacen un trabajo eficaz al eliminar datos de los discos duros.
Para los datos cuya pérdida sería catastrófica, el paso final es destruir físicamente el disco.
Cuando se trata de unidades USB o flash, llenar el dispositivo con datos y eliminarlos es suficiente para detener a un pirata informático. Pero un adversario más sofisticado podría encontrar datos en un sector de memoria que se almacena como parte del código de corrección de errores en el dispositivo. La destrucción física puede no ser la respuesta definitiva para las unidades flash descartadas. El chip dentro de la unidad que contiene los datos es bastante pequeño y podría escapar incluso de una destrucción completa.
¿Cómo evitar el Dumpster diving?
La tecnología más fácil y menos costosa para proteger la información digital es el cifrado. Los expertos dicen que el software de cifrado moderno es económico y fácil de usar y es capaz de proteger prácticamente cualquier organización contra el robo de datos en los dispositivos después de su eliminación, o si se pierden o son robados.
En muchos casos, las organizaciones ya tienen el software que necesitan, como el cifrado BitLocker incluido en algunas versiones del sistema operativo Windows Vista de Microsoft.
Los ordenadores portátiles y de escritorio modernos son lo suficientemente potentes como para que el cifrado no ralentice otras aplicaciones. El obstáculo más grande es que el cifrado crea «una contraseña más para que alguien la recuerde», y que el personal de TI debe crear procesos para recuperar datos cifrados si alguien pierde su contraseña o abandona la organización.
El cifrado está tan ampliamente disponible y es fácil de usar por lo que es recomendable que las empresas cifren datos confidenciales donde sea que residan, ya sea que estén en reposo en un disco duro o que se transmitan a través de una red pública o privada.
Para evitar o detectar, el robo de datos internos, muchos proveedores ofrecen software que puede restringir el uso de puertos físicos en un ordenador o incluso dictar qué tipos de archivos pueden descargarse a qué tipos de dispositivos.
Los teléfonos móviles y PDA también representan un riesgo debido a su capacidad para recibir y almacenar correo electrónico. Pero los expertos dicen que la mayoría de ellos admiten el cifrado. Y señalan que las herramientas de administración permiten a los administradores denegar automáticamente el acceso o incluso borrar los datos de ellos si alguien ingresa repetidamente un nombre de usuario o contraseña incorrectos.
Otra importante medida para evitar ser víctima de dumpster diving es establecer una política de destrucción de documentos en la empresa. En ella se establecerá el uso de una trituradora para destruir todo el papel. Y se concieciará a los empleados para no tirar esos documentos directamente a la basura.
Factor humano
Con independencia de las medidas adoptadas para evitar el dumpster diving, siempre debes tener en cuenta el factor humano.
Un proceso de seguridad que dice ‘no enchufar unidades USB’ no es realista». Una política realista es aquella que permite a los usuarios solo conectar unidades USB a dispositivos que están protegidos por software de control.
Lo más importante ni siquiera es la tecnología. Más bien, debemos asegurarnos de contratar personas en las que confiamos y educarlas adecuadamente. El 40% de las violaciones de seguridad son causadas por empleados actuales o anteriores en lugar de hackers externos. Y si los empleados malintencionados tienen acceso a datos confidenciales no hay ninguna solución técnica en la que puedas confiar para garantizar que nunca ocurra nada malo.
En otras palabras, no importa que destruyas adecuadamente tus viejos discos duros si tienes una cultura en la que los empleados no están contentos. Eso es una amenaza para la seguridad.
Ejemplos
Dentro de los ataques basados en el dumpster diving podemos destacar el realizado por un ciudadano de California fue el responsable por el robo de más de 500 identidades a través de la búsqueda en contenedores de bancos y otras empresas para obtener materiales sensibles para hacer tarjetas de identificación falsas y cheques en blanco.
Lo hizo adquiriendo recibos de depósito procesados y correo basura que contenía nombres completos y direcciones dentro de los contenedores de los bancos cercanos. La información clave en la que se concentró durante el buceo en el basurero fue nombres, direcciones, fechas de nacimiento, números de Seguro Social y cheques cancelados.
Por otro lado, en España se han impuesto multas a centros médicos y tribunales por tirar a la basura expedientes con datos confidenciales de las personas.