Qué es el Dumpster Diving y cómo prevenirlo en tu empresa

“Dumpster Diving” es una técnica de hacking que tiene como objetivo el obtener información sobre personas u organizaciones, obteniendo la información a través de las papeleras del escritorio, que erróneamente se ha considerado que estaban destruidas al trasladarse la información a estas, el objetivo es claro, la obtención de información.

¿Qué es el Dumpster Diving?

El Dumpster Diving, también conocido como buceo en la basura, es una técnica que surgió en la década de los 80 y se refiere a la práctica de buscar en los contenedores de basura información desechada que pueda ser útil. 

En el ámbito de la informática, esto se traduce en la exploración de la papelera de reciclaje de un sistema operativo con el objetivo de encontrar datos valiosos como:

• Códigos de acceso y contraseñas. 
• Números de teléfono, correos electrónicos de empleados. 
• Direcciones domiciliarias de clientes, socios comerciales, proveedores y familiares. 
• Diseños de productos, planos y borradores de planes de negocio.
• Diagramas de redes, información sobre proveedores de tecnología, equipos, modelos, versiones e incluso detalles del software utilizado.
• Firmas fácilmente falsificables. 
• Números de tarjetas de crédito y cuentas bancarias del personal y clientes comerciales.
• Currículo en los que aparece gran cantidad de información sobre una persona, como su teléfono, domicilio o dirección de correo electrónico.

El concepto también se ha denominado de otras formas como, bin-diving, containering, D-mart, dumpstering, totting, y skipping.

¿Cómo funciona el Dumpster Diving?

El Dumpster Diving se basa en la premisa de que mucha gente descarta información confidencial sin tomar las medidas adecuadas para su destrucción. Los hackers pueden buscar documentos físicos en los contenedores de basura o examinar la papelera de reciclaje digital de un sistema operativo en busca de archivos eliminados. 

Este método ha permitido a los piratas informáticos obtener todo tipo de información, desde códigos de acceso y contraseñas hasta números de tarjetas de crédito y detalles de cuentas bancarias.

¿Qué es el Dumpstering?

El término "Dumpstering" es otro nombre utilizado para referirse a la práctica de "Dumpster Diving". Esta técnica implica buscar en los desechos o en las papeleras (ya sea físicas o digitales) para encontrar información valiosa que haya sido descartada.

En un contexto físico, los "Dumpster Divers" pueden buscar en los contenedores de basura de una empresa, reciclando papelería y otros desechos para encontrar documentos con información relevante. Esta puede incluir detalles financieros, informes de estrategia, datos de contacto del cliente y más.

En un entorno digital, el "Dumpstering" puede implicar la recuperación de archivos eliminados de la papelera de reciclaje de un sistema operativo, o incluso la búsqueda de datos que aún se encuentran en dispositivos electrónicos desechados.

El "Dumpstering" es una táctica comúnmente utilizada en el espionaje corporativo y por los ciberdelincuentes para obtener acceso a información confidencial. Sin embargo, también puede ser utilizado por los investigadores de seguridad como parte de una evaluación de la vulnerabilidad de una organización.

Para protegerse contra el "Dumpstering", las empresas deben implementar políticas de manejo de desechos y retención de datos, y asegurarse de que todos los datos se destruyan de manera segura antes de ser descartados. También es importante proporcionar formación a los empleados sobre la importancia de manejar y desechar correctamente la información confidencial.

Factores de riesgo humanos y digitales del Dumpster Diving

Existen dos categorías principales de riesgo asociadas con el Dumpster Diving: los riesgos humanos y los riesgos digitales. 

Los riesgos humanos se refieren a la posibilidad de que los empleados descarten información confidencial sin darse cuenta de su valor. 

Los riesgos digitales, por otro lado, se refieren a la posibilidad de que los datos no se borren completamente de los dispositivos antes de ser desechados.

Un ejemplo notable de este riesgo ocurrió en 2006, cuando un hacker encontró en las papeleras de dos portátiles el itinerario completo del viaje a Florida del entonces presidente de los Estados Unidos, George W. Bush: horas de despegue y aterrizaje del Air Force One, del Marine One, de los helicópteros de escolta Nighthawk 2 y 3, vehículos que se usarían ese día, nombres de todos abordo del AF1, locaciones, horarios exactos, entre otros.

La basura electrónica y el Dumpster Diving

Se estima que cada año se eliminan 50 millones o más de PC, ordenadores portátiles, servidores, smartphones, un estudio realizado por el Parlamento Europeo, se estima que en 2050 se llegara a 120 millones de dispositivos desechados. Por eso, la información que poseen también plantea un riesgo nuevo y creciente para sus antiguos propietarios. Los nuevos dispositivos de almacenamiento portátiles pueden almacenar gigabytes de datos y facilitar la descarga de información privilegiada fuera de la organización o corporación, creyéndose que son objeto de destrucción.

Después de desechar un dispositivo, los almacenes y el contenedor se convierte en el mayor riesgo, actualmente en España a diferencia de los países que conforman la Unión Europea se utilizan procesos manuales de destrucción física y rudimentaria de bajo coste y software comercial sin acreditación ni certificación, se considera erróneamente, que de esta forma no se podrá acceder a datos de un dispositivo desechado.

Debería de ser conocimiento generalizado que reformatear un disco duro simplemente borra la información del directorio que indica dónde se almacenan los datos. Pero no borra los datos en sí.

¿Cómo proteger su empresa del Dumpster Diving?

La protección contra el Dumpster Diving requiere tanto medidas físicas como digitales. En el aspecto físico, es crucial implementar políticas de manejo y eliminación de documentos para garantizar que la información confidencial se destruya adecuadamente antes de ser desechada.

En el aspecto digital, es vital entender que simplemente borrar un archivo o reformatear un disco duro no elimina completamente los datos. Los softwares de eliminación de datos, como Blancco, pueden ser una solución eficaz para este problema, ya que son capaces de eliminar completamente los datos de los discos duros.

Además, la educación y la formación del personal son fundamentales para minimizar los riesgos humanos asociados con el Dumpster Diving. Los empleados deben entender el valor de la información que manejan y cómo eliminarla de manera segura cuando ya no sea necesaria.

En conclusión, aunque el Dumpster Diving puede parecer una técnica simple, ha demostrado ser sorprendentemente efectiva y representa una amenaza real para la seguridad de la información. Por lo tanto, es esencial tomar medidas adecuadas para protegerse contra esta práctica.

Escenario de Riesgos por Ausencia de Borrado Seguro