Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Ciberseguridad 23 oct 2019

Cómo proteger los datos de tu entorno físico de los ‘hackers’

Una importante fuente de información para los ciberdelincuentes son los datos disponibles en formato físico, tales como contraseñas escritas en papel o en tarjetas, así como la información susceptible de robo que se mueve por las redes sociales y ordenadores. Estas son algunas de las diferentes técnicas de ingeniería social diseñadas para extraer información disponible en formatos no digitales.

Dentro de estas técnicas es posible identificar algunas como ‘trashing’, ‘shoulder surfing’, escritorios limpios o ‘vishing’, entre otras. Como puede verse en la definición de cada uno de estos términos, el objetivo del atacante es aprovechar la debilidad del objetivo, ya sea persona o una compañía, a quien desee extraerle información. Normalmente, estas debilidades pueden materializarse al dejar disponibles documentos con datos sensibles como extractos bancarios, balances financieros, detalles de proyectos, datos familiares o informes de auditoría, al alcance de los ‘hackers’.

El delincuente busca también aprovechar el descuido de las personas que no protegen su postura en el momento de introducir algunas claves o información en teléfonos, computadores, tabletas, etc. El atacante también puede obtener información debido a la falta de prudencia al comentar detalles confidenciales de la vida personal, familiar, profesional o laboral en sitios públicos, como pueden ser un medio de transporte, un aeropuerto o un café, o cualquier lugar que no sea seguro para conversaciones privadas.

Algunas de estas técnicas de obtención de información confidencial o violación de la privacidad son:

  • Shoulder surfing’: esta técnica consiste en observar sobre el hombro de la víctima la información que se introduce en los teléfonos, ordenadores o cajeros automáticos, entre otros dispositivos. De esta forma el atacante puede extraer datos como la contraseña, claves de tarjetas débito o crédito (PIN), y datos personales en general. Es posible utilizar esta técnica acercándose a la víctima o de forma remota utilizando herramientas como cámaras, micrófonos, o binoculares para ampliar la visión.
  • Trashing’: o buscar en la basura. A través de esta técnica, el delincuente explora dentro de los desechos de información, en contenedores, sitios de reciclaje, medios informáticos eliminados de forma incorrecta y en general cualquier tipo de documentos descartados, datos que permitan establecer información estructurada o coherente para una violación de información.
  • Vishing’: técnica mediante la cual el atacante suplanta a una entidad de forma telefónica, logrando engañar a la víctima para extraer información como números de tarjetas, fechas de vencimiento, códigos de verificación, entre otros. Puede suceder que los delincuentes tengan información parcial obtenida mediante técnicas de acceso físico, que genere confianza a la víctima y proceda a entregar más información.
  • ‘Desktop diving’: esta técnica busca obtener datos en papeles, reportes, pósits, informes y en general documentos abandonados en zonas como escritorios, salas de reuniones, impresoras, cajillas de correspondencia o robo de dispositivos como computadores, teléfonos, unidades de almacenamiento, memorias no protegidas con contraseñas o técnicas de cifrado. Esta información es útil para construir perfiles de información que lleven al atacante a obtener datos confidenciales. Para evitarlo, se recomienda tener el escritorio limpio de información confidencial y no dejar ningún documento a la vista de otras personas, siempre debe ser almacenado en un sitio seguro corporativo.

En conclusión, es importante mantener la información física debidamente resguardada, establecer procedimientos de eliminación de datos en formato físico y digital, así como ser prudente en las conversaciones y estar siempre atentos a preguntas sobre datos confidenciales y transgresiones del espacio personal. Proteger la información en cualquier formato debe ser una prioridad.

Recuerda, ante el robo de información en formato físico, la defensa eres tú.

Otras historias interesantes