Un estudio llevado a cabo por BT y universidades de Reino Unido, Australia y Estados Unidos respecto a los discos duros de segunda mano que compran las empresas ha puesto de manifiesto la gran cantidad de información que se queda almacenada en ellos y que es potencialmente peligrosa para los intereses comerciales y la identidad de las compañías, así como para la privacidad y los individuos involucrados.
Investigadores de una de las universidades participantes en este estudio, la de Glamorgan, aseguran el 37% de los discos duros de segunda mano estudiados mantienen información comercialmente sensible.
Lo preocupante que es que, utilizando herramientas informáticas accesibles a cualquiera, esa información sensible, que habitualmente pensamos que ha desaparecido al formatear el disco duro del ordenador, puede ser recuperada.
“Dado el nivel de exposición que los asuntos de seguridad e identidad que tenemos últimamente y las herramientas para asegurar la destrucción de la información, es incomprensible cómo los discos no han sido efectivamente limpiados”, afirma Andy Jones, jefe de investigación de tecnología de seguridad de BT, en un comunicado de la universidad de Glamorgan.
Al alcance de todos
Los investigadores han usado para realizar este estudio herramientas forenses “open source”, accesibles para cualquiera, como Helix o Autopsy Forensic Browser. Estas herramientas no requieren muchos conocimientos para recuperar información escondida en un disco duro, lo que quiere decir que cualquier persona estaría en condiciones de hacerlo.
Uno de los discos duros analizados en este estudio estaba funcionando en el Sistema Nacional de Salud del Reino Unido. Al analizarlo, los responsables del estudio consiguieron datos escondidos de pacientes, tales como informes de histologías o números de teléfono.
Otro de los ejemplos hace referencia a nueve discos recuperados que pertenecieron a una empresa de muebles. En esos discos estaba el logo de la empresa, cartas de sus clientes, nombres de empleados, números de teléfono internos y números de tarjetas de crédito.
“Las empresas y organizaciones tienen que responsabilizarse del vaciado de sus discos duros y, si usan una empresa externa para hacer este trabajo, tienen que asegurase de que es una empresa con la suficiente reputación”, asegura Jones.
El problema de la privacidad
Además de los posibles daños para la imagen y los intereses de la empresa, se podrían derivar también problemas respecto la protección de datos. La presión legislativa a nivel nacional e internacional a este respecto es cada vez mayor.
Así, en el Reino Unido la legislación vigente hace responsable a las empresas y organizaciones de los datos que manejan durante todo su ciclo vital, incluido su destrucción.
El informe recomienda a las empresas introducir en sus procesos asesoría externa para determinar qué información dentro de sus discos duros es sensible, así como para asegurarse de que sus sistemas y discos son limpiados convenientemente. A este respecto, BT va un poco más lejos y recomienda la encriptación total de los discos duros.
En el estudio se analizaron un total de 133 discos duros en el Reino Unido. Dos de esos discos contenían datos lo suficientemente comprometidos como para ser pasados a la autoridades judiciales para ser estudiados con detenimiento.
“Es esencial que las empresas se tomen el tema de la destrucción de información en serio. El número de discos que contienen una mezcla de datos sustanciales sobre empresas y particulares sugiere que muchos usuarios están trabajando con datos corporativos en sus casas. Es posible que haya millones de discos duros de segunda mano a la venta, ahora mismo, que todavía contienen información altamente confidencial”, concluye Andrew Blyth, que dirige el equipo de investigación de la universidad de Glamorgan.
Investigadores de una de las universidades participantes en este estudio, la de Glamorgan, aseguran el 37% de los discos duros de segunda mano estudiados mantienen información comercialmente sensible.
Lo preocupante que es que, utilizando herramientas informáticas accesibles a cualquiera, esa información sensible, que habitualmente pensamos que ha desaparecido al formatear el disco duro del ordenador, puede ser recuperada.
“Dado el nivel de exposición que los asuntos de seguridad e identidad que tenemos últimamente y las herramientas para asegurar la destrucción de la información, es incomprensible cómo los discos no han sido efectivamente limpiados”, afirma Andy Jones, jefe de investigación de tecnología de seguridad de BT, en un comunicado de la universidad de Glamorgan.
Al alcance de todos
Los investigadores han usado para realizar este estudio herramientas forenses “open source”, accesibles para cualquiera, como Helix o Autopsy Forensic Browser. Estas herramientas no requieren muchos conocimientos para recuperar información escondida en un disco duro, lo que quiere decir que cualquier persona estaría en condiciones de hacerlo.
Uno de los discos duros analizados en este estudio estaba funcionando en el Sistema Nacional de Salud del Reino Unido. Al analizarlo, los responsables del estudio consiguieron datos escondidos de pacientes, tales como informes de histologías o números de teléfono.
Otro de los ejemplos hace referencia a nueve discos recuperados que pertenecieron a una empresa de muebles. En esos discos estaba el logo de la empresa, cartas de sus clientes, nombres de empleados, números de teléfono internos y números de tarjetas de crédito.
“Las empresas y organizaciones tienen que responsabilizarse del vaciado de sus discos duros y, si usan una empresa externa para hacer este trabajo, tienen que asegurase de que es una empresa con la suficiente reputación”, asegura Jones.
El problema de la privacidad
Además de los posibles daños para la imagen y los intereses de la empresa, se podrían derivar también problemas respecto la protección de datos. La presión legislativa a nivel nacional e internacional a este respecto es cada vez mayor.
Así, en el Reino Unido la legislación vigente hace responsable a las empresas y organizaciones de los datos que manejan durante todo su ciclo vital, incluido su destrucción.
El informe recomienda a las empresas introducir en sus procesos asesoría externa para determinar qué información dentro de sus discos duros es sensible, así como para asegurarse de que sus sistemas y discos son limpiados convenientemente. A este respecto, BT va un poco más lejos y recomienda la encriptación total de los discos duros.
En el estudio se analizaron un total de 133 discos duros en el Reino Unido. Dos de esos discos contenían datos lo suficientemente comprometidos como para ser pasados a la autoridades judiciales para ser estudiados con detenimiento.
“Es esencial que las empresas se tomen el tema de la destrucción de información en serio. El número de discos que contienen una mezcla de datos sustanciales sobre empresas y particulares sugiere que muchos usuarios están trabajando con datos corporativos en sus casas. Es posible que haya millones de discos duros de segunda mano a la venta, ahora mismo, que todavía contienen información altamente confidencial”, concluye Andrew Blyth, que dirige el equipo de investigación de la universidad de Glamorgan.