Últimas entradas

Usar sistemas de IA para evaluar la actividad comercial ya es posible

0
Ya existen sistemas de IA para evaluar la actividad comercial de las empresas que analizan llamadas, emails y otras comunicaciones comerciales

¿Se puede dar el teléfono de un trabajador a clientes sin su consentimiento?

0
La AEPD ha multado con 6.000 € a una empresa por dar el teléfono de un trabajador a 18 personas sin haber recabado previamente su consentimiento

Cualificar bases de datos: el futuro era esto

0
Cualificar bases de datos es el mejor camino para mejorar el ticket por cliente y disparar los márgenes de rentabilidad de cualquier empresa
Roberto Ayuste
Roberto Ayuste

Dumpster diving: ¿Qué tira tu empresa a la basura?

Tecnología

Los ataques de dumpster diving pueden servir para robar propiedad intelectual de las empresas, realizar fraudes o suplantar su identidad

Hoy en día, resulta raro que a una empresa no lleguen semanalmente diversos paquetes con las compras de productos realizadas, en muchos casos, a través de internet en toda clase de e-commerce, comenzando por el más famoso del mundo: Amazon.

Una vez que se vacían las cajas y se quitan los productos que contenía, ¿qué pasa con los envases? ¿Se tiran directamente a la basura? Esta práctica puede dar pie a una técnica delictiva muy peligrosa: el dumpster diving.

¿Qué es el dumpster diving?

Los ataques de dumpster diving comienzan en una dimensión puramente analógica: robar los datos de una empresa que figuran en la etiqueta de un paquete depositado en la basura, pero también la información que contienen los documentos o dispositivos electrónicos de los que una empresa se deshace.

Sin embargo, en muchos casos el dumpster se desarrolla en el mundo digital. Por ejemplo, los datos recopilados se emplean para lanzar ciberataques de ingeniería social. ¿Cómo?

  • Los delincuentes suplantan la identidad de una empresa (sin ir más lejos, en el caso de los envoltorios de los paquetes, la compañía que los envió).
  • Gracias a la información recolectada en la basura disponen de datos sobre sus víctimas que les permiten dotar de mayor credibilidad a sus comunicaciones.
  • Los malos se ponen en contacto con sus víctimas a través de email, SMS o llamado telefónica. De hecho, en ocasiones, emplean una mezcla de varios canales de comunicación para disipar las sospechas de las víctimas.
  • En el mensaje hace se busca inducir a las víctimas a que realicen una determinada acción: hacer clic en un enlace, escanear un código QR, aportar datos sensibles como números de cuentas bancarias…
  • Con la información conseguida es posible llevar a cabo un ciberataque, por ejemplo, un fraude financiero o una estafa bancaria suplantando la identidad de la empresa atacada.

En algunos casos, el dumpster diving no conlleva la puesta en marcha de un ataque de ingeniería social, sino que los delincuentes optan por extorsionar a las empresas o vender la información directamente a negocios de la competencia.

No solo cajas. En la basura de una empresa hay mucha materia prima para los malos

Ante el alud de paquetes que llegan cada día a las empresas, el dumpster diving se ha convertido en una amenaza cada vez más plausible. Sin embargo, las empresas no solo tiran paquetes a la basura, sino también otra clase de objetos que pueden contener información muy sensible sobre ellas, sus trabajadores, sus socios comerciales o sus clientes:

  • Documentos confidenciales sobre estrategia empresarial, propiedad intelectual o industrial, información financiera, facturas, recibos, listados de clientes, etc.
  • Dispositivos electrónicos como ordenadores obsoletos o estropeados, teléfonos móviles corporativos, tablets, PDAs, memorias USB, discos duros, etc.

Aunque podríamos pensar que estos objetos se eliminan de manera cuidadosa, lo cierto es que muchas empresas no se detienen a valorar los peligros asociados a que acaben en malas manos.

Una forma poco elegante de cometer espionaje industrial

Cuando pensamos en el espionaje industrial nos imaginamos a espías que diseñan sofisticadas estrategias para adentrarse en las entrañas de una empresa y robarle sus secretos para vendérselos a la competencia.

Pues bien, el dumpster diving no es tan elegante como el espionaje industrial que vemos en las películas y series, pero puede ser notablemente efectivo.

Por eso, es fundamental que las empresas eviten tirar a la basura documentos u objetos que puedan servir para revelar sus secretos, vendérselos a sus rivales y dañar su posición en el mercado y su capacidad de competir.

Fraudes económicos que pueden lastrar los resultados empresariales

Más allá del espionaje industrial, lo cierto es que muchos delincuentes recurren al dumpster diving solo para cometer fraudes económicos directos, cargando pagos a las cuentas bancarias o tarjetas de crédito corporativas.

En ocasiones, gracias al dumpster diving ya han podido recopilar todos los datos que necesitan, pero generalmente no es así. En esos casos, como señalamos antes, emplean la información obtenida para lanzar campañas de phishing contra los profesionales de la empresa y conseguir engañarlos para que les entreguen los datos que les faltan.

Esta clase de estafa puede dañar las cuentas de un negocio y tener repercusiones negativas en su planificación financiera y en su funcionamiento diario.

Sin contar el desembolso que tiene que hacer una empresa para investigar el incidente y los gastos asociados a emprender acciones legales para intentar recuperar el dinero defraudado.

El dumpster diving explota la basura para realizar ataques contra empresas

Suplantación de identidad y estafas bancarias

Una de las derivadas más inquietantes del dumpster diving es la suplantación de identidad. Algunos documentos o dispositivos incluyen la información necesaria para que los delincuentes suplanten la identidad de una empresa, alguno de sus trabajadores o, incluso, de sus clientes y cometan delitos haciéndose pasar por ellos.

¿Qué clase de delitos? Generalmente estafas bancarias, abriendo cuentas y solicitando crédito. Pero esta derivada del dumpster diving puede ir aún más lejos y permitir a los malos realizar delitos de otra índole.

Luchar contra los casos de suplantación de identidad consume una gran cantidad de recursos y tiempo e implica tener que acudir a la Policía y a la Justicia.

Extorsión empresarial

En algunos casos, los delincuentes que realizan la técnica del dumpster diving optan por emplear la información que consiguen en la basura para extorsionar a las empresas.

La extorsión es muy lucrativa. Al igual que sucede con los ataques de ransomware, muchas empresas prefieren pagar a los delincuentes, ante la gravedad de la información que han obtenido.

Sin embargo, como pasa con el ransomware, acceder a la extorsión es un error: se contribuye a financiar a los actores maliciosos y no se tiene la garantía de que la información sea exfiltrada en la Dark Web, vendida a la competencia o empleada en ciberataques contra clientes o trabajadores.

Multas por exponer datos confidenciales y especialmente sensibles

Además de luchar contra el dumpster diving, las empresas deben tener en cuenta que al tirar a la basura documentos y dispositivos electrónicos pueden exponer datos de índole privada de sus clientes o trabajadores.

Esto resulta aún más sensible en determinados sectores como la educación (datos sobre menores), la sanidad (datos médicos), o la banca (información financiera).

De ahí, que nuestro ordenamiento jurídico contemple multas para sancionar esta clase de comportamientos.

Al fin y al cabo, no debemos olvidarnos de que la protección de datos es una de las grandes cuestiones de esta era. Desde la aprobación del Reglamento General de Protección de Datos (RGPD), las empresas e instituciones tienen que salvaguardar los datos privados de clientes, trabajadores, pacientes o alumnos.

Deshacerse de manera insegura de información relacionada con ellos incumple la normativa, además, claro está, de abrir la puerta al dumpster diving y que el incumplimiento acabe en denuncias judiciales por parte de los afectados.

¿Cómo evitar los ataques de dumpster diving?

Para evitar las temibles consecuencias que venimos de ilustrar, las empresas deben:

  • Disponer de mecanismos seguros para la eliminación de información privada o confidencial. Muchos negocios creen que para eliminar archivos de un ordenador o un teléfono móvil basta con enviarlos a la papelera. Sin embargo, esta acción no es suficiente para asegurarse de que un dispositivo no conservar documentos que deseamos eliminar. Para ello, es necesario contar con herramientas de eliminación. Actualmente, existen numerosas soluciones en el mercado que garantizan la eliminación total de la información.
  • Elaborar políticas empresariales sobre destrucción de documentos y dispositivos electrónicos. Los negocios no pueden dejar al arbitrio de cada profesional la forma de deshacerse de archivos y dispositivos sensibles. Por ello, es necesario elaborar un protocolo para que toda la plantilla de una organización actúe de manera segura: triturar cualquier documento con información confidencial, etc.
  • Contratar a empresas especializadas en la eliminación de dispositivos críticos. Para más seguridad, es posible contratar a alguna de las compañías que están especializadas en la eliminación de dispositivos y soportes físicos.
  • Emplear un software de gestión documental que garantice el almacenamiento seguro de todos los documentos, la automatización de copias de seguridad, así como la eliminación de archivos y datos cuando se desee hacerlo.
  • Educar a todos los miembros de la organización. Si se desea prevenir el dumpster diving y sus consecuencias es imprescindible formar a todos los miembros de una empresa sobre los riesgos a los que se enfrentan y darles las herramientas necesarias para evitar el dumpster diving y detectar intentos de fraudes.

Último

Gestión y CRM

Usar sistemas de IA para evaluar la actividad comercial ya es posible

0
Ya existen sistemas de IA para evaluar la actividad comercial de las empresas que analizan llamadas, emails y otras comunicaciones comerciales
Gestión y CRM

Guía completa sobre el nuevo registro horario en las empresas

0
El nuevo registro horario digital establece una serie de exigencias a las empresas, que habrán de adaptarse antes de la finalización del 2025
Legal y fiscal

Las 3 mayores multas de protección de datos en España en 2025

0
Las brechas de datos a causa de incidentes de seguridad están detrás de muchas de las multas de protección de datos en España en 2025
Legal y fiscal

Reducción de la jornada de trabajo: 4 medidas para facilitar la adaptación de las empresas

0
El Consejo Económico y Social propone varios cambios en la futura Ley de reducción de la jornada de trabajo que facilitarían su implementación en las empresas

Newsletter

No te pierdas

Gestión y CRM

Usar sistemas de IA para evaluar la actividad comercial ya es posible

0
Ya existen sistemas de IA para evaluar la actividad comercial de las empresas que analizan llamadas, emails y otras comunicaciones comerciales
Gestión y CRM

Guía completa sobre el nuevo registro horario en las empresas

0
El nuevo registro horario digital establece una serie de exigencias a las empresas, que habrán de adaptarse antes de la finalización del 2025
Legal y fiscal

Las 3 mayores multas de protección de datos en España en 2025

0
Las brechas de datos a causa de incidentes de seguridad están detrás de muchas de las multas de protección de datos en España en 2025
Legal y fiscal

Reducción de la jornada de trabajo: 4 medidas para facilitar la adaptación de las empresas

0
El Consejo Económico y Social propone varios cambios en la futura Ley de reducción de la jornada de trabajo que facilitarían su implementación en las empresas
Legal y fiscal

¿Se puede dar el teléfono de un trabajador a clientes sin su consentimiento?

0
La AEPD ha multado con 6.000 € a una empresa por dar el teléfono de un trabajador a 18 personas sin haber recabado previamente su consentimiento
Roberto Ayuste
Roberto Ayuste
Redactor especializado en Tecnología, Digitalización empresarial e Innovación. Me apasionan los software que nos permiten transformar nuestra forma de trabajar, vender y vivir. Además, estoy siempre al día de las principales tendencias en ciberseguridad

Usar sistemas de IA para evaluar la actividad comercial ya es posible

Roberto Ayuste -
Ya existen sistemas de IA para evaluar la actividad comercial de las empresas que analizan llamadas, emails y otras comunicaciones comerciales
Leer más

Guía completa sobre el nuevo registro horario en las empresas

Martina Cobos -
El nuevo registro horario digital establece una serie de exigencias a las empresas, que habrán de adaptarse antes de la finalización del 2025
Leer más

Las 3 mayores multas de protección de datos en España en 2025

Juan López -
Las brechas de datos a causa de incidentes de seguridad están detrás de muchas de las multas de protección de datos en España en 2025
Leer más

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Nosotros

Más reciente

Más popular

Suscríbete

© Software CRM -Todos los derechos reservados