8 claves sobre el dumpster diving
Los ataques de dumpster diving pueden servir para robar propiedad intelectual de las empresas, realizar fraudes o suplantar su identidad
Hoy en día, resulta raro que a una empresa no lleguen semanalmente diversos paquetes con las compras de productos realizadas, en muchos casos, a través de internet en toda clase de e-commerce, comenzando por el más famoso del mundo: Amazon.
Una vez que se vacían las cajas y se quitan los productos que contenía, ¿qué pasa con los envases? ¿Se tiran directamente a la basura? Esta práctica puede dar pie a una técnica delictiva muy peligrosa: el dumpster diving.
¿Qué es el dumpster diving?
Los ataques de dumpster diving comienzan en una dimensión puramente analógica: robar los datos de una empresa que figuran en la etiqueta de un paquete depositado en la basura, pero también la información que contienen los documentos o dispositivos electrónicos de los que una empresa se deshace.
Sin embargo, en muchos casos el dumpster se desarrolla en el mundo digital. Por ejemplo, los datos recopilados se emplean para lanzar ciberataques de ingeniería social. ¿Cómo?
- Los delincuentes suplantan la identidad de una empresa (sin ir más lejos, en el caso de los envoltorios de los paquetes, la compañía que los envió).
- Gracias a la información recolectada en la basura disponen de datos sobre sus víctimas que les permiten dotar de mayor credibilidad a sus comunicaciones.
- Los malos se ponen en contacto con sus víctimas a través de email, SMS o llamado telefónica. De hecho, en ocasiones, emplean una mezcla de varios canales de comunicación para disipar las sospechas de las víctimas.
- En el mensaje hace se busca inducir a las víctimas a que realicen una determinada acción: hacer clic en un enlace, escanear un código QR, aportar datos sensibles como números de cuentas bancarias…
- Con la información conseguida es posible llevar a cabo un ciberataque, por ejemplo, un fraude financiero o una estafa bancaria suplantando la identidad de la empresa atacada.
En algunos casos, el dumpster diving no conlleva la puesta en marcha de un ataque de ingeniería social, sino que los delincuentes optan por extorsionar a las empresas o vender la información directamente a negocios de la competencia.
No solo cajas. En la basura de una empresa hay mucha materia prima para los malos
Ante el alud de paquetes que llegan cada día a las empresas, el dumpster diving se ha convertido en una amenaza cada vez más plausible. Sin embargo, las empresas no solo tiran paquetes a la basura, sino también otra clase de objetos que pueden contener información muy sensible sobre ellas, sus trabajadores, sus socios comerciales o sus clientes:
- Documentos confidenciales sobre estrategia empresarial, propiedad intelectual o industrial, información financiera, facturas, recibos, listados de clientes, etc.
- Dispositivos electrónicos como ordenadores obsoletos o estropeados, teléfonos móviles corporativos, tablets, PDAs, memorias USB, discos duros, etc.
Aunque podríamos pensar que estos objetos se eliminan de manera cuidadosa, lo cierto es que muchas empresas no se detienen a valorar los peligros asociados a que acaben en malas manos.
Una forma poco elegante de cometer espionaje industrial
Cuando pensamos en el espionaje industrial nos imaginamos a espías que diseñan sofisticadas estrategias para adentrarse en las entrañas de una empresa y robarle sus secretos para vendérselos a la competencia.
Pues bien, el dumpster diving no es tan elegante como el espionaje industrial que vemos en las películas y series, pero puede ser notablemente efectivo.
Por eso, es fundamental que las empresas eviten tirar a la basura documentos u objetos que puedan servir para revelar sus secretos, vendérselos a sus rivales y dañar su posición en el mercado y su capacidad de competir.
Fraudes económicos que pueden lastrar los resultados empresariales
Más allá del espionaje industrial, lo cierto es que muchos delincuentes recurren al dumpster diving solo para cometer fraudes económicos directos, cargando pagos a las cuentas bancarias o tarjetas de crédito corporativas.
En ocasiones, gracias al dumpster diving ya han podido recopilar todos los datos que necesitan, pero generalmente no es así. En esos casos, como señalamos antes, emplean la información obtenida para lanzar campañas de phishing contra los profesionales de la empresa y conseguir engañarlos para que les entreguen los datos que les faltan.
Esta clase de estafa puede dañar las cuentas de un negocio y tener repercusiones negativas en su planificación financiera y en su funcionamiento diario.
Sin contar el desembolso que tiene que hacer una empresa para investigar el incidente y los gastos asociados a emprender acciones legales para intentar recuperar el dinero defraudado.
Suplantación de identidad y estafas bancarias
Una de las derivadas más inquietantes del dumpster diving es la suplantación de identidad. Algunos documentos o dispositivos incluyen la información necesaria para que los delincuentes suplanten la identidad de una empresa, alguno de sus trabajadores o, incluso, de sus clientes y cometan delitos haciéndose pasar por ellos.
¿Qué clase de delitos? Generalmente estafas bancarias, abriendo cuentas y solicitando crédito. Pero esta derivada del dumpster diving puede ir aún más lejos y permitir a los malos realizar delitos de otra índole.
Luchar contra los casos de suplantación de identidad consume una gran cantidad de recursos y tiempo e implica tener que acudir a la Policía y a la Justicia.
Extorsión empresarial
En algunos casos, los delincuentes que realizan la técnica del dumpster diving optan por emplear la información que consiguen en la basura para extorsionar a las empresas.
La extorsión es muy lucrativa. Al igual que sucede con los ataques de ransomware, muchas empresas prefieren pagar a los delincuentes, ante la gravedad de la información que han obtenido.
Sin embargo, como pasa con el ransomware, acceder a la extorsión es un error: se contribuye a financiar a los actores maliciosos y no se tiene la garantía de que la información sea exfiltrada en la Dark Web, vendida a la competencia o empleada en ciberataques contra clientes o trabajadores.
Multas por exponer datos confidenciales y especialmente sensibles
Además de luchar contra el dumpster diving, las empresas deben tener en cuenta que al tirar a la basura documentos y dispositivos electrónicos pueden exponer datos de índole privada de sus clientes o trabajadores.
Esto resulta aún más sensible en determinados sectores como la educación (datos sobre menores), la sanidad (datos médicos), o la banca (información financiera).
De ahí, que nuestro ordenamiento jurídico contemple multas para sancionar esta clase de comportamientos.
Al fin y al cabo, no debemos olvidarnos de que la protección de datos es una de las grandes cuestiones de esta era. Desde la aprobación del Reglamento General de Protección de Datos (RGPD), las empresas e instituciones tienen que salvaguardar los datos privados de clientes, trabajadores, pacientes o alumnos.
Deshacerse de manera insegura de información relacionada con ellos incumple la normativa, además, claro está, de abrir la puerta al dumpster diving y que el incumplimiento acabe en denuncias judiciales por parte de los afectados.
¿Cómo evitar los ataques de dumpster diving?
Para evitar las temibles consecuencias que venimos de ilustrar, las empresas deben:
- Disponer de mecanismos seguros para la eliminación de información privada o confidencial. Muchos negocios creen que para eliminar archivos de un ordenador o un teléfono móvil basta con enviarlos a la papelera. Sin embargo, esta acción no es suficiente para asegurarse de que un dispositivo no conservar documentos que deseamos eliminar. Para ello, es necesario contar con herramientas de eliminación. Actualmente, existen numerosas soluciones en el mercado que garantizan la eliminación total de la información.
- Elaborar políticas empresariales sobre destrucción de documentos y dispositivos electrónicos. Los negocios no pueden dejar al arbitrio de cada profesional la forma de deshacerse de archivos y dispositivos sensibles. Por ello, es necesario elaborar un protocolo para que toda la plantilla de una organización actúe de manera segura: triturar cualquier documento con información confidencial, etc.
- Contratar a empresas especializadas en la eliminación de dispositivos críticos. Para más seguridad, es posible contratar a alguna de las compañías que están especializadas en la eliminación de dispositivos y soportes físicos.
- Emplear un software de gestión documental que garantice el almacenamiento seguro de todos los documentos, la automatización de copias de seguridad, así como la eliminación de archivos y datos cuando se desee hacerlo.
- Educar a todos los miembros de la organización. Si se desea prevenir el dumpster diving y sus consecuencias es imprescindible formar a todos los miembros de una empresa sobre los riesgos a los que se enfrentan y darles las herramientas necesarias para evitar el dumpster diving y detectar intentos de fraudes.