CiberSeguridad: Dumpster diving 
Buceo en el contenedor o basura. (Abril de 2024)

En el mundo de la seguridad informática, surge el fascinante concepto de dumpster diving, también conocido como trashing, una práctica que desafía los límites convencionales al sumergirse en la basura en busca de valiosa información privada. 

Este enfoque innovador se adentra en las profundidades de la ingeniería social, donde los ciberdelincuentes pueden desenterrar secretos como contraseñas, direcciones de correo electrónico, números de cuentas bancarias y más, para perpetrar crímenes como la usurpación de identidad o el espionaje empresarial. 

En este emocionante viaje, los delincuentes exploran distintos rincones en busca de datos, dando origen a dos categorías de trashing: 

  • El lógico. Se sumerge en la "basura digital" de dispositivos, y el físico, que se aventura en la documentación física desechada en papeleras.
  • El físico. Cuando la información privada o confidencial se obtiene de la documentación física desechada en papeleras o contenedores, se corre el riesgo de que terceros accedan a datos sensibles.

Ampliando el horizonte de lo posible, el trashing no se limita a lo físico, sino que se adentra en la era digital para obtener información valiosa que el usuario cree haber eliminado. Para protegerse de posibles ataques, es vital eliminar nuestra información de manera segura.

Imagina que alguien busca información confidencial en la basura de una empresa o institución. Aquí tienes dos posibles escenarios:

  • Escenario 1

Supongamos que una empresa desecha documentos impresos sin destruirlos adecuadamente. Un atacante podría revisar los contenedores de basura en busca de información valiosa. Por ejemplo, podría encontrar:

  • Facturas o recibos: Contienen detalles sobre transacciones financieras, nombres de clientes y productos comprados.
  • Documentos internos: Memorandos, informes o notas que podrían revelar estrategias comerciales, planes futuros o datos de empleados.
  • Contratos o acuerdos: Información legal que podría ser explotada.
  • Correspondencia personal: Cartas o correos electrónicos que contienen información sensible.

Para protegerse contra esto, las organizaciones deben implementar prácticas de gestión de documentos seguras, como la destrucción adecuada de documentos antes de desecharlos. Además, es importante educar a los empleados sobre la importancia de no dejar información confidencial en la basura sin protegerla.

En este último grupo, el de las personas que practican el dumpster diving para obtener informaciones privadas con las que conseguir beneficios a través de un uso ilícito de estas mismas. Informaciones que pueden ser tanto de la propia empresa como de los clientes, los trabajadores o los proveedores. En el primer caso, los resultados pueden ser pérdidas tanto económicas como reputacionales. En el segundo caso, el resultado puede ser una sanción LOPD por incumplimiento de la propia normativa.

     ¿Cómo lo hacen?

Los delincuentes que persiguen documentos confidenciales de las empresas conocen dónde se encuentran los contenedores próximos a las oficinas. Aunque muchos simplemente rebuscan de modo aleatorio en busca de documentos, muchos otros seleccionan específicamente a las empresas con detenimiento. Desde su punto de vista, hay compañías mucho más productivas que otras. Compañías que manejan más documentos con datos personales de terceros a diario. Esas son sus empresas-víctima favoritas.

La Ley Orgánica de Protección de Datos Personales y Garantía de los derechos digitales, más conocida como Ley Orgánica 3/2018 o simplemente LOPD, es una normativa que transpone al ordenamiento jurídico español todas las directrices obligatorias del Reglamento General de Protección de Datos (RGPD). Una normativa en la que se detallan minuciosamente las acciones que tienen que realizar las empresas para proteger a toda costa la privacidad y confidencialidad de los datos que tratan. También, indirectamente, frente al dumpster diving.

  • Escenario 2

Compras un reloj en línea y al día siguiente recibes un correo electrónico diciendo que hay un defecto en el producto y que necesitas devolverlo. Pero algo no cuadra: el mensaje parece provenir de la tienda en línea, pero no diste tu dirección de correo al hacer la compra. 

     ¿Qué hacer en ese momento? 

La respuesta es clara: ¡No caigas en la trampa! Es crucial mantener la guardia alta y proteger nuestra información personal en línea. En este caso, la mejor decisión es no hacer clic en ningún enlace del correo sospechoso y acceder directamente al sitio web oficial de la tienda a través de tu navegador. 

Si al hacer esto no encuentras ninguna solicitud de devolución ni problemas con el reloj, es evidente que se trata de un intento de estafa. No permitas que los estafadores se salgan con la suya. Actúa con precaución y no pongas en riesgo tu seguridad en línea.

Logo

SEGURIDADPROTECCIÓN.COM

Zaragoza, Aragón, España

asm.sepro@gmail.com

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.