Riesgos de información: los dispositivos de segunda mano y sus datos invisibles
Comprar dispositivos electrónicos de segunda mano puede parecer una estrategia eficiente para reducir costos y contribuir a la sostenibilidad. Sin embargo, un reciente estudio realizado por investigadores de la Universidad de Hertfordshire en Reino Unido reveló un ángulo preocupante: muchos de estos dispositivos aún conservan datos personales y corporativos altamente sensibles. Esta situación plantea serios riesgos para la ciberseguridad, la privacidad y la integridad de los sistemas empresariales conectados, especialmente por el mal manejo de la información.
La amenaza oculta en el hardware reutilizado
Durante la investigación, los expertos analizaron más de 100 dispositivos de almacenamiento adquiridos en mercados de segunda mano. Encontraron que más del 75% de estos dispositivos contenían información accesible, incluso después de haber sido (supuestamente) borrados. Entre esos datos se incluían direcciones de correo electrónico, contraseñas, documentos bancarios y fotografías privadas. En casos más críticos, se detectaron credenciales de acceso a redes empresariales, datos contables y información identificable de empleados.
Desde una perspectiva de seguridad, esto expone a las organizaciones a amenazas como el robo de identidad, espionaje corporativo y ataques dirigidos mediante ingeniería social. Los dispositivos que alguna vez fueron descartados, si no se manejan correctamente, pueden convertirse en una puerta trasera para los atacantes cibernéticos.
La eliminación de datos: un proceso que va más allá de «borrar»
Uno de los hallazgos más sorprendentes del estudio fue que muchos usuarios confiaban en funciones estándar de eliminación de archivos, como usar la papelera de reciclaje o realizar un formateo rápido, creyendo que con eso los datos habían desaparecido. Sin embargo, estas prácticas no eliminan la información de forma definitiva; simplemente marcan los espacios como disponibles para sobrescribir, dejando los datos recuperables con herramientas de recuperación ampliamente disponibles.
Los expertos recomiendan usar métodos de borrado seguro, como la sobrescritura múltiple o el borrado criptográfico. Asimismo, existen herramientas especializadas en destrucción de datos que cumplen con estándares internacionales como el NIST 800-88, fundamentales para entornos corporativos que manejan información confidencial. Implementar estos procedimientos es una medida básica, especialmente en organizaciones que manejan propiedad intelectual y otra información delicada.
Un riesgo corporativo con repercusiones legales
El artículo también plantea una realidad crítica para las empresas: conservar datos en dispositivos que posteriormente son vendidos o desechados puede violar leyes de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa o legislaciones similares en América Latina. Las consecuencias pueden incluir multas cuantiosas y daños reputacionales irreversibles, particularmente si la información filtrada compromete a clientes o socios estratégicos.
Para los responsables de IT, seguridad de la información y gestión de activos tecnológicos, esto resalta la importancia de establecer protocolos estandarizados de desactivación segura de hardware. Es crucial implementar procesos de inspección, responsabilidad documentada y validación posterior de destrucción efectiva. Además, trabajar con empresas certificadas encargadas de reciclaje o destrucción de dispositivos electrónicos añade una capa adicional de trazabilidad y cumplimiento legal.
El rol de la ingeniería social y los cibercriminales
Los datos obtenidos de estos dispositivos pueden convertirse fácilmente en herramientas para campañas de phishing, suplantación de identidad, o incluso para acceder a plataformas privadas mediante la reutilización de contraseñas. En contextos empresariales, esto puede afectar no solo al usuario original sino a toda la red corporativa.
La ingeniería social se apalanca en la información disponible; un disco duro con nombres de empleados, contratos internos o esquemas de acceso puede ser el punto de partida de un ataque dirigido. En ese sentido, la gestión segura del ciclo de vida de los activos digitales ya no es solo un tema de cumplimiento, sino parte esencial de una postura robusta de ciberseguridad.
Buenas prácticas al momento de deshacerse o comprar hardware
Para mitigar estos riesgos, es fundamental que las organizaciones integren políticas claras de eliminación de datos en sus normativas de TI. Algunas recomendaciones clave incluyen:
- Usar software certificado de borrado seguro antes de vender o desechar dispositivos.
- Implementar procedimientos de verificación posteriores al borrado.
- Evitar incluir unidades de almacenamiento cuando se venda hardware, a menos que se trate de reemplazos internos controlados.
- Educar a los empleados sobre los riesgos asociados con el hardware reutilizado o de segunda mano y la exposición de su información.
Por otro lado, aquellos interesados en adquirir equipos de segunda mano—ya sea a título personal o empresarial—deben considerar realizar un análisis forense básico del dispositivo antes de integrarlo a cualquier red. La limpieza completa y una reinstalación desde cero del sistema operativo son prácticas mínimas de defensa frente a posibles amenazas ligadas a la información residual.
Conclusión: la seguridad trasciende el mundo digital
Este estudio demuestra que la ciberseguridad no se limita a firewalls y contraseñas. Abarca también el manejo físico de los dispositivos que usamos a diario. Así como nos preocupamos por proteger la red empresarial y los datos en tránsito, también debemos asegurar los datos en reposo, incluso después de su uso activo.
Si gestionas una red o infraestructura tecnológica dentro de tu empresa, integrar políticas claras sobre la eliminación de datos es más que prudente: es esencial.
Te invito a seguir explorando más contenidos sobre ciberseguridad, redes empresariales y conectividad en el blog de ColinaNet, donde compartimos recursos útiles para mantener tus sistemas y datos seguros en todo momento.
Fuente: BBC Mundo
