jueves, 11 de julio de 2024

LA REALIDAD DEL 'DUMPSTER DIVING': Hay una nueva oleada de estafas, y empieza en el cubo de tu basura


Una persona tira un sobre de Amazon en un contenedor. 
(Amazon)



Alguien puede saber muchísimo de ti solamente con rebuscar en tu basura, y ya hay ciberdelincuentes especializados intentando robar tus datos de esta manera. Es lo que se conoce como 'Dumpster Diving', y está en auge



Recibes un paquete de Amazon. Lo abres, sacas el portátil nuevo que te has comprado y tiras la caja de cartón en el cubo de la basura de tu casa. Al día siguiente, te despiertas y depositas esa bolsa en el contenedor de turno en la calle. Un día después, recibes un email de Amazon en el que señalan que has comprado un portátil recientemente (indican el producto exacto) pero que la unidad que has recibido tiene varios problemas técnicos y que hay que proceder a su devolución e insertar la tarjeta de crédito para el reembolso del importe. En realidad no es Amazon, es un estafador que se está haciendo pasar por la compañía porque se ha hecho con los datos incluidos en la pegatina de aquella caja que tiraste al contenedor. ¿Picarías? Miles de personas ya han caído en esa trampa.

Hurgar en la basura es un tipo común de delincuencia que crece a pasos agigantados. El "dumpster diving", como los expertos en ciberseguridad llaman a este fraude, lleva años preocupando a empresas y usuarios. ¿Qué es? Básicamente, consiste en acudir al lugar más insospechado, a la basura de tu barrio, para recuperar información confidencial de los ciudadanos que luego podría utilizarse para llevar a cabo estafas, ataques informáticos o acceder a redes privadas. Esa pegatina de la caja de Amazon que no arrancaste, ese pen-drive que ya no funcionaba y que despojaste sin revisar si había documentos dentro… cualquier cosa les vale para dejar tu cuenta bancaria temblando.

Y es que entre los residuos domésticos uno puede encontrar de todo: historiales médicos, resúmenes de facturas, contraseñas y números PIN, datos comerciales, pegatinas y códigos QR con información personal como mails, números de teléfono, direcciones, nombres de usuario en diferentes plataformas de compra, información bancaria, calendarios que detallan tu rutina, y un largo etcétera. Alguien puede saber muchísimo de ti solamente con rebuscar en tu basura.

"La cantidad de información que se puede descubrir de nosotros por las cosas que tiramos es asombrosa. Antes tirábamos las sobras de la comida, ahora estamos continuamente haciendo compras por internet y aventando esos paquetes al contenedor sin darnos cuenta de que incluyen datos personales muy importantes. Cualquiera que quiera información nuestra, podría acceder a ella a través de la basura frente a nuestro edificio", explica a El Confidencial Luis Corrons, experto en ciberseguridad y security evangelist de Grupo Gen.

Hay dos tipos de "dumpster diving" enfocados al fraude informático, uno que consiste en el robo indiscriminado de datos, como el caso mencionado, y otro que consiste en apoderarse de dispositivos electrónicos que han sido desechados, como ordenadores, discos duros, impresoras e incluso pen-drives. El fenómeno se impulsa en una era en la que los desechos electrónicos crecen rápidamente en todo el mundo. Según un informe de la UIT y UNITAR, los 62 millones de toneladas de residuos de este tipo generados en 2022 llenarían 1,55 millones de camiones de 40 toneladas.


placeholderVarios contenedores de basura en la calle. (Pexels)
Varios contenedores de basura en la calle. (Pexels)

Al final, se trata de un ataque de ingeniería social. Si los delincuentes encuentran un recibo de compra, pueden hacerse pasar por empleados de la propia tienda con la información averiguada para contactarte. Con tus datos, también pueden hacerse pasar por un banco y animarte a hacer click en un enlace porque “se ha detectado actividad sospechosa en su cuenta”. Si un estafador revisara tu basura y encontrara extractos bancarios, este tipo de phishing dirigido sería mucho más fácil de colar.

"La mayoría de nosotros no caemos en la cuenta y pensamos que el riesgo es bajo. Pero la realidad es que hemos empezado a protegernos en el mundo virtual, con autentificaciones en dos pasos, siendo precavidos con los enlaces en los que clickamos y los archivos que descargamos, pero en el mundo físico podemos perfectamente olvidarnos nuestras facturas en cualquier sitio o en la calle, para el acceso de cualquiera".

Además, hablamos de un ejemplo de piratería enmascarado. Los contenedores en la calle no tienen llave, son públicos y están situados en zonas con poco tráfico peatonal. Y lo que es más importante: aunque en la teoría es ilegal manipular la basura, en la práctica a la gente le da igual porque se entiende que son objetos no queridos y que han sido abandonados por voluntad propia.


Los desechos, una gran amenaza para las empresas

Estas técnicas apuntan en muchas ocasiones a empresas. El hardware informático desechado puede ser una mina de oro y una puerta de entrada para penetrar en sus redes corporativas a través de los resquicios de información que quedan en dispositivos aparentemente obsoletos, como servidores, discos duros o demás aparatos abandonados. La mayoría de las empresas producen grandes volúmenes de residuos que contienen datos privados de clientes, credenciales del sistema, etc. Cuando los ciberdelincuentes encuentran listas de empleados, pueden lanzar campañas masivas de phishing o ataques informáticos fácilmente.

"Los desechos de las propias empresas pueden ser un botín muy jugoso para los ciberdelincuentes. Si encuentran información gracias a esta práctica, pueden hacerse pasar por empleados y acceder a las bases de datos. Aunque estas suelen tener procedimientos para eliminar la información, no siempre funcionan bien", apunta Corrons. Y añade: "De hecho, a veces ni siquiera necesitas tener un disco duro, sino que basta con una impresora conectada o con un simple router. Un atacante puede usar el hardware para identificar al fabricante del equipo y crear vulnerabilidades para luego dirigir ataques a otros sitios".

Un ejemplo curioso es el del multimillonario y cofundador del gigante tech Oracle Corporation, Larry Ellison. Una vez recurrió a una estrategia similar para encontrar lo que había dentro de la basura de su competidor. En 2000, Microsoft, atravesaba un juicio antimonopolio y este sospechó que estaban financiando a organizaciones para oponerse al caso. Así que contrató a investigadores privados para escarbar en sus contenedores de basura: "Es absolutamente cierto que nos propusimos exponer las actividades encubiertas de Microsoft... Me siento muy bien por lo que hicimos... Tal vez nuestra organización de investigación puede haber hecho cosas desagradables, pero no es ilegal. Sacamos la verdad a la luz", dijo Ellison.


placeholderResiduos electrónicos. (Agencias)
Residuos electrónicos. (Agencias)

Para evitar posibles fraudes, los expertos recomiendan que las empresas refuercen sus protocolos de eliminación de información en la que todo el papel se triture antes de reciclarlo y los equipos se desmantelen por completo. Esto puede incluir el formateo de unidades de disco, la destrucción de CDs y la desmagnetización de algunos sistemas. Además, hacen hincapié en usar contenedores de eliminación seguros que impidan el acceso casual de los transeúntes. Es decir, asegurar la basura con llave o en garajes. Incluso sugieren una vigilancia periódica de los contenedores para detectar esas fugas de datos.

Por otro lado, inciden en capacitar a los empleados para saber eliminar completamente información privada. En el ámbito doméstico, el experto lo tiene claro: "No hace falta tener una trituradora en casa, pero sí hay que tener cuidado. En las pegatinas de Amazon se puede tapar la información importante con bolígrafo permanente o rascar la etiqueta con unas llaves antes de tirar las cajas. Hay mil maneras de no caer en la trampa".