Los dispositivos electrónicos de los que los usuarios se deshacen y entregan en un punto de recogida específico o en una tienda de segunda mano, deben seguir un proceso de eliminación de datos que no siempre se realiza o se realiza de forma incorrecta, como ha denunciado la firma de ciberseguridad Rapid7, lo que significa que cualquier otra persona que adquiera ese dispositivo puede acceder a los datos que almacena, muchos de ellos privados.

Un experimento realizado por el consultor de ciberseguridad Josh Frantz ha desvelado la cantidad de datos privados y sensibles que los dispositivos electrónicos desechados almacenan. Para ello, Frantz llegó a adquirir 85 dispositivos electrónicos en 31 tiendas de segunda mano de Wisconsin (Estados Unidos) para posteriormente analizarlos, como ha explicado en el blog de Rapid7.

Con un presupuesto de 600 dólares (unos 528 euros), compró 41 ordenadores, 27 tarjetas de memoria, 11 discos duros y 6 teléfonos móviles. Una vez adquiridos, el consultor se dispuso a extraer la información que se encontrase en ellos. Este proceso le llevó a analizar todos los aparatos y a almacenar toda su información en un USB; de los 85 terminales analizados, tan solo un ordenador Dell y un disco duro Hitachi de 20GB habían sido borrados correctamente, y solo tres equipos estaban encriptados.

Entre la información obtenida por Frantz había 214.019 imágenes, 3.406 documentos y 148.903 emails, de donde se pudieron extraer 611 direcciones de correo electrónico, 50 fechas de nacimiento, 55 números de afiliación a la Seguridad Social, 19 números de tarjetas de crédito, 6 números de licencias de conducir y 2 números de pasaporte.

La mayoría de los números de la tarjetas de crédito, así como los dos de los pasaportes fueron obtenidos de imágenes escaneadas, como ha resaltado el consultor de ciberseguridad.



Asegurarse de la eliminación de los datos

Al final de este experimento, que llevó seis meses de trabajo, la investigación reveló que los usuarios no dedican tiempo a la eliminación de los datos y que muchas empresas no cumplen con su garantía de borrar los datos de los dispositivos que las personas les entregan.

Por ello, el autor de la investigación aconseja que cuando se done o venda cualquier dispositivo electrónico que no se vaya a usar más, es necesario asegurarse de que toda la información ha sido borrada y no se puede recuperar.

Frantz explica que destruir completamente el equipos, mediante incineración, ácido o incluso termita -una composición de aluminio y un óxido metálico que produce una reacción pirotécnica- garantiza la eliminación de los datos. Pero sin tener que recurrir a medidas tan extremas, asegura que "normalmente es suficiente" con "borrar tu dispositivo".

Para este proceso, recomienda recurrir a DBAN para borrar cualquier tipo de disco duro. Para discos en estado sólido o múltiples discos en raid, aconseja usar PartedMagic.