Entradas Etiquetadas :

protección de datos

Borrado de datos en dispositivos
Cómo realizar un borrado efectivo de nuestros dispositivos
1020 690 Prestigia

Los datos tras borrar nuestros discos

Un proceso correcto de borrado de información, sobrescribe datos en nuestros dispositivos de almacenamiento con el fin de eliminar su contenido, lo que significa que no se pueden recuperar los datos previamente almacenados. El proceso de borrado de datos sensibles es importantísimo, ya que no se suele tener en cuenta un correcto borrado a la hora de desechar dispositivos obsoletos, lo cual podría permitir a un tercero el acceso a nuestra información tras haber realizado este proceso.

Existen muchos métodos de borrado de datos que no pasarían una auditoría. Estos incluyen el formateo simple de unidades de disco, el formateo de datos, la restauración de la configuración de fábrica o la destrucción de archivos a la papelera de reciclaje.

Para asegurarse de que su organización haya estandarizado correctamente este proceso, debemos comenzar con revisar y mejorar los procesos implementado. A partir de aquí, se deben realizar pruebas de fuerza bruta de recuperación, realizando auditorías internas periódicas tras ciertas solicitudes de eliminación. Como compañía, debemos asegurarnos de que todos los datos que se borren en nuestra compañía de forma segura, no se puedan recuperar.

A nivel legal, todas las empresas que manejan información privada podrían ser objeto de robo de información y tienen la obligación legal de cumplir con la LOPD, y adicionalmente, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD).

Como realizar un borrado de datos efectivo

A continuación, vamos a focalizarnos en realizar un borrado efectivo y seguro de nuestros dispositivos con herramientas OpenSource.

El borrado de archivos y datos desde los métodos tradicionales de Windows no es nada seguro, esto es debido a que los archivos que supuestamente han sido borrados, pueden estar al alcance de muchas aplicaciones de recuperación de datos, obteniendo de nuevo el contenido en cuestión de minutos. Por este motivo, proponemos un borrado seguro con la utilización de algoritmos de borrado mediante una aplicación OpenSource, gratuita, llamada Darik’s Boot and Nuke (DBAN).

Para su uso, descargamos la distribución en formato ISO y dependiendo de su uso, ya bien en entorno virtual cargándola directamente o mediante un dispositivo USB por ejemplo. Tras esto, ponemos en marcha el dispositivo a formatear.

Nota: Si no lo detecta a la primera, deberemos elegir la opción USB o  CD en el Boot Menu de la BIOS, dependiendo del dispositivo donde lo hayamos copiado.

La primera opción visible de DBAN ya nos da una advertencia que este software sirve para la destrucción de los datos de manera irrecuperable, es por esto que, por motivos legales, no ofrece ninguna garantía.

Partiendo de este punto, disponemos de cuatro opciones diferentes:

  • Pulsando la tecla F2 dispondremos de una breve descripción sobre qué es DBAN.
  • Con la tecla F3 veremos una lista de comandos básicos y rápidos.
  • Con F4 veremos una advertencia donde se indica que DBAN no es compatible con dispositivos RAID.
  • Con la tecla F1 volveremos al menú principal.

Las opciones más prácticas del menú inicial son el modo interactivo, modo que se inicia al pulsar la tecla ENTER.

Tras la selección del modo interactivo de DBAN nos mostrará la lista de unidades de almacenamiento detectadas para eliminar su borrado seguro.

Darik's Boot and Nuke

Realizamos la selección del disco a eliminar con la tecla ESPACIO y elegimos un método de borrado seguro pulsando la tecla M.

La herramienta DBAN ofrece seis métodos distintos, cada cual más complejo. El más elemental y rápido es Borrado rápido o Quick Erase, que realiza un simple borrado de un paso.

  1. Quick Erase: One pass zeros (1 borrado)
  2. Canadian RCMP TSSIT OSP-II (7 borrados, con verificación)
  3. DoD Short: US DoD 5220.22-M (3 borrados, con verificación)
  4. US DoS 5220.22-M (ECE) (7 borrados, con verificación)
  5. Peter Gutmann (35 borrados, con verificación)
  6. PRNG Stream: método aleatorio. Su nivel de eficiencia dependerá de la cantidad de borrados que asignemos.

Al finalizar, la herramienta nos mostrará un mensaje indicando la correcta finalización, permitiendo tras reiniciar el dispositivo reinstalar el sistema, continuar con su utilización de almacenamiento o desechar el dispositivo obsoleto de forma segura.

Casos reales de pérdidas de datos

Un reciente estudio de la agencia británica de protección de datos reveló que el 48 por ciento de los dispositivos de almacenamiento ubicados en el mercado de segunda mano contienen datos residuales, y un 11 por ciento de estos, son datos personales de consumidores finales y ficheros corporativos con información confidencial.

Este informe confirma con este estudio, otros realizados en Estados Unidos tras el análisis de numerosos discos duros vendidos a través del conocido portal de venta eBay, detectando todo tipo de datos confidenciales y empresariales en el 40 por ciento de ellos.

Adicionalmente, en estos estudios, se analizaron dispositivos móviles y almacenamiento portátil como USB, descubriendo tasas similares. Tras finalizar la investigación se encontraron 34.000 ficheros con información personal o corporativa, algunos de estos sin previo borrado y otros con borrados simples, fácilmente recuperables utilizando herramientas software de uso público.

Esperamos que este artículo haya sido de ayuda para aprender a realizar un borrado efectivo de datos en tus dispositivos. En Prestigia Seguridad, ofrecemos soluciones para el borrado de datos sensibles. ¡contáctanos para obtener información sin compromiso! 🙂

Sectores mas vulnerables a ciberataques
Cuáles son los sectores más vulnerables a sufrir ciberataques
1020 690 Prestigia

La protección de datos masivamente en determinados sectores, los hace más vulnerables a sufrir ciberataques. En la mayoría de ocasiones, los ciberdelincuentes intentarán obtener datos sensibles e información confidencial como contraseñas o números de tarjetas de crédito.

La pérdida de datos personales, por ejemplo, a causa de una brecha de seguridad, supone una pérdida financiera y de credibilidad y reputación para la empresa. En el reportaje Impida que una brecha de seguridad acabe con su pyme, en el que participó nuestro CTO José María Muntané, vimos que el 40% de pymes que ha sufrido un ciberataque, ha tenido que interrumpir su actividad a raíz del incidente.

Los 3 sectores más vulnerables a sufrir ciberataques

Sector bancario

La competitividad con empresas tecnológicas como Google, Apple, Microsoft o Facebook, hace que la transformación digital en el sector financiero, esté avanzando a pasos de gigante. La mayoría de entidades bancarias, utilizan la nube como servidor de los datos personales de sus clientes, y eso, las transforma en empresas más vulnerables. La gran cantidad de datos sensibles que mueve el sector, lo convierte en uno de los principales objetivos de los ciberdelincuentes.

Las investigaciones del Grupo NCC, revelaron que las vulnerabilidades de seguridad en el sector bancario, han aumentado en más del 400% desde 2013. Entre los ataques más utilizados encontramos el DDoS, utilizado para saturar los sistemas y acompañado de un posterior ataque de phishing hacia los usuarios de la entidad bancaria.

La banca en línea de Reino Unido HSBC, reveló que sus servicios en línea habían sido blanco de cibercriminales, utilizando un ataque DDoS, aunque afirmó que se había defendido con éxito.

Sector sanitario

El sector sanitario también está en pleno proceso de transformación digital. Hoy en día, ya es algo normal recibir los resultados de nuestras pruebas médicas directamente a nuestro teléfono móvil, e incluso podemos realizar consultas o solicitar atención médica vía smartphone. El sector sanitario en Estados Unidos sufre de media 32.000 ciberataques diarios, según fortinet.

Este es uno de los sectores más vulnerables por el hecho de mover millones de datos muy sensibles y críticos, de todos y cada uno de nosotros. Hay que tener en cuenta también, que la mayoría del software que utilizan, no está actualizado acorde con los ciberataques que pueden sufrir hoy en día, dado que la seguridad no se tomó como parte del proceso del desarrollo en la mayoría de las ocasiones.

A los ciberdelincuentes les sería muy fácil realizar un ataque de Ransomware, pidiendo un rescate para eliminar la restricción de la plataforma sanitaria. Incluso, con la cantidad de datos que podrían recopilar, podrían realizar un ataque phishing a los pacientes, incluyendo sus datos personales, para darle veracidad.

Por otra parte, los dispositivos médicos conectados a internet, son extremadamente vulnerables a sufrir ciberataques, debido a la información personal que transmiten.

Sector jurídico

Los despachos de abogados son un gran atractivo para los ciberdelincuentes. La gran cantidad de datos sensibles que almacenan, entre ellos números de cuenta bancaria, se intentan sustraer mediante ataques de phishing por correo electrónico. 

Según Law, en Inglaterra el 73% de bufetes de abogados sufrió un ciberataque durante el 2016, aumentando un 60% respecto al 2015.

El ciberataque más utilizado por los delincuentes dentro del sector jurídico, es el ataque Ransomware, exigiendo así al bufete de abogados, un rescate para la recuperación de los datos personales de los clientes. En españa, según INCIBE, durante el año 2017, al menos 70 bufetes de abogados fueron víctimas de un ataque de este tipo.

El despacho de abogados Araoz & Rueda sufrió un ciberataque en 2017 y, comunicó a sus clientes, que si en los próximos días recibían un correo electrónico sospechoso, ignoraran cualquier hipervínculo y se pusieran en contacto con ellos.

Que tu empresa no esté incluida en ninguno de los sectores de los que hemos hablado, no significa que no sea vulnerable a sufrir ciberataques. En nuestro blog, puedes encontrar una guía con 10 consejos para mejorar la ciberseguridad de tu pyme.

Recuerda, en Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso! 🙂

novedades RGPD
Principales novedades del Reglamento General de Protección de Datos (RGPD)
1024 690 Prestigia

Dentro de poco menos de dos meses será plenamente aplicable el Reglamento General de Protección de Datos (RGPD), un nuevo texto legislativo que establece el mismo marco normativo para todos los países de la Unión Europea y que introduce cambios jurídicos, técnicos y organizativos relevantes.

En primer lugar, es importante tener en cuenta que el RGPD aplicará tanto a entidades de la UE como de fuera de la misma si tratan datos de personas de la UE; así, las grandes plataformas que procesan y almacenan datos personales (tales como Facebook, Google o MailChimp) también deberán cumplir con el nuevo régimen jurídico y ello representa un importante punto de inflexión.

Además de reforzar algunas obligaciones ya existentes en la normativa española actual (LOPD), el RGPD prevé un nuevo principio rector, el principio de responsabilidad proactiva o accountability, en virtud del cual las entidades deben introducir en sus organizaciones la cultura del cumplimiento en el ámbito de la protección de datos para que adopten las medidas técnicas y organizativas que sean necesarias para asegurar que están en condiciones de cumplir con los principios, derechos y garantías del RGPD.

Junto con ello se introducen una serie de novedades que resumimos a continuación:

1. Registros de Actividades de Tratamiento. Se sustituye la obligación de inscribir los ficheros con datos de carácter personal en el Registro General de la Agencia Española de Protección de Datos (AEPD) por el de implementar un registro escrito de todas las actividades de tratamiento de datos.

2. Información. Se deberá informar más y mejor a las personas acerca del tratamiento de sus datos. Por ejemplo, habrá que informar de la base jurídica del tratamiento, del plazo de conservación de los datos, del derecho a revocar consentimiento o de reclamar ante la Autoridad de Control, entre otros.

Dicha información debe facilitarse con un lenguaje claro y sencillo. Por ello, la Autoridades de Control españolas (AEPD, Autoritat Catalana de Protecció de Dades y Agencia Vasca de Protección de Datos) recomiendan cumplir el deber de información a través de un sistema de doble capa, de manera que:

  • En la primera capa se incluya información básica y resumida del tratamiento de los datos.
  • En la segunda capa se incluya información adicional, mediante un sistema de preguntas y respuestas sencillas.

3. Consentimiento. Se exige, con carácter general, un consentimiento inequívoco que, a criterio de las Autoridades de Control, no puede ser tácito dado que el RGPD exige una manifestación inequívoca del interesado o clara acción afirmativa.

4. Encargados de tratamiento. Obligación de elegir Encargados de Tratamiento que ofrezcan “garantías suficientes” para aplicar medidas técnicas y organizativas apropiadas, y se añade nuevos requisitos a incluir en los contratos a suscribir con cada uno de ellos.

5. Medidas de seguridad. Se sustituye el régimen exhaustivo y detallado actual ya que el RGPD únicamente prevé que hay que establecer medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo que las entidades deberán realizar.

6. Derechos de los afectados. Además de introducir algunas novedades en relación con los derechos de Acceso y Oposición, se sustituye el derecho de Cancelación por el Derecho de Supresión/Derecho al Olvido y se introducen nuevos derechos como el derecho de Limitación (derecho a obtener la limitación de los datos cuando se cumplan determinadas condiciones) o el de Portabilidad (derecho a recibir los datos personales de forma estructurada, de uso común y lectura mecánica para transmitirlos a otro Responsable del Tratamiento).

7. Notificación de violaciones de seguridad. Obligación de notificar las violaciones de los datos personales a la AEPD, sin dilación indebida y a ser posible, antes de las 72 horas.

8. Delegado de Protección de Datos. Se prevé una nueva figura, la del Delegado de Protección de Datos, destinada a asesorar y supervisar el cumplimiento del RGPD en las entidades, siendo obligatorio su designación en los supuestos de tratamiento realizados por Autoridades u Organismos públicos o cuando las actividades principales consistan en operaciones que requieran evaluaciones de perfil o de tratamientos de datos sensibles a nivel masivo así como tratamientos de datos relativos a condenas e infracciones penales.

Finalmente, hay que tener presente que la nueva normativa también es más dura a la hora de sancionar las eventuales infracciones que se produzcan en este ámbito ya que se prevén multas que pueden llegar a ser de hasta 20 millones de euros o, en el caso de empresas, de un importe equivalente al 4% del volumen de negocio anual del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocatspartner legal de Prestigia Seguridad

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.