¡La seguridad en movimiento! Protege tus dispositivos extraíbles

Los dispositivos de almacenamiento extraíble, como memorias USB, discos duros portátiles o tarjetas de memoria, son un complemento más de nuestro día a día, casi tan imprescindibles como un ordenador o teléfono móvil, pero a la vez tan pequeños y discretos que no les prestamos el nivel de atención y seguridad necesarios. ¿Cuántas veces hemos escuchado pedir un USB o disco duro para poder compartir un archivo, ese último informe o toda una recopilación de materiales para un compañero que acaba de incorporarse al proyecto?

Este tipo de prácticas pueden tener consecuencias indeseadas si no tomamos las medidas de seguridad adecuadas, como por ejemplo, infectar la red corporativa con algún tipo de malware. Esta infección podría ser no intencionada al compartir un USB entre compañeros sin saber que contiene un archivo malicioso, o formar parte de un ataque deliberado contra la empresa como en el caso de regalos que se conectan a la red o warshipping. Por este motivo, aquellos dispositivos extraíbles que sean de tipo promocional o no estemos seguros de por qué manos han pasado con anterioridad, no debemos usarlos en el ámbito laboral bajo ningún concepto, y mucho menos 'estrenarlos' en un equipo corporativo.

Cada organización debe disponer de una política de uso de dispositivos de almacenamiento externo, conocida por todos los empleados, que indique entre otras cuestiones si su uso está o no permitido, y en caso de que sí esté permitido, qué tipo de información puede o no almacenarse en ellos.

Los riesgos principales del uso de estos dispositivos son el extravío, el acceso a la información contenida por personas no autorizadas o la infección por malware. A continuación mostramos una serie de medidas para evitar posibles incidentes de seguridad:

• En el caso de que vayamos a almacenar información sensible o confidencial en un dispositivo externo, debemos utilizar siempre discos duros y USB corporativos debidamente protegidos y con las medidas de seguridad adecuadas, según lo establecido en la política de uso de dispositivos de almacenamiento externo, cifrando la información, almacenándolos en lugares seguros e informando al departamento de IT de cualquier incidente que pueda ocurrir, como puede ser el robo o pérdida del dispositivo.
• Debemos tener especial cuidado con la información altamente sensible que manejamos en nuestra organización, y añadir medidas de seguridad adicionales para evitar que esta información pueda ser sustraída o robada, bloqueando los puertos USB en los equipos que contengan este tipo de información.
• Si utilizamos un dispositivo personal (BYOD) para almacenar información no confidencial (por ejemplo una presentación corporativa, manuales o instrucciones de un producto o servicio para mostrar a un cliente, etc.), por seguridad, debemos contar con la autorización del responsable técnico y aplicar las mismas medidas de protección establecidas en la organización para los dispositivos corporativos, cumpliendo con las políticas de uso de estos medios (cifrado, borrado seguro, etc.).
• Establecer cambios periódicos de contraseña de acceso a los dispositivos y controlar los permisos de lectura y escritura.
• Llevar a cabo análisis frecuentes para detectar cualquier tipo de malware.
• Registrar los dispositivos externos utilizados dentro de la empresa mediante un inventario que incluya un identificador para cada uno, comprobando periódicamente su ubicación física y su contenido, y evitando que los dispositivos que no estén registrados puedan conectarse a cualquier equipo de la organización.
• Siempre que sea posible, verificar que los dispositivos son seguros y están actualizados en un entorno de prueba.
• Utilizar soluciones denominadas DLP o Data Loss Prevention (sistema de prevención de pérdida de datos).
• Formar a los empleados para garantizar el buen uso de estos dispositivos. La prevención y el sentido común son las claves principales para evitar sufrir un incidente de seguridad debido a un mal uso.

Otro de los aspectos al que debemos prestar especial atención es la eliminación de la información contenida en este tipo de dispositivos, ya que es muy habitual utilizar los comandos de borrado del sistema operativo para eliminarlos sin realizar ninguna acción adicional. Sin embargo, no se puede considerar una forma de borrado seguro porque no se elimina totalmente la información, ya que con las herramientas adecuadas es posible recuperar los datos de un dispositivo formateado o ficheros después de vaciar la papelera de reciclaje.

Por ello, para deshacerse de la información de forma definitiva, con la certeza de que nadie podrá acceder a los datos una vez sean eliminados, existen métodos de borrado seguro, como la destrucción física del dispositivo, la desmagnetización, la sobre-escritura y el borrado criptográfico. En función del tipo de dispositivo habrá que elegir el borrado más conveniente.

Aunque con estas medidas hemos cubierto la protección de dispositivos extraíbles, no debemos olvidar que también hay que proteger aquello a lo que van ligado, los equipos de trabajo donde vamos a conectarlos. Desactivando la opción de autoarranque obtendremos una capa de protección adicional al no permitir que los dispositivos realicen cualquier acción en cuanto son enchufados, pues en caso contrario estas acciones podrían no ser reversibles e infectar todos los equipos de la red corporativa.

En definitiva, podemos hacer todo esto y mucho más para proteger la integridad de nuestros datos, pero desde aquí te invitamos a realizar una campaña de concienciación en tu empresa para, no solamente concienciar a tu equipo de los riesgos existentes, sino que además puedan evitarlos y actuar en consecuencia frente a ellos. La prevención es tu mejor aliada.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.