En los últimos tiempos han venido surgiendo noticias en medios generales en relación a las “investigaciones” que diferentes ayuntamientos realizan o se plantean realizar para detectar y multar a ciudadanos que no reciclan su basura; la idea es simple: se revisan las bolsas del contenedor en busca de aquellas que contienen residuos de varios tipos (es decir, las correspondientes a los que no reciclan), y en esas mismas bolsas se busca información que pueda dar indicios sobre el vecino que no ha reciclado (recibos del banco con datos personales, facturas, publicidad…). Una vez localizado dicho vecino, se le multa.
Este tipo de noticias plantean serias dudas en materias de seguridad; en primer lugar, tenemos un problema legal: ¿quién está legitimado para buscar en mi basura? Según unos, nadie (mi basura es mía y sólo yo puedo mirarla), y según otros (los ayuntamientos), una vez se deposita la bolsa en el contenedor, la basura ya no es nuestra, sino que es pública (o algo así). Personalmente no entro a valorar este aspecto legal (lo desconozco, y aprovecho para pedir, si alguien entre nuestros lectores conoce el tema, más información al respecto), pero sí que me preocupa la posible violación de la confidencialidad que se produce al revisar basuras ajenas (dicen por ahí que es posible conocer a cualquier persona analizando su basura). Por lo que a mí respecta, trato siempre de destruir o separar cualquier cosa que permita detectar al “propietario” (en este caso yo) de la basura, sobre todo, y para matar varios pájaros de un tiro, los papeles que amablemente me envían los bancos para recordarme la enorme cantidad de dinero que tengo en mis cuentas en Suiza, los pocos recibos que tengo que pagar al mes con todo ese dinero, y la ridícula hipoteca en la que me metí hace un tiempo :)
La segunda gran duda que plantea este método es la fiabilidad del mismo; todos sabemos que el correo no es precisamente el medio más seguro de envío de información, y que en muchas ocasiones es muy fácil acceder a la correspondencia de cualquier vecino (metiendo la mano en su buzón o simplemente esperando a que por error metan su correspondencia en el nuestro). No hace falta ser muy listo para imaginar a ese vecino que todos tenemos hurgando en nuestro buzón, sacando nuestras cartas, depositándolas en una bolsa de basura sin separar y sentándose a esperar para ver cómo la Policía Local nos multa por malos ciudadanos. Apañados estamos.
Hace unos años el basureo (trashing) era una técnica habitual en cualquier auditoría de seguridad que se preciara; la información que se podía obtener en una papelera o un cubo de basura era impresionante: nombres de usuario y contraseñas, datos financieros, ofertas, datos de los empleados… Un método mucho más rápido que andar buscando vulnerabilidades en un firewall, por supuesto. Hoy en día todos nos hemos acostumbrado a utilizar estupendas destructoras de papel algún día hablaremos de ellas que siempre usamos para destruir cualquier tipo de información interna (¿verdad?), por lo que estos métodos de auditoría no se utilizan tanto como hace unos años; quizás noticias como esta hagan que el trashing se vuelva a poner de moda entre los equipos de auditoría.
En cualquier caso, dos consejos: no tiréis a la basura ningún dato que pueda considerarse confidencial y, por supuesto, reciclad :)
(N.d.E.) Esta semana la encuesta está relacionada con la cuestión que planteaba Toni arriba: la basura que generamos, ¿es nuestra durante todo “su ciclo de vida”, o por el contrario deja de serlo cuando sale por nuestra puerta? Les planteamos además un par de opciones adicionales que pueden ser interesantes:
En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que la mayor parte de los lectores se decantan por informar del error y no dar ningún detalle; es también esa la opción escogida por David, la persona que planteaba la encuesta. En segundo lugar, cuatro lectores apoyaban la idea de dar toda la información posible, cuestión que desaconsejo por el riesgo de proporcionar información sensible al posible atacante (versiones, rutas, usuarios, etc.). De hecho, creo preferible enmascarar el error completamente (3 usuarios). Por último, felicitar a esos tres usuarios que no tienen, no saben que tienen, o prefieren no saber que tienen errores en sus aplicaciones.
Nada más; S2 Grupo se muda de oficinas este fin de semana, con todo lo que ello implica. La semana que viene les pondré alguna foto del nuevo emplazamiento, por simple narcisismo. Pasen en cualquier caso un buen fin de semana. Nos vemos el lunes, más y mejor.