Nuestra información personal y el Dumpster Diving: Un tesoro en la basura

En el medio de toda la barahúnda que acompaña a las tormentas, el ex Subtel @Huichalaf compartió una noticia que pasó desapercibida, pero que llama la atención, dado que en las historias de hackers de la vieja escuela, que se preciaban de crear, bautizar, sofisticar y enmarcar en un verdadero framework las técnicas que se consideran hoy como los cimientos para obtener información de formas cuestionables e ilegítimas, las han convertido en los pasos más elementales a la hora de custodiar la información. Nuestra información personal puede estar más expuesta de lo que pensamos, y no en precisamente en la nube… sino, como descubrieron los ”old school”, en la basura. 

La Noticia

La Corte de Apelaciones de Santiago confirmó, el 11 de junio de este año, la sentencia que que condena al Banco Santander de negligencia al haber lanzado documentación bancaria de sus clientes en un sitio eriazo de la Cuesta Barriga, cosa que fue descubierta en octubre de 2015.

Alertados por funcionarios municipales, periodistas de TVN documentaron los hechos, los cuales fueron exhibidos en el noticiario durante el 12 y 13 de octubre de 2015. Las “basuras” eran carpetas con “copias de cédulas de identidad, estados de situación financieros, evaluaciones crediticias, currículum vitae, liquidaciones de sueldo, cheques personales y de terceros, información sobre dineros en cuentas personales, entre otros documentos personales” de, en su mayoría, tres clientes del banco (quienes llevaban años en el banco, por lo que la información que se tenía de ellos era amplia). 

¿Cuál es su importancia?

Este fallo confirma la jurisprudencia creada respecto del primer fallo, en el cual el tribunal se apoya en la ley 19.628, que dice expresamente que “el responsable de los registros o bases de datos donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños” *. Estos responsables son las compañías que almacenan nuestros datos. La ley lo explica.

Pues bien, en Chile es excesiva la cantidad de datos personales que las compañías manejan. La utilización del RUT como autenticado, como moneda de intercambio (si nos da el RUT, le ofrecemos tales descuentos), como número de membresía, como “igual deme el RUT, por si acaso”, nos ha dejado con un autenticador único y privado al alcance público. Un tremendo agujero en el sistema. 

(*) Es de consideración adicional que los datos bancarios, patrimoniales, personales y comerciales resguardados están protegidos, además, por el secreto bancario, tributario y a veces, incluso, estadístico.

La Tech

La técnica es conocidísima. Existe y hasta tiene un nombre. Se llama “Dumpster Diving”, y es un método old-school para obtener información (mi búsqueda en Google de “Dumpster Diving Social Engineering” me otorga más de 770.000 resultados).

“Dumpster Diving” se podría traducir como “sumergirse en el basurero”, y como método ocupado para obtener información es bastante antiguo. Yo me imagino que si jamás has oído hablar de esto, puede parecer sumamente ridículo andar buscando en el basurero por “tesoros”, pero en las épocas de los Phone Phreakers y en los albores de los hackers, este método ya existía.

En los 70s, y mucho antes de ser uno de los más conocidos evangelistas en temas de Ingeniería Social y Seguridad Informática, Kevin Mitnick,  a los 12 años logró “hackear” el sistema de buses de Los Ángeles porque encontró las tarjetas de transporte de los buses en un basurero. En los 80s y antes de fundar Microsoft, el Bill Gates adolescente, usaba esta técnica para averiguar más acerca de los computadores en los cuales iniciaba sus pasos en la programación. Una vez llegó a encontrar el código fuente del TOPS-10, un sistema operativo para computadores desarrollados por DEC, en ese entonces. En los 90s, esta técnica incluso sale ilustrada en la película “Hackers” (sí, ésa donde sale la Angelina Jolie. Y sí, esa en donde hackear y andar en rollerblades era el mambo). Pasa en la vida, pasa en las películas… En el 99, dos miembros del grupo de hackers y phonephreakers “The Phonemasters”, quienes habían penetrado los sistemas informáticos de MCI, Sprint, AT&T, Equifax y el Centro Nacional de Información del Crimen, en EEUU, fueron sentenciados. Sus métodos combinaban el Dumpster Diving y la Ingeniería Social.

En el nuevo milenio, la técnica ya era una práctica de espionaje corporativo: en 2000, el CEO de Oracle, Larry Ellison, contrató a un investigador privado para intrusear en los basureros corporativos de Microsoft. En 2001, Procter&Gamble fue acusada de andar intruseando en los basureros de Unilever. En 2006, un recolector de basura de Washington DC encontró el itinerario completo del próximo viaje a Florida del entones “hombre más poderoso del mundo” (y el más resguardado, por cierto): el presidente de EEUU, George W. Bush, tenía toda la información respecto del viaje completamente expuesta en un basurero: horas de despegue y aterrizaje del mítico Air Force One, del Marine One, de los helicópteros de escolta Nighthawk 2 y 3, vehículos que se usarían ese día, nombres de todos abordo del AF1, locaciones, horarios exactos, entre otros. Todo esto ocurrió en el medio de “la guerra contra el terrorismo”. Una década más tarde, un trabajador nota que documentos altamente sensibles en el Y-12 National Security Complex, una instalación que, entre otras cosas, se mantiene y produce todas las partes de uranio para cada arma nuclear en el arsenal de los EEUU, eran tirados a la basura.

En  nuestro país, el hallazgo de documentos del Banco Santander fue difundido por televisión. Antecedentes de la conocida Operación Huracán fueron puestos a disposición de reporteros de otro canal de televisión. También fueron hallados en la basura. No sólo se habían encontrado documentos relacionados a este caso, sino además, fotos y documentos relacionados a la violación de una persona de 14 años, lo cual constituye una tremenda falta del Estado de Chile, habiendo éste suscrito tratados internacionales de protección a menores. En el contexto de ese hallazgo, un diario nacional dio a conocer un estudio en el cuál se analizaban 710 archivos rescatados de contenedores de basura de 30 empresas de Santiago. “En todos los papeles revisados había al menos un campo de información relevante. De estos campos, el más sensible es el RUT, que en casi el 100% de los casos se encontraba completo, incluyendo el dígito verificador”. Esto demuestra que la política de dichas empresas respecto al tratamiento de los datos personales de sus clientes y empleados es vergonzosa. Cuántas compañías tendrán protocolos inteligentes para deshacerse de sus datos sensibles en nuestro país?

¿Cuál Tesoro?

Dentro de la lista de documentos confidenciales (o que así deberían ser catalogados por las compañías) que se suelen encontrar en los tachos de basura, podemos encontrar:

  • Listas de clientes, listas de proveedores, precios.
  • Los datos de los empleados: nombres, direcciones, sueldos, beneficios, beneficiarios.
  • Emails privados.
  • Copias de prototipos de desarrollo de productos, planes de marketing, de finanzas. Información de tremenda utilidad para la competencia.
  • Antecedentes legales que deberían ser secretos.
  • Información personal acerca de los clientes: direcciones, contratos, números telefónicos, rentas, lo que se les ocurra.
  • Datos sobre la compañía que cualquier interesado podría utilizar de forma maliciosa.
  • Diagramas de redes, información sobre proveedores de tecnología, equipos, modelos, versiones e incluso detalles del software utilizado.
  • Firmas fácilmente falsificables.
  • Listas de usuarios y contraseñas.
  • Medios de almacenamiento electrónico.
  • Manuales organizacionales secretos.

Dada la lista enumerada, pueden echar a volar su imaginación, a conectar los puntos. Lo cierto es que se puede hallar lo que sea que una mente criminal necesite. Y no me gustaría que las mentes criminales tuviesen acceso a mi información, menos, gracias a  la irresponsabilidad de quienes almacenan mis datos personales: Bancos, isapres, aseguradoras, empleadores, supermercados, infinidades de compañías! La justicia ha determinado que ellos son responsables de la seguridad de nuestros datos y de los potenciales daños producidos si fallan en su misión de asegurarlos.

Si hay documentos de los cuales deshacerse, y si estos contienen información, es mandatorio disponer de ellos de forma adecuada. Es importante contar, como empresas e instituciones, con procedimientos para lidiar con la producción de datos en medios físicos y con la posterior eliminación de éstos. Es preponderante capacitar al personal para que éstos puedan comprender el valor de la información que manejan, y dotarlos con medios para eliminarla de forma adecuada. Para aquello existen diferentes tipos de trituradoras de papeles. Su uso debería ser un estándar.

El Dumpster Diving se ha relacionado con la seguridad informática puesto que es una técnica utilizada por hackers, especialmente en la fase de reconocimiento y recopilación de información acerca de una blanco. En la historia de la seguridad informática, ha probado ser una práctica tremendamente fructífera. Como economía en vías de desarrollo, podemos observar la historia de economías más avanzadas de modo de no repetir sus errores. Actualmente el dumpster diving aún es tema en conferencias de hackers, grandes secciones de libros se escriben respecto del tema.  Esta técnica, sorpresivamente efectiva, lo es debido a la poca consideración que se le otorga a información altamente sensible. La información, nuestros datos personales (y los datos de compañías e instituciones) no son simple basura y no pueden ser tratados com tal. Nuestra información tiene un valor estelar en estas épocas. Las compañías lo entendieron tiempo atrás, la recopilaron y han usufructuado gracias a ella. Lo mínimo que podemos exigirles es que la resguarden de forma adecuada.