Skip to main content

¿Será que prohibir las unidades de memoria USB realmente protege los datos?

Pixabay

A pesar del amplio uso de servicios en la nube como Dropbox o Google Drive, a veces una antigua y práctica unidad de memoria USB es la forma más rápida de mover grandes cantidades de datos de una computadora a otra. Pero imagínate si un día vas a trabajar y descubres que todas las unidades USB han sido prohibidas en las instalaciones. Eso es precisamente lo que podría  suceder en IBM.

Una nota filtrada recientemente indicó que IBM prohibirá a todos los empleados utilizar unidades USB. Esta decisión puede ser comprensible, dado el estado actual de seguridad cibernética, pero ¿es realmente la estrategia más efectiva?

Recommended Videos

¿Una solución rápida?

El gerente de marketing de la compañía Kingston, una de las mayor fabricantes independientes de productos de memoria digital, Rubén Lugo, dijo a Digital Trends que este tipo de políticas pueden perjudicar a una empresa mucho más de lo que podrían ayudar.

Kingston

«Las empresas no buscan aplicar los recursos correctos desde el principio», dijo. «Siempre es buscar la solución rápida, y generalmente eso gira en torno a la prohibición de cosas. Hemos descubierto que eso realmente obstaculiza la productividad y la eficiencia que la fuerza de trabajo móvil necesita».

Se dice que el motivo de la prohibición de USB por parte de IBM es reducir los casos de pérdida de datos, ya sea una filtración deliberada de información o a través de un hardware extraviado. Nos comunicamos con IBM para que comente sobre la prohibición, pero no hemos recibido una respuesta. Pero de cualquier manera, Lugo cree que prohibir las unidades externas no evitará que las personas obtengan datos de la compañía si lo desean o necesitan.

«Donde hay voluntad, hay una manera», dijo. «La gente simplemente comenzará a usar su propio Dropbox, o su propio Google Drive, y luego comenzará a circunvalar los firewalls de protección, y realmente solo están creando otro problema».

Cuidando la privacidad de los usuarios

En los últimos años, se han registrado algunos de las fugas y violaciones de datos más grandes de la historia, lo que ha dejado a cientos de millones de personas vulnerables al robo de identidad, la explotación, e incluso la manipulación política. Eso ha llevado a que muchas empresas e individuos tomen más en serio la privacidad y la seguridad de los datos en línea, e incluso han traído a los políticos a la mesa para discutir cómo esta situación puede mejorar.

La gente simplemente comenzará a usar su propio Dropbox, o su propio Google Drive, y luego comenzará a circunvalar los firewalls de protección.

Pero no todas las prácticas para hacerlo son necesariamente recomendadas. Se puede argumentar que prohibir las unidades USB es una manera fácil de detener las fugas, y que hace que el robo de datos sea más difícil. Pero algunos argumentarían que tal política meramente abre a las empresas como IBM a nuevas avenidas de ataque, y no llega a la raíz del problema, que es la vulnerabilidad de los datos no seguros.

Controlando las fugas

Lugo opina que sería mucho mejor para IBM y compañías similares controlar los medios físicos y la información que contienen, en lugar de intentar prohibir los dispositivos directamente. Recomienda el uso de unidades como los dispositivos Ironkey de Kingston, que combinan protecciones físicas, como cubiertas de metal y revestimientos de epoxi para la placa de circuito del disco, con cifrado controlado por hardware, que hace que los datos digitales sean completamente ilegibles para miradas indiscretas.

Kingston

Sea ​​cual sea la marca del dispositivo, siempre que se aproveche el cifrado controlado por hardware, se debería evitar casi por completo la pérdida involuntaria de datos. No importa si un empleado extravía un disco con datos confidenciales, porque incluso si alguien lo encontrara y tratara de acceder a esa información, sin el código correcto los datos serían completamente ilegibles.

Kingston también tiene implementadas otras medidas para evitar que se acceda a esos datos, como un número máximo de contraseñas para evitar el pirateo, y las capacidades de borrado remoto, algo que podría evitar contra algunas filtraciones deliberadas de trabajadores descontentos o ex empleados.

al controlar los medios físicos y el punto de contacto con la red interna, una empresa tendría un control mucho mayor sobre los datos que entran y salen.

Protegiendo los endpoints

Sin embargo, los medios físicos en sí son solo una parte de la protección de los datos de una compañía. Algo que varias compañías de valores, como Symantec, MalwareBytes y McAfee, han estado desarrollando en los últimos años, es la protección de los endpoints, que son la interface a través de la cual los sistemas externos pueden enviar y recibir mensajes, permitiendo así la integración de sistemas.

La protección de endpoints es la práctica de asegurar una red en el punto de conexión de un dispositivo. Si bien normalmente eso se produce cuando una nueva computadora portátil o teléfono inteligente están conectados a un sistema, también se puede aplicar a unidades físicas como dispositivos USB. Es algo que Kingston cree que compañías como IBM podrían usar para prevenir parte del robo de datos.

USB drop attack demo - Blackhat USA 2016

«Endpoint Protection permite que cualquiera que esté involucrado con la ciberseguridad de la compañía, reconozca quién necesita acceso a los puertos USB o a otros datos”, explica Lugo. «Así pueden crear un perfil de usuario, o un grupo de usuarios, para luego permitir solo una unidad USB específica y la reconozca si está siendo usada de una manera inapropiada».

En otras palabras, al controlar los medios físicos y el punto de contacto con la red interna, una empresa tendría un control mucho mayor sobre los datos que entran y salen de sus sistemas protegidos, que prohibiendo el uso de todos los medios físicos, en este caso, USB flash drives.

Regulación General de Protección de Datos

Parte de la nueva legislación de Regulación General de Protección de Datos (GDPR) que se promulgó recientemente, involucra a las compañías que tienen la responsabilidad real de los datos, controlando quién tiene acceso a ellos y cómo se almacenan. Una política de no tener medios físicos hace imposible que IBM sea realmente responsable si alguien burla dichas regulaciones.

What Is GDPR? And Why Should I Care?

Ahora que la GDPR se ha implementado y es totalmente aplicable a cualquier entidad que haga negocios con clientes de la Unión Europea, las empresas deben prestar atención a la forma en que manejan la información digital. La prohibición absoluta de los dispositivos USB podría ofrecer alguna medida de protección contra algunas de las multas más duras y los sistemas de arbitraje vigentes, pero como señala Lugo, no le dan a las compañías el control que necesitan para proteger realmente sus datos y el de sus empleados y usuarios.

Esperanza de un cambio

En cuanto a IBM, Lugo espera que Kingston pueda darle la vuelta a sus recientes cambios de política y ya está en el proceso de tratar de hacerlo. «IBM es una empresa increíble», dijo «algunos de nuestros equipos de ventas están en contacto con ella en este momento, así que ya veremos qué es lo que ocurre».

También es importante aumentar conciencia sobre las alternativas a la prohibición de IBM entre sus empleados. Como señala MalwareBytes, la mejor forma de proteger una red es con una estrategia de combinación que reúna personas, hardware y software, para bloquear de manera integral los datos importantes y las redes en las que está almacenado.

«Las empresas deben asegurarse de tener los procesos internos correctos para enfrentar una infracción, y asegurarse de que el personal reciba capacitación periódica de seguridad; después de todo, sus empleados son su primera línea de defensa, así que hay que equiparlos con el conocimiento para poder detectar un correo electrónico o archivo adjunto poco fiable», nos dijo un portavoz. «Las mejores políticas de seguridad combinan personas, procesos y tecnología; uno no puede ser efectivo sin los otros dos».

Milenka Peña
Ex escritor de Digital Trends en Español
Milenka Peña es periodista, escritora, productora y conductora de radio y televisión, nominada a los Premios Emmy por…
El centro de datos submarino de Microsoft falló menos que los terrestres
centro datos submarino microsoft eficacia project natick  vessel retrieval stromness orkney tuesday 7th to wednesday 15th of

En junio de 2018, Microsoft instaló un centro de datos —del tamaño de un contenedor de transporte naviero— en el lecho marino frente a la costa de las Islas Orcadas en Escocia. La operación se conoció cono Proyecto Natick.

Sumergir este prototipo experimental tenía como objetivo comprobar la autosuficiencia y resistencia del centro de datos y su capacidad para entregar servicios rápidos en la nube a las ciudades costeras.

Leer más
Las mejores llaves de seguridad USB para proteger tu PC
persona activando una llave de seguridad USB

La protección de tus datos debe involucrar tanto herramientas físicas como digitales. Dentro de las primeras te presentamos esta guía con las mejores llaves de seguridad USB. Nuestra favorito es la YubiKey 5 NFC, por su facilidad de uso, amplio soporte de protocolo de autenticación y portabilidad.

Pero no es la única llave de seguridad USB que nos gusta, ya que hay muchas y muy buenas opciones para aquellos con presupuestos más grandes o necesidades más específicas. Pueden ayudarte a iniciar sesión en las computadoras y proteger tus perfiles, correo electrónico, historial del navegador y más, con una capa adicional de seguridad que es innatamente difícil de hackear.

Leer más
Exigen la intervención de las autoridades por rastreo digital a los niños
Los niños están siendo vigilados: piden una profunda investigación
Niño con iPad

Una profunda investigación a la forma en que las empresas están exponiendo a los niños a la publicidad y los rastrean en línea, tras recopilar y almacenar sus datos, exigieron a la Comisión Federal de Comercio (FTC) varias asociaciones de consumidores en Estados Unidos.

"La FTC no puede basar decisiones políticas relevantes en la actual escasez antecedentes sobre cómo funciona el ecosistema de información. Más bien, debe realizar y completar una serie de estudios para arrojar luz sobre la opacidad de estas industrias antes de adoptar cualquier reglamentación ligada con la privacidad o bien un cambio importante en sus políticas", reza la declaración enviada como carta.

Leer más