El Equipo de análisis e investigación global (GReAT) ha analizado la seguridad de los dispositivos de segunda mano. Entre los dispositivos que los jefes de investigación de DACH, Marco Preuss y Christian Funk, analizaron durante dos meses a finales del 2020, se encontraban: ordenadores portátiles y una amplia variedad de medios de almacenamiento, como discos duros y tarjetas de memoria.
Su objetivo no era determinar las diferencias según el tipo de dispositivo, sino más bien examinar los datos que contienen con el fin de aprender qué relación tienen los los datos electrónicos en las ventas entre particulares y en el mercado de segunda mano. Como vendedor, ¿qué rastro podrías estar dejando? Como comprador, ¿cómo puedes hacer que tu dispositivo se comporte como si fuera nuevo? Y hasta que lo logres, ¿es seguro usar tu dispositivo seminuevo?
Los resultados del estudio
Una abrumadora mayoría de los dispositivos que los investigadores examinaron contenía por lo menos unos cuantos rastros de datos, sobre todo personales, aunque algunos también eran corporativos; y más del 16 % de los dispositivos concedían acceso directo a los investigadores. Otro 74 % revelaban datos valiosos cuando los investigadores aplicaban métodos de extracción de datos. En apenas un 11 % los datos se habían borrado correctamente.
Entre los datos que Preuss y Funk encontraron había cosas que podrían ser potencialmente inofensivas, pero también otras terriblemente reveladoras e incluso peligrosas: entradas de calendarios, anotaciones de reuniones, datos de acceso, documentos internos, fotos personales, información médica, documentos fiscales y demás. Además, como el mismo Funk ha precisado, los datos personales no tienden a perder valor con el tiempo, por lo que no puedes esperar a que el riesgo se aminore y sentirte más seguro (y, a todo esto, sentirte seguro no disminuye el riesgo).
Además de la información directamente utilizable como las listas de contactos, los documentos fiscales y los expedientes médicos (o el acceso a las contraseñas almacenadas), los dispositivos electrónicos contienen información que podrían causar daños indirectos. Piensa, por ejemplo, en cómo los ciberdelincuentes aprovechan la información que averiguan de los perfiles y publicaciones en redes sociales. Los contenidos de los dispositivos digitales son sumamente informativos.
¿Ya hemos hablado del malware?
No todo el mundo comparte la misma actitud en lo que respecta a la seguridad de los dispositivos digitales. Algunos podrían protegerse de una forma mucho más minuciosa que tú y otros, todo lo contrario, por ello, si estás comprando de segunda mano, es probable que recibas no solo los datos de otra persona, sino también un malware como extra. De los dispositivos que Preuss y Funk examinaron, el 17 % activaron las alarmas de nuestro escáner antivirus.
La precuela: un estudio más minucioso
Esta investigación comenzó con un estudio que Kaspersky encargó a Arlington Research. La empresa encuestó a miles de consumidores en edad adulta del Reino Unido, Alemania y Austria. El estudio inicial funcionó como una especie de confirmación, pues halló que las ventas digitales de segunda mano están muy consolidadas y que suponen una fuente de filtraciones de datos. Más de la mitad de los cientos de compradores afirmaron haber encontrado fotos, “material explícito”, datos de contacto o documentos confidenciales como pasaportes y credenciales de inicio de sesión en los dispositivos que habían adquirido dándoles una segunda oportunidad.
Vendedor, ten cuidado
Aunque aproximadamente el 10 % de los encuestados habían recibido dispositivos en los cuales encontraban la información del vendedor, pocos la ignoraron, borraron de inmediato o informaron sobre los datos encontrados al dueño original o a las autoridades. Más allá de sólo echar un vistazo (el 74 % de los encuestados afirmaba que resultó bastante sencillo), más de 1 de cada 10 admitió que venderían los datos encontrados si pudieran sacarle algún provecho.
Recomendaciones y consejos
Para los vendedores
Como vendedor, tu prioridad principal es borrar tu información del dispositivo que estás vendiendo de forma que puedas mantener tu seguridad y privacidad. Sí, también es importante asegurarse de que el dispositivo esté seguro, lo que esperamos que ya hayas comprobado, pero lo principal es mantener tu información privada.
- Realiza una copia de seguridad de tus datos: ya sea un teléfono, un ordenador, una tarjeta de memoria u otra forma de almacenamiento, realiza una copia de seguridad de confianza antes de borrar la información del dispositivo que estás vendiendo.
- Quita la tarjeta SIM y las tarjetas del almacenamiento de los teléfonos; borra la eSIM si tu dispositivo utiliza una.
- Activa la autentificación de dos factores en las cuentas que lo permitan y cierra sesión de todos los servicios (banco, correo electrónico, redes sociales) en el dispositivo que estás vendiendo.
- Dependiendo del dispositivo en cuestión, restablece el dispositivo a las configuraciones de fábrica o formatea los medios.
- Ten en cuenta que en muchos casos los datos aún pueden recuperarse incluso después de la restauración de fábrica o el formateo de los medios de almacenamiento. Para confirmar que no dejas nada en el dispositivo, necesitas aplicar una serie de pasos adicionales, que pueden variar según el tipo de dispositivo, modelo y configuración; busca información sobre cómo eliminar de forma segura todos tus datos.
Para los compradores
Nuestro consejo para los compradores de dispositivos de segunda mano es similar al consejo general sobre posesión digital, pero un poco más estricto debido a que debemos asumir que un dispositivo de segunda mano puede ser arriesgado. Mejor prevenir que curar.
- Dependiendo del dispositivo en cuestión, restablece el dispositivo a las configuraciones de fábrica o formatea los medios de almacenamiento.
- Instala y activa una solución de seguridad de confianza inmediatamente (si es posible, antes incluso de adquirir el dispositivo) para contrarrestar el riesgo de encontrar malware ya presente y realiza un análisis antes de usarlo por primera vez.