Si no tiene cuidado al desmantelar sus antiguos enrutadores comerciales (se abre en una pestaña nueva)podría correr el riesgo de filtraciones graves de datos confidenciales, advierte una nueva investigación.
Un informe de ESET encontró que las organizaciones pequeñas y medianas, así como las empresas, a menudo desechan su hardware antiguo de manera inapropiada. Como resultado, filtran datos de clientes, credenciales y otras claves de autenticación.
La empresa analizó 16 dispositivos de red distintos que se desecharon y vendieron en el mercado de segunda mano y descubrió que nueve dispositivos, el 56 %, aún contenían datos confidenciales de la empresa.
Contraseñas en bandeja
De los nueve dispositivos que tenían datos de configuración completos disponibles, una cuarta parte (22 %) contenía datos de clientes, un tercio (33 %) exponía datos que permitían conexiones de terceros a la red, casi la mitad (44 %) tenía credenciales para conectarse a otros redes como una parte confiable, casi todos (89%) detallaron los detalles de conexión para aplicaciones específicas y contenían claves de autenticación de enrutador a enrutador.
Además, todos los dispositivos (100 %) contenían una o más credenciales de IPsec o VPN, o contraseñas de root cifradas, y tenían datos suficientes para identificar de manera confiable al propietario/operador anterior.
ESET también descubrió que a algunas empresas realmente no les importaba filtrar datos confidenciales de esta manera. Después de «repetidos intentos de conectarse» y notificar a las empresas sobre el posible problema, algunas empresas «sorprendentemente no respondieron». Otros, sin embargo, «mostraron competencia» y manejaron el problema como una «violación de seguridad en toda regla».
Estos hallazgos deberían servir como una «llamada de atención» para que las organizaciones refuercen sus prácticas de protección de datos, dice ESET.
“Esperaríamos que las empresas medianas y grandes tuvieran un conjunto estricto de iniciativas de seguridad para desmantelar los dispositivos, pero descubrimos lo contrario”, señaló Cameron Camp, el investigador de seguridad de ESET que dirigió el proyecto.
«Las organizaciones deben ser mucho más conscientes de lo que queda en los dispositivos que ponen a pastar, ya que la mayoría de los dispositivos que obtuvimos del mercado secundario contenían un plano digital de la empresa involucrada, que incluye, entre otros, redes centrales información, datos de aplicaciones, credenciales corporativas e información sobre socios, proveedores y clientes”.