¿Cómo asegurarnos de que los datos de un USB no acaban en manos equivocadas?

Fuga de información
Las noticias acaban de hacerse eco de la información publicada en un Pastebin (servicio web “anónimo” para compartir cualquier tipo de texto digital). Todas las comunicaciones procedentes de cuentas de correo, datos personales de los contactos e información confidencial de reconocidas empresas que están bajo investigación aparecen publicados en ese tablón de anuncios anónimo.

Ese mismo día se buscaron cabezas que cortar entre el equipo de dirección y algunos empleados pero la mini investigación interna acabó sin un resultado alentador. Nadie del entorno cercano ha “cantado” lo que no debía, ni ha puesto en riesgo el futuro incierto de las compañías ni sus componentes.

Mientras, en otro lugar del Google Maps, se encuentran los miembros de un despacho de abogados que discuten acaloradamente ¿Qué está pasando? Juan es uno de los abogados que lleva el caso de la filtración y no sabe cómo contarles a los compañeros del bufete que la “ha liado parda”.

Hace dos días se reunió con colegas de las empresas investigadas y estuvieron decidiendo qué elementos de prueba aportarían a la causa. Este correo sí, éste no, las transacciones bancarias al extranjero, teléfonos y emails de otros empresarios conocidos que pudieran comparecer como testigos o quién sabe y que mantenían relaciones comerciales con los investigados, etc. 12 GB de información que fueron a una memoria USB o pendrive, que el abogado guardó en su chaqueta. Al día siguiente, anduvo ocupado con comparecencias en el Juzgado, así que no tuvo tiempo de echar en falta la documentación contenida en el USB hasta el día de la reunión.

Llegó el momento de reunirse y Paco tenía que decirle a sus compañeros que había perdido el pendrive. De su chaqueta pudo caer al interior de un taxi, en el suelo del Juzgado al sacar algo de su bolsillo o vaya usted a saber. Lo que estaba claro es que la información publicada coincidía con parte de la que estaba contenida en la memoria portable.

Momento de examinar las consecuencias
El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, dispone que el tipo de información expuesta en este caso y tratada por ciertos sujetos (extensible a los recogidos en el artículo 81 de ese Reglamento), entre los que se incluyen todos los mencionados en este post, deben recoger unas medidas de seguridad de nivel alto, entre las que se incluye el cifrado.

Por tanto, tenemos la pérdida de un dispositivo informático que ha sido hallado de forma “casual” (se presupone) por un tercero que se apodera del mismo y de los datos reservados de carácter personal que contiene, accediendo físicamente  sin estar autorizado y en perjuicio de su legítimo poseedor (el abogado). Posteriormente, esa información es difundida a terceros. Esa persona habría cometido un delito de descubrimiento y revelación de secretos, agravado por la posterior divulgación. Tenemos un delito específico que contempla estos mismos hechos si es un secreto de empresa, el 278 y 279 del Código Penal para el espionaje industrial.

Independientemente de las responsabilidades internas deontológicas que se puedan generar por no haber guardado el secreto profesional debido (no tiene por qué ser intencionado), en cualquier empresa e institución expuesta a un riesgo nunca es tarde para establecer una estrategia de prevención de fuga de datos. Por si aún no lo habéis implementado, debéis saber que existe una diversidad de unidades flash USB cifradas fáciles de usar que pueden resolver muchos problemas.

¿Cuáles podrían ser los mínimos aceptables?

- Establecer softwares de gestión endpoint. Otorgar números de serie e identificadores personalizados para el seguimiento y gestión remota de un USB, de modo que sea capaz de conectarse a una red determinada con un número de identificación único, funcionando y transmitiendo los datos a un servidor propio. De esta forma también permitiría el borrado remoto de los datos que contiene.

- Utilizar UBS´s que permitan la introducción manual de passwords.

- Utilizar USB´s con algoritmo de cifrado modo AES, Twofish o Serpent con tamaño de clave de 256 bits.

- Utilizar métodos de cifrado como VeraCrypt o más fácil de usar el DiskCryptor, Gilisoft USB Encryption, etc. donde puedes elegir el volumen del USB a cifrar. También BITlocker en algunas versiones de Windows. Recuerda que necesitas la misma aplicación para montar y descifrar su contenido después de introducir las correspondientes claves de acceso.

-  Elegir cómo almacenar y asegurar criptográficamente la llave maestra (que permite acceder al contenido cifrado):

Método UNO: Con un archivo de claves o keyfiles en texto plano (en formato legible) dentro de la propia memoria USB.

Método DOS: En forma de frase de acceso protegida en un archivo de claves o en el propio disco que protege la llave maestra (y, por lo tanto, los datos cifrados con ella) con una contraseña secreta, que tendrá que recordar e introducir cada vez que desea montar el USB.

O una llave maestra generada de forma aleatoria sobre la marcha para cada sesión de un solo uso ya que en algunos casos no es necesario tener una llave maestra permanente al cifrar. Para aumentar la seguridad se puede almacenar la llave maestra cifrada utilizando los dos factores de autenticación (el método UNO y el método DOS): el acceso a los datos cifrados mediante la frase de acceso y el archivo de claves.

Sistemas de doble contraseña administrador- usuario, de modo que el administrador de la red de tu empresa determina a nivel administrativo la contraseña del USB. Si se pierde la contraseña a nivel de usuario (en este caso Paco), el administrador puede gestionar esa contraseña.

Habría que empezar por diseñar una buena estrategia de seguridad para la prevención de la fuga de datos, sobre todo si decidimos soluciones que implican traslado físico de la información y valoramos la confidencialidad de la información que trasladamos. Es hora de que vayas dejando de lado los bonitos pendrives sin medidas de seguridad.