Por qué Siempre Debes Destruir tus Propios Datos

Conclusión

Proteger los datos a veces implica eliminarlos y destruir el dispositivo en el que se almacenaron. Puede parecer contraintuitivo, pero a menudo es necesario. Profundizamos en por qué debes tratar la destrucción de datos con cuidado y las diversas formas en que puedes manejarla.

Dispone de defensas tecnológicas, una sólida gobernanza de TI y una plantilla con conciencia cibernética. Sus datos están protegidos, replicados y respaldados. Eso es estupendo, sólo hay una cosa más que necesita saber: Por qué debería destruir sus propios datos.

Por qué debería destruir sus propios datos

Dados los esfuerzos que hacemos para proteger los datos y satisfacer la aparente dicotomía de asegurarnos de que son accesibles y seguros a la vez, resulta contraintuitivo considerar la destrucción voluntaria de datos no sólo como un requisito, sino como una necesidad.

Hay varias razones por las que sería necesario hacerlo.

Sustitución de hardware

El hardware envejece y, como todas las máquinas, tiene una vida operativa finita. Cuando los servidores, ordenadores de sobremesa, portátiles, dispositivos de almacenamiento en red y dispositivos móviles como teléfonos móviles y tabletas son redundantes, hay que deshacerse de ellos.

El dispositivo puede ser sustituido debido a un fallo del hardware. Algunas empresas no esperan a que se produzca un fallo, sino que gestionan proactivamente la retirada del hardware para evitar tiempos de inactividad imprevistos. A las diferentes clases de dispositivos se les asigna una duración en servicio, y una vez que alcanzan esa edad son sustituidos.

La sustitución de dispositivos también puede obedecer a factores externos, como el lanzamiento de una nueva versión de Microsoft Windows. Si su viejo hardware no tiene la potencia necesaria para ejecutar el nuevo sistema operativo, habrá que sustituirlo.

Reutilización del hardware

Si alguien deja su puesto y su ordenador portátil o de sobremesa se reasigna a su sustituto, debes borrar de forma segura el dispositivo antes de dárselo al nuevo miembro del personal.

Razones legislativas o de cumplimiento

La legislación, como el Reglamento General de Protección de Datos, obliga a las organizaciones a declarar públicamente (normalmente en su política de privacidad en línea) durante cuánto tiempo conservarán la información de identificación personal (datos personales). Es lo que se denomina periodo de conservación.

Conservar los datos más allá del periodo de conservación establecido puede dar lugar a graves infracciones de las políticas de protección de datos y privacidad, y a una atención no deseada por parte de la autoridad supervisora pertinente. Por no hablar de costes no deseados y daños a su reputación.

Regalarlo todo

Se hacen grandes esfuerzos para evitar que las amenazas se apoderen de sus datos. Deshacerse de hardware antiguo sin prestar la debida atención a los datos que contiene es como entregar esos datos directamente a los malos.

Los documentos sensibles no se tiran a la basura. Los trituras para hacerlos inaccesibles e ilegibles. También hay que borrar de forma segura los datos del hardware antiguo.

Aparte de las implicaciones comerciales de la filtración de información confidencial de la empresa, si los datos incluyen información personal identificable, se considera una violación de datos perseguible en Europa.

Cómo borrar discos duros de forma segura

Hay muchas formas de eliminar de forma segura los datos de un disco duro o de hacer que el disco duro sea ilegible. Puedes

  • Sobrescribir los datos
  • Desmagnetizar las unidades
  • Dañar o destruir físicamente las unidades

Cada una de estas técnicas tiene ventajas e inconvenientes, y algunas empresas utilizan más de una a la vez.

Sobrescritura de datos

Cuando un sistema operativo borra un archivo, elimina el nombre del archivo de la lista de archivos de ese disco duro y, a continuación, marca el espacio del disco duro en el que estaba almacenado el archivo como disponible para su reutilización.

Con el tiempo, esa zona del disco duro será sobrescrita por otro archivo. Si esa zona del disco no ha sido sobrescrita, es trivial recuperar los datos del archivo borrado: están ahí mismo, en el disco duro, donde solían estar. Borrar todos los archivos antes de deshacerse de un disco duro u ordenador viejo no es suficiente para evitar el acceso no autorizado a los datos eliminados. Hay que sobrescribirlos a propósito.

Se pueden utilizar paquetes de software especializados para escribir valores de datos en todos los puntos de datos posibles de un disco duro, borrando todo lo que se había almacenado anteriormente en él. Sin embargo, la sobrescritura es lenta, sobre todo si se borran discos duros de gran capacidad o se tiene que trabajar con una gran pila de discos.

El software de sobrescritura no es un método infalible para borrar de forma segura una unidad de estado sólido (SSD). Es necesario consultar el sitio web del fabricante y obtener la utilidad específica de la marca para borrar por completo una de sus unidades SSD.

Sobrescribir los datos de una unidad física o borrar por completo una SSD no daña la unidad en sí. Se puede reutilizar. Si está limpiando una máquina para pasársela a otro empleado o donarla a una organización benéfica, éste es un buen método.

Desmagnetización

Los discos duros físicos tradicionales almacenan sus datos en forma de patrones magnéticos en los platos giratorios. La desmagnetización utiliza campos magnéticos potentes para alterar esos patrones y desordenar todo el disco duro.

La desmagnetización no es selectiva, no puede desmagnetizar los platos por sí solos, sino que destruye todo el mecanismo del disco duro. Esto significa que a menudo borra los datos del firmware del servocontrolador, dejando la unidad inoperativa. Esto reduce aún más las posibilidades de que alguien pueda leer datos de esa unidad.

Sin embargo, si su plan era volver a utilizar la unidad una vez que fue borrado, desmagnetización no es el camino a seguir. Incluso si la unidad sigue funcionando después de la desmagnetización, tendrás una unidad con dudas sobre su longevidad – y acabas de destruir tu garantía.

Las máquinas de desmagnetización son caras. Existen varitas desmagnetizadoras más asequibles, pero para garantizar la destrucción es necesario utilizar una potente unidad de sobremesa. Y como las unidades SSD no utilizan magnetismo para almacenar sus datos, la desmagnetización no funciona en ellas.

Destrucción física de unidades

Si se realiza correctamente, está garantizado que funcionará. La destrucción del disco duro elimina todas las posibilidades de recuperar los datos.

Para destruir completamente un disco duro mecánico, puede taladrar una serie de agujeros en él a distancias escalonadas desde cerca del centro hacia fuera. Puede hacerlo de una forma más primitiva con un martillo grande y unos clavos de 10 cm. Coloque la unidad sobre un bloque de madera y clave un par de clavos en los platos para romperlos.

Por increíble que parezca, existen trituradoras en las que puedes dejar caer los discos duros y se pulverizan. Cuestan una fortuna, hacen mucho ruido y hacen temblar el edificio, pero existen. Lo que hay que vigilar es la inclinación de las ruedas trituradoras. Suelen tener una separación aproximada de una pulgada (2,5 cm). Algunos de los chips del interior de las unidades SSD son más pequeños que eso, por lo que los chips recuperados podrían extraerse de la viruta, trasplantarse a unidades donantes y resucitar.

Para la destrucción de las unidades, he oído hablar incluso de organizaciones que han llegado a acuerdos con plantas de recuperación de metales que fundían las unidades sin coste alguno y reciclaban el metal. Además de resolver el problema de la destrucción de datos, ayudaba al programa de sostenibilidad de la organización y a sus objetivos ecológicos.

La nube y el software como servicio

Con la adopción masiva del almacenamiento en la nube, ya no sólo hay que preocuparse de los discos duros locales. Tus datos están ahora en los discos duros de otros. Un centro de datos controlará la salud de sus discos duros y los sustituirá a la menor señal de que se aproxima un problema. ¿Cómo se desharán de los discos viejos y de tus datos? Y, en cualquier caso, ¿cómo borrarán tus datos si cambias de proveedor de nube?

Las mismas consideraciones deben tenerse en cuenta con los proveedores de software como servicio (SaaS). Un centro de datos tradicional normalmente estará obligado por contrato a destruir los datos de forma segura al final del contrato y a proporcionar una confirmación por escrito de que se ha llevado a cabo. Este tipo de rigor es mucho menos frecuente con los proveedores de SaaS.

Asegúrese de que la destrucción de datos forma parte de su contrato o acuerdo antes de contratarlos. Consíguelo por escrito y asegúrate de que la declaración o el certificado de destrucción segura de los datos sea un entregable acordado.

No sólo discos duros

Cualquier cosa en la que se puedan almacenar datos debe destruirse o borrarse antes de desecharla o reutilizarla. Es decir

  • CDs
  • DVDs
  • Cintas de seguridad
  • Discos duros externos
  • Memorias USB

Los teléfonos móviles son otra categoría importante que requiere una destrucción cuidadosa de los datos. Un simple restablecimiento de fábrica no suele ser suficiente debido a las herramientas de recuperación de datos que pueden saltarse esta medida.

Para un borrado más seguro, utiliza software especializado diseñado para dispositivos móviles o consulta las directrices del fabricante de tu teléfono.

Incluso dispositivos como las impresoras multifunción pueden retener grandes cantidades de información cuando se les introducen documentos para copiarlos, imprimirlos o escanearlos.

Encuentre un socio de confianza

Las empresas de reciclaje a veces ofrecen certificados de destrucción segura de datos para los ordenadores y otros equipos de procesamiento de datos que le recogen. Una buena empresa demostrará rigor de principio a fin en su proceso.

  • Los equipos se etiquetarán con un código de barras cuando se recojan.
  • Deberá facilitarse un manifiesto de recogida de los equipos recogidos en el que figure el código de barras y la etiqueta o número de serie del dispositivo que recibió esa pegatina.
  • En las furgonetas habrá rastreadores para poder saber que el conductor no se ha desviado o desviado de su ruta de recogida del día.
  • El papeleo posterior a la recogida incluirá un certificado de destrucción segura de datos para cada dispositivo, vinculando la pegatina con código de barras al número de serie del dispositivo y al número de serie de los discos duros que contiene.
  • Enumerarán las normas a las que se adhieren y las certificaciones que poseen, que deben cubrir temas como la gestión de la calidad, la gestión medioambiental, la gestión de la seguridad de la información y la destrucción segura de material confidencial.

Es bastante fácil encontrar una empresa que realice estos servicios sin coste directo para usted, siempre y cuando se les permita obtener beneficios del reciclaje de dispositivos electrónicos.

De la cuna a la tumba

La salvaguarda de los datos comienza en el momento en que se escriben o crean por primera vez en un dispositivo y dura hasta que ese dispositivo se retira del servicio activo y se garantiza inequívocamente que los datos se han purgado de él.

En resumen

Tus datos guardan muchas claves de parte de tu vida, y su destrucción debe tratarse con tanto cuidado como su protección mientras sirven para algo.

Por suerte, existen muchos métodos para mantenerse a salvo y garantizar la destrucción de sus datos. Eso sí, no confíes en “llevarlo todo a la papelera de reciclaje”: es tan valioso como dejar la llave de la puerta de casa debajo de una maceta.

Marshall Gunnell

Marshall es un experimentado escritor técnico y entusiasta de los videojuegos con sede en Tokio. Es un profesional en el arte de las palabras con cientos de artículos destacados en VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, y mucho más. Sus escritos han llegado a una audiencia masiva de más de 70 millones de lectores.