¿Cómo proteger una memoria USB o un disco duro externo?

Cultura tecnológica

El cifrado de los dispositivos extraíbles garantiza la confidencialidad de los datos que contienen

El robo de datos confidenciales es la pesadilla de cualquier empresa, y no sin razón. De hecho, según el barómetro “protección de datos” de IBM , en el primer semestre de 2020, el número de fugas de datos aumentó en un 20%.

En el 15 % de los casos, se trata del robo de dispositivos periféricos (memoria USB, disco duro, ordenador portátil). En el 26 % de los casos, estas fugas de archivos sensibles son accidentales (pérdida del dispositivo de almacenamiento, publicación por error en Internet, envío de archivos a un destinatario equivocado).

Teniendo en cuenta de que los dispositivos USB (pendrive, disco duro externo), así como las tarjetas de memoria (tarjeta SD), pueden duplicarse, robarse o perderse fácilmente. Es imperativo definir una estrategia para proteger las memorias USB y los discos.

Por lo tanto, las empresas deben establecer normas de gestión para el uso de estos dispositivos de almacenamiento, y para ello pueden basarse en las recomendaciones de la ANSSI (Agencia Nacional francesa para la Seguridad de los Sistemas de Información).

ALMACENAMIENTO USB, ¿QUÉ ESTRATEGIA DE SEGURIDAD PODEMOS APLICAR?

Los dispositivos de almacenamiento USB (disco duro, memoria USB) se utilizan habitualmente en el entorno profesional.

Ya sea para hacer copias de seguridad de los datos o para intercambiar archivos de un puesto de trabajo a otro, el uso de memorias USB debe regularse y protegerse mediante normas y buenas prácticas.

En los últimos años, se han propagado muchos malwares en las empresas, que han infectado estaciones de trabajo y servidores. En cuanto se conecta a un puerto USB, el malware presente en el pendrive infecta la máquina y luego se propaga por la red informática de la empresa.

Este modo de ataque es especialmente codiciado por los piratas informáticos ya que, en este caso, es el empleado quien implanta sin saberlo el pendrive infectado en la empresa.

Ya se trate de una memoria USB encontrada en el transporte público, por ejemplo, o de un pendrive de obsequio de una feria comercial, son numerosos los escenarios de ataque que pueden apuntar a su empresa. Para protegerse de esta amenaza, pueden utilizarse unas máquinas llamadas estaciones blancas antes de usar una nueva memoria USB en la red informática.

Una estación blanca es un ordenador cuya función es escanear la memoria USB en busca de virus informáticos.

Este método evita que la red informática se vea comprometida por dispositivos infectados.

 

La trazabilidad técnica y organizativa de los dispositivos extraíbles (disco externo, pendrives) garantiza que el uso de estos equipos observe las normas establecidas por la empresa.

Una buena práctica consiste en marcar visualmente el equipo con una marcación de color (una etiqueta) y un número de identificación. Cada equipo se inscribe en un registro y se asigna a un uso específico.

Este equipo extraíble también puede protegerse en una caja cerrada destinada a tal efecto. También se recomienda tapar físicamente o desactivar los puertos USB en las máquinas que no los utilicen.

Si le interesan los temas de trazabilidad y seguridad física de los equipos, la ANSSI ha publicado la guía para la protección de sistemas esenciales en la que encontrará ejemplos de escenarios de ataque y recomendaciones para proteger los equipos USB.

Independientemente de la causa de la pérdida de sus datos, los datos guardados en su dispositivo de almacenamiento deben cifrarse sistemáticamente. El cifrado (comúnmente conocido como encriptación) permite convertir cualquier formato de archivo (texto, vídeo, audio) en indescifrable.

De este modo, para descifrar (desencriptar) sus datos, sólo una clave de descifrado o una contraseña permiten acceder al contenido del archivo.

Con la ayuda de un cifrado simétrico como AES (cifrado de uso militar), su archivo estará protegido contra ataques avanzados. En caso de que le roben su memoria USB o de que una persona no autorizada acceda a ella, no será posible reutilizar los archivos previamente cifrados. Sólo se podrían leer los archivos no cifrados.

Cabe señalar que lo que se cifra no es el dispositivo, sino los datos propiamente dichos. Cualquier memoria USB o disco duro del mercado puede guardar indistinta y simultáneamente datos cifrados y sin cifrar.

En las empresas, es preferible imponer el cifrado total de los dispositivos extraíbles para garantizar que ningún dato sensible pueda salir de la empresa a través de este medio. Una solución de cifrado de calidad puede mostrar distintos comportamientos ante la inserción de un pendrive o de un disco duro en un ordenador de la red de la empresa.

Con la movilidad de los empleados y la mayor adopción del teletrabajo, el riesgo de pérdida o robo de los equipos informáticos es importante. Para evitar revelar la información confidencial existente en la máquina, se recomienda cifrar las particiones del equipo (sistema y datos).

Con la solución CRYHOD desarrollada por PRIM’X, la totalidad de la máquina está cifrada.

El acceso a la máquina se realiza mediante una autenticación previa al arranque (antes de que se inicie el sistema operativo) utilizando una contraseña, un certificado o un token USB de seguridad.

La implantación de esta solución se realiza a través de herramientas de administración comunes como Microsoft System Center Configuration Manager (SCCM) y puede basarse en Active Directory.

De este modo, el equipo está protegido a lo largo de su ciclo de vida: si no se proporciona una contraseña o una clave a la máquina, ésta no se pone en marcha y los datos permanecen inaccesibles. Esta protección se extiende a la fase de reciclaje del equipo.

Para más información sobre la solución CRYHOD, consulte la ficha de producto de la solución.