Basureo

En los últimos tiempos han venido surgiendo noticias en medios generales en relación a las “investigaciones” que diferentes ayuntamientos realizan o se plantean realizar para detectar y multar a ciudadanos que no reciclan su basura; la idea es simple: se revisan las bolsas del contenedor en busca de aquellas que contienen residuos de varios tipos (es decir, las correspondientes a los que no reciclan), y en esas mismas bolsas se busca información que pueda dar indicios sobre el vecino que no ha reciclado (recibos del banco con datos personales, facturas, publicidad…). Una vez localizado dicho vecino, se le multa.

Este tipo de noticias plantean serias dudas en materias de seguridad; en primer lugar, tenemos un problema legal: ¿quién está legitimado para buscar en mi basura? Según unos, nadie (mi basura es mía y sólo yo puedo mirarla), y según otros (los ayuntamientos), una vez se deposita la bolsa en el contenedor, la basura ya no es nuestra, sino que es pública (o algo así). Personalmente no entro a valorar este aspecto legal (lo desconozco, y aprovecho para pedir, si alguien entre nuestros lectores conoce el tema, más información al respecto), pero sí que me preocupa la posible violación de la confidencialidad que se produce al revisar basuras ajenas (dicen por ahí que es posible conocer a cualquier persona analizando su basura). Por lo que a mí respecta, trato siempre de destruir o separar cualquier cosa que permita detectar al “propietario” (en este caso yo) de la basura, sobre todo, y para matar varios pájaros de un tiro, los papeles que amablemente me envían los bancos para recordarme la enorme cantidad de dinero que tengo en mis cuentas en Suiza, los pocos recibos que tengo que pagar al mes con todo ese dinero, y la ridícula hipoteca en la que me metí hace un tiempo :)

La segunda gran duda que plantea este método es la fiabilidad del mismo; todos sabemos que el correo no es precisamente el medio más seguro de envío de información, y que en muchas ocasiones es muy fácil acceder a la correspondencia de cualquier vecino (metiendo la mano en su buzón o simplemente esperando a que por error metan su correspondencia en el nuestro). No hace falta ser muy listo para imaginar a ese vecino que todos tenemos hurgando en nuestro buzón, sacando nuestras cartas, depositándolas en una bolsa de basura sin separar y sentándose a esperar para ver cómo la Policía Local nos multa por malos ciudadanos. Apañados estamos.

Hace unos años el basureo (trashing) era una técnica habitual en cualquier auditoría de seguridad que se preciara; la información que se podía obtener en una papelera o un cubo de basura era impresionante: nombres de usuario y contraseñas, datos financieros, ofertas, datos de los empleados… Un método mucho más rápido que andar buscando vulnerabilidades en un firewall, por supuesto. Hoy en día todos nos hemos acostumbrado a utilizar estupendas destructoras de papel —algún día hablaremos de ellas— que siempre usamos para destruir cualquier tipo de información interna (¿verdad?), por lo que estos métodos de auditoría no se utilizan tanto como hace unos años; quizás noticias como esta hagan que el trashing se vuelva a poner de moda entre los equipos de auditoría.

En cualquier caso, dos consejos: no tiréis a la basura ningún dato que pueda considerarse confidencial y, por supuesto, reciclad :)

* * *

(N.d.E.) Esta semana la encuesta está relacionada con la cuestión que planteaba Toni arriba: la basura que generamos, ¿es nuestra durante todo “su ciclo de vida”, o por el contrario deja de serlo cuando sale por nuestra puerta? Les planteamos además un par de opciones adicionales que pueden ser interesantes:

[poll id=”7″]

En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que la mayor parte de los lectores se decantan por informar del error y no dar ningún detalle; es también esa la opción escogida por David, la persona que planteaba la encuesta. En segundo lugar, cuatro lectores apoyaban la idea de dar toda la información posible, cuestión que desaconsejo por el riesgo de proporcionar información sensible al posible atacante (versiones, rutas, usuarios, etc.). De hecho, creo preferible enmascarar el error completamente (3 usuarios). Por último, felicitar a esos tres usuarios que no tienen, no saben que tienen, o prefieren no saber que tienen errores en sus aplicaciones.

[poll id=”6″]

Nada más; S2 Grupo se muda de oficinas este fin de semana, con todo lo que ello implica. La semana que viene les pondré alguna foto del nuevo emplazamiento, por simple narcisismo. Pasen en cualquier caso un buen fin de semana. Nos vemos el lunes, más y mejor.

Comments

  1. Pues ahora que lo dices, y pensando en la de cosas que se puede encontrar uno en la basura, a nuestra bolsa de basura hay que implantarle medidas de seguridad de nivel medio porque, como dice el RDLOPD, es un “conjunto de datos de carácter personal que ofrecen una definición de las características o de la personalidad del ciudadano y que permiten evaluar determinados aspectos de la personalidad o del comportamiento de los mismos”…. ¿Pero cuáles? Porque soporte automatizado no es…entonces como al papel…nivel medio…mmmm…el ayuntamiento tendrá que poner un control de acceso físico al contenedor…mmmm….¿los basureros han firmado un acuerdo de confidencialidad?…¿y si quiero ejercer mis derechos ARCO?….mmmmm…..voy a seguir trabajando.

  2. Buenas!

    Pues esta práctica según tengo entendido en Madrid se viene haciendo desde hace tiempo. Eso sí, sin buscar datos que puedan identificar al vecino que no recicla, por que la finalidad es que se recicle, no detectar al vecino despreocupado por la ecología y perseguirlo hasta el inframundo.

    Para ello se supone que informan a la comunidad de que no está reciclando correctamente, dan varios avisos y si esta persiste en su actitud, ¡multazo! Obviamente no he conocido ningún caso, pero quien sabe,, seguro que algún dia sale a la luz.

    PD: Si dejo un billete de 50€ en la puerta de la calle con una señal, propiedad de ****, ¿el billete es de quien se lo encuenta, o mio? Pues creo que esto es igual, ¿algún abogado en la sala? :D

    Salu2

  3. Francisco Benet says

    Vaya, si que es peliagudo esto de tirar la piel del platano del postre junto a la carta de factura de vodafone realmente machacada y entre medias de las sobras del potaje…En fin, los ayuntamientos harían mejor acercando al individuo los contenedores para reciclar además de vaciarlos más a menudo. En mi caso se nos multa por dejar la basura fuera del contenedor, pese a que este sea de reciclaje. En fin, mi basura es mia, no se si existe algúin decreto ley que me obligue a reciclar (¿existe alguno para que la Administración no use papel o este obligada a reciclar?) pero el “uso” de mis datos es una intromisión de mi intimidad, este en la basura o no. ¿O acaso cuando un cartel esta en la calle podemos hacerle una foto y usarlo a nuestra conveniencia?

    No soy nada experto en el tema, pero creo que los ayuntamientos tienen mejores cosas que hacer.

  4. Antonio Villalon says

    A la vista de todos los comentarios, parece que lo que más claro tenemos es que necesitamos un abogado para que nos aporte el punto de vista estrictamente legal. Como dice GigA… ¿algún abogado en la sala? :)

    Saludos
    Toni

  5. Al respecto del artículo de Toni, tengo que señalar que ya hay “polis” investigadores de basuras ajenas. El caso se da, cómo no, en el “GUAYOM UNI”, cómo dirán el el próximo festival de Eurovisión, Reino Unido para los que no hayan entendido el chiste. A un policía de la City, le “robaron la identidad”, rebuscando en su basura, y produciéndole gastos tremendos por los pagos fraudulentos desde sus cuentas bancarias.

    Hoy, este policía se dedica a “rebuscar” oficialmente en basuras ajenas depositadas en la vía pública, y con los medios que posee, se presenta en la casa del incauto haciéndole exhibición de que con lo que tira a la basura, alguien podría suplantarle en operaciones económicas, más o menos importantes.

    En uno de los casos presentados cómo simulación de identidad, el delincuente consiguió comprar un Audi TT con el nombre de su víctima. Y claro… a pesar de ser delito, ¿quién se hace cargo de de la factura?
    Cuidado con lo que tiráis a la basura, que la crisis aguza el ingenio, y si ensuciarse un poco significa obtener beneficios, muchos ladrones no tendrán reparos en mancharse el pelo de restos de cocido.

    S@ludos

Trackbacks

  1. […] nos hacia referencia a una técnica habitual en las auditorías de seguridad hace algunos años, el basureo (trashing), a partir de la cual podíamos obtener gran cantidad de información a partir de una […]

  2. […] nos hacia referencia a una técnica habitual en las auditorías de seguridad hace algunos años, el basureo (trashing), a partir de la cual podíamos obtener gran cantidad de información a partir de una […]