La tecnología avanza a pasos agigantados y con ella la necesidad de renovar equipos y dispositivos. Sin embargo, lo que muchos no consideran es el riesgo que conlleva deshacerse de un equipo sin las precauciones adecuadas. Un claro ejemplo de esto son los routers de segunda mano que, según una investigación de ESET, pueden revelar secretos cruciales de una empresa u organización.
El proceso de renovación de equipos en las empresas es común. Un router que presenta fallos se retira y se reemplaza por uno nuevo. Pero, ¿qué sucede con el router descartado? ESET, en su investigación, adquirió varios routers de segunda mano y descubrió que muchos de ellos no habían pasado por un proceso de borrado de datos. Estos dispositivos contenían información sensible que podría ser utilizada por cibercriminales para identificar a los propietarios anteriores y conocer detalles de sus configuraciones de red.
El estudio reveló que el 56% de los routers adquiridos contenían datos y detalles de configuración. En manos equivocadas, esta información puede ser suficiente para lanzar un ciberataque. Un delincuente podría obtener acceso inicial a la red y, a partir de ahí, investigar y detectar activos digitales valiosos de la empresa.
Un caso real que resalta la gravedad de esta situación es el del Banco de Bangladesh. Según algunas fuentes como la BBC, víctima de un robo debido a que utilizaba routers de segunda mano como cortafuegos. Esta negligencia permitió a los ciberdelincuentes acceder a la red del banco y llevar a cabo el ataque.
Los cibercriminales han evolucionado en sus métodos de ataque, y la adquisición de credenciales de acceso a redes corporativas se ha convertido en un negocio lucrativo. Según una investigación de KELA Cybercrime Prevention, el precio promedio de estas credenciales ronda los 3 mil euros. Si un router usado, que puede adquirirse por una suma mucho menor, proporciona acceso a una red, el retorno de inversión para los delincuentes es significativo.
Sin embargo, lo más preocupante es la falta de responsabilidad de las empresas. A pesar de que se alertó a las compañías sobre el acceso público a sus datos, muchas ignoraron las llamadas o confirmaron que los dispositivos habían sido enviados para su destrucción, algo que claramente no había ocurrido.
La lección es clara: es esencial que las empresas implementen procesos de limpieza certificados y auditados regularmente al desechar cualquier dispositivo. La seguridad no debe tomarse a la ligera, y es responsabilidad de todos garantizar que la información sensible no termine en manos equivocadas.