Ya sea en una unidad de disco para USB, en una unidad de disco duro externa o en un teléfono móvil, los datos van a salir por la puerta—pero ¿qué pasa si el dispositivo se pierde?
Este enero pasado, la organización para el cuidado de la salud, Kaiser Permanente, reportó el robo de una unidad de disco duro externa del automóvil de una empleada. La unidad de disco duro contenía los datos de 15.500 pacientes del norte de California, incluyendo sus nombres, números de registro médico y, en algunos casos, las historias clínicas.
[<img border="0" src="/pcwla2.nsf/0/701DA1AC75FCC4C7852576FC0083D592/$File/53candadoabr10.gif">]
La Ley Hitech de 2009 requiere, entre otros aspectos, que el robo de datos relacionados con el cuidado de la salud sea reportado al Departamento de Salud y Servicios Humanos. Kaiser informó a las autoridades locales, estatales y federales el 8 de diciembre, pero la empleada que perdió la unidad de disco esperó una semana para informarlo.
Al mismo tiempo que ocurrió el robo de Kaiser, los investigadores de la firma alemana de pruebas de penetración SySS GmBH descubrieron una vulnerabilidad en el modo de almacenar las contraseñas de varias unidades cifradas de disco para USB en el sistema anfitrión.
Cuando un usuario escribe una contraseña para cifrar la unidad de disco para USB, la computadora anfitriona autentica la contraseña y envía un código a la unidad de USB para desbloquearla. Los investigadores alemanes detectaron que podían crear una secuencia de comandos para saltar el sistema anfitrión y enviar el código para desbloquear el dispositivo, independientemente de la contraseña que había escogido el usuario legítimo.
VENDEDOR DE USB RETIRA SUS PRODUCTOS
Después que apareciera el documento de SySS sobre el cifrado en las unidades de disco—que se refirió a las unidades de Kingston— Kingston anunció la retirada del mercado de tres modelos de sus unidades de disco para USB cifradas: DataTraveler BlackBox, DataTraveler Secure–Privacy Edition y DataTraveler Elite–Privacy Edition. Los usuarios de estos dispositivos deberían navegar hasta www.kingston.com/driveupdate para más información.
Otros dos fabricantes le siguieron de inmediato. Verbatim dijo que sus unidades de flash para USB Verbatim Corporate Secure y Verbatim Corporate Secure FIPS Edition de 1GB, 2GB, 4GB y 8GB eran vulnerables sin una actualización de firmware. Sandisk notificó que sus versiones de 1G, 2GB, 4GB y 8GB del Cruzer Enterprise CZ22, CZ32, CZ38 y CZ46 estaban afectadas y necesitaban una descarga de firmware.
Un fabricante de USB, Ironkey, informó que sus unidades de disco no estaban afectadas porque Ironkey almacena sus contraseñas dentro del hardware del dispositivo y no en la PC anfitriona, como hacen las otras marcas. “Cada dispositivo de IronKey tiene una clave única de cifrado AES aleatoria que se genera en el dispositivo cuando el usuario lo inicializa”, dijo la compañía en un comunicado de prensa.
Algunas de las unidades retiradas de Kingston, Verbatim y Sandisk estaban certificadas por el gobierno de EE.UU. como unidades de cifrado seguro. Pero esta certificación sólo significa que el producto cumple los requisitos mínimos.
EXTRAVÍO DE MEDIOS
Cifrar una unidad de disco externa, por pequeña que sea, tiene sentido. En el 2009, la compañía británica de seguridad Credent publicó su encuesta anual de USB, la cual indicaba que 4.500 unidades de disco para USB (cifradas y no) quedaron olvidadas en los bolsillos de prendas de vestir enviadas a la tintorería en el Reino Unido. Esto en realidad es una buena noticia: la cifra bajó de las 9.000 reportadas el año anterior. Esta disminución se debe al uso cada vez mayor de los dispositivos móviles. Sin embargo, en un estudio previo realizado por Credent en Londres y en Nueva York se detectó que, cada seis meses, unos 12.500 portátiles, iPod y dispositivos de memoria son abandonados en taxis.
Hace pocos años, se perdió una unidad de disco duro portátil no cifrada que contenía la información personal de 26,5 millones de veteranos y personal militar del Departamento de Asuntos de Veteranos. El equipo fue recuperado y tras una investigación se determinó que no hubo acceso a los registros.