Protege tu información de amenazas físicas

Actualizado28 June 2018

Tabla de contenido

...Loading Table of Contents...

    Nos esforzamos mucho para proteger la información que está o pasa a través de nuestros dispositivos digitales. Pero todo ese trabajo puede deshacerse en un instante si uno de esos dispositivos se pierde, lo roban, adulteran, confiscan o se echa a perder. Algunos ejemplos de esto pueden ser un bolso que olvidamos en un bus, una unidad de respaldo que se queda en una oficina cerrada sin llave, una computadora pública no confiable o un vecino con buena vista que mira sobre nuestro hombro. Estas y otras amenazas físicas pueden llevar a que información delicada se pierda o quede expuesta.

    Una cuidadosa evaluación de riesgos, un esfuerzo constante por mantener un ambiente de computación saludable y una política de seguridad escrita pueden ayudarte a evitar este tipo de desastres. Aunque no trabajes en una organización formal, es una buena idea escribir guías y planes de respuesta para ti y quienes trabajan contigo.

    Qué puedes aprender de esta guía

    • Ejemplos de amenazas físicas a tus dispositivos y a la información ahí guardada
    • Cómo proteger tu computadora y otros equipos de algunas de estas amenazas
    • Cómo crear un sistema operativo saludable para computadoras y equipos en redes
    • Varias consideraciones de seguridad para tu casa, tu oficina, espacios públicos y otros lugares donde podrías trabajar
    • Una lista de configuraciones de software que pueden ayudarte a proteger tus dispositivos de amenazas físicas
    • Qué debes tener en cuenta al crear un plan de seguridad para tus dispositivos, para ti y quienes trabajan contigo

    Evalúa tus riesgos

    Las Organizaciones y las personas a veces subestiman la importancia de mantener sus oficinas y equipos a salvo. Incluso quienes toman medidas para proteger hardwares, como computadoras y dispositivos de respaldo, de robos, de climas extremos y otras amenazas físicas suelen no documentar estos pasos en una política de seguridad escrita. Elaborar esas políticas puede requerir aportes de varias personas, y mantenerlas puede consumir mucho tiempo. Sin embargo, estas actividades son extremadamente valiosas, en parte porque ayudan a asegurar que no se dejen de lado detalles pequeños pero importantes.

    Muchas organizaciones tienen buenos candados en las puertas de sus oficinas, por ejemplo, pero muy pocas tienen una lista actualizada de cuántas llaves se crearon y a quiénes se las dieron. Los documentos con las políticas son una manera de llegar a un consenso de esos detalles y una manera de registrar esos detalles a lo largo del tiempo. Para crear una política de seguridad que sea útil, primero deberás evaluar los riesgos y vulnerabilidades que enfrentas y valorar las diversas maneras en que tu información se puede perder o ver en riesgo y considerar el impacto. Conforme a esto:

    • Ten en cuenta los canales de comunicación que usas y cómo los usas. Los ejemplos pueden incluir cartas, faxes, teléfonos móviles, teléfonos fijos, correos electrónicos, Skype, redes sociales y plataformas de mensajería seguras, por nombrar algunas.

    • Ten en cuenta cómo guardas información importante o delicada. Discos duros de computadoras, correo electrónico, servidores web, memorias USB, discos duros externos, CD, DVD, teléfonos móviles, papel impreso y notas a mano son los medios más comunes de guardar datos. En cada caso, asegúrate de saber si los datos están encriptados o no y quién tiene acceso a las llaves y contraseñas necesarias para descifrarlas.

    • Ten en cuenta dónde se ubican esos artículos físicamente. Pueden estar en la oficina, en casa, en el equipaje de alguien, en un contenedor de reciclaje o, cada vez más, "en algun lugar de internet". En este último caso, puede ser difícil determinar la ubicación real, física de una información particular.

    • Ten en cuenta cómo destruyes datos delicados cuando ya no los necesitas. Muchos trituradores de papel funcionan bien con CD y DVD como con documentos de papel. Muchos taladros y la mayoría de martillos funcionan con discos duros.

    Ten en cuenta que una información determinada puede ser vulnerable de diferentes maneras. Así como puedes confiar en software para proteger el contenido de una unidad de memoria USB de software malicioso, debes confiar en un detallado plan de seguridad física para proteger la misma información de robos, pérdida o destrucción. Algunas prácticas, como tener una buena política de respaldo externo, son útiles contra amenazas digitales y físicas, mientras otras son más específicas.

    Cuando optas por llevar una unidad de memoria USB en tu bolsillo y no en una bolsa plástica sellada en el fondo de tu equipaje, estás tomando una decisión sobre seguridad física, aunque la información que tratas de proteger sea digital. Como suele ser, la política correcta depende en gran parte de la situación. ¿Estas recorriendo la ciudad o cruzando una frontera? ¿Será otra persona quuen cargue tu bolso? ¿Está lloviendo? Estas son las preguntas que debes tener en cuenta al tomar decisiones como esta.

    Crea tu política de seguridad física

    Luego de evaluar las amenazas a las que puedes ser vulnerable, debes considerar lo que estás haciendo actualmente — y qué pasos adicionales puedes dar — para mejorar tu seguridad física y la seguridad de tu información. Analiza estos pasos con otros, anotarlos y revisarlos de vez en cuando es una buena manera de mantener una política de seguridad detallada. La mayoría piensa en políticas de seguridad en el contexto de una organización o una oficina, pero muchos de los mismos principios se aplican a personas, familias y redes informales.

    El documento de tu política debe brindar guías generales para ti, para quienes trabajan contigo y, de ser pertinente, para los recién llegados a tu organización. También contener una lista de acciones a tomar como respuesta a diversos incidentes potenciales. Esto es particularmente importante porque el estrés y el caos de una emergencia de seguridad física puede hacer que sea difícil responder rápida y adecuadamente. Tener un punto de partida bien documentado puede ayudar a evitar estas parálisis. A todos los involucrados se les debe dar tiempo suficiente de leer la política, hacer preguntas al respecto, colaborar e implementar las normas y prácticas que describe.

    Tu política de seguridad contendrá diversas secciones, dependiendo de las circunstancias. Algunos ejemplos pueden incluir:

    • Una política de acceso a la oficina referida a la distribución de llaves, cámaras de circuito cerrado de televisión, sistemas de alarma, contrato de limpieza y otras consideraciones similares.
    • Una política de invitados, que incluya qué partes de la oficina deben quedar restringidos a visitantes autorizados.
    • Un inventario de tus equipos, que incluya número de serie y descripciones físicas.
    • Una política de cómo desechar de manera segura la basura de papel que contenga información delicada.
    • Una política de cómo retirar información digital de dispositivos que ya no se usan.
    • Una política sobre uso de dispositivos personales para el trabajo.
    • Información sobre acceso a asistencia legal.

    Es probable que tu política se refiera también a prácticas relacionadas con viajes. Algunos ejemplos pueden incluir:

    • Cómo interactuar con personal de migraciones y de seguridad en las fronteras en diversas circunstancias.
    • Políticas de "sistema de compañerismo" para viajes a regiones conflictivas que incluyan qué hacer si un colega no se registra como estaba planeado.
    • Políticas relacionadas con datos o software delicados que pueden considerarse incriminatorios.
    • Información sobre seguros de viaje, de ser pertinentes.

    Los procedimientos de respuesta a emergencias pueden incluir:

    • A quién contactar en casos de incendios, inundaciones u otros desastres naturales.
    • Cómo reaccionar ante un robo o una incursión en la oficina.
    • Cómo contactar a las organizaciones que dan servicios como energía eléctrica, agua y acceso de internet.
    • Qué medidas tomar si se pierde o roba un dispositivo.
    • A quién se debe notificar si se revela o extravía información delicada.
    • Cómo recuperar información del sistema de respaldo externo.
    • Cómo llevar a cabo algunas reparaciones claves de emergencia.

    Estos documentos de políticas deben guardarse de manera segura, hacerles frecuentes copias de respaldo y revisarlos para asegurarse que estén actualizados.

    Protege tu información de intrusos físicos

    Personas maliciosas que busquen acceder a tu información delicada — o a hardware valioso en donde se guarda esta información — representan una amenaza física clave. Hay varias medidas que puedes tomar para ayudarte a reducir el riesgo de invasiones físicas. Las categorías y sugerencias a continuación son meramente una base sobre la cual deberás elaborar de acuerdo con tu propio ambiente de seguridad.

    Cerca de tu casa u oficina

    Las consideraciones de seguridad van más allá de las habitaciones y edificios dentro de los cuales vives y trabajas. A continuación, te presentamos algunas sugerencias para ayudarte a proteger tus datos de amenazas en las zonas circundantes.

    • Conoce a tus vecinos. Dependiendo del clima de seguridad donde trabajas, esto puede brindarte una de dos oportunidades. Si tienes suerte, tus vecinos serán aliados que pueden ayudarte a no perder de vista tu casa u oficina. Si no la tienes, serán parte de la lista de potenciales amenazas que debes abordar.

    • Revisa cómo aseguras las puertas, ventanas y otros puntos de entrada que lleven a tu casa u oficina.

    • Evalúa instalar sensores de movimiento o cámaras de circuito cerrado de televisión alrededor de tu oficina. Este tipo de vigilancia tiene consecuencias en la privacidad de quienes trabajan en o cerca del edificio, pero puedes ser una manera efectiva de captar evidencia de un robo o una incursión en la oficina, particularmente si las cámaras están configuradas para transmitir video a una ubicación fuera de la oficina. Por supuesto, esos videos deben estar encriptados, tanto en tránsito cómo en el lugar en que se almacenen.

    • Trata de crear una zona de recepción donde se puedan reunir con los visitantes cuando entren a la oficina, y un salón de reuniones que esté separado del espacio de trabajo habitual (si trabajas fuera de casa, esto puede significar que traslades documentos y equipo a un dormitorio u otro espacio privado cuando te reúnas con visitantes). Evita dejar Ethernet o puertos USB accesible de esas áreas "públicas" de tu oficina. Esto incluye puertos en dispositivos como impresoras, monitores y proyectores que estén en lugares donde los visitantes podrían quedarse solos.

    • Es importante que elijas una contraseña fuerte para tu red inalámbrica para que otros no puedan unirse a tu red o supervisar tu tráfico. Si tu red inalámbrica depende de una contraseña débil — o funciona sin contraseña — cualquiera en las cercanías es un intruso potencial. No debes pensar en esto como seguridad física, sino como un atacante que puede unirse a tu red inalámbrica que tiene el mismo acceso que alguien que puede entrar a hurtadillas a tu oficina y conectar un cable Ethernet. Los pasos precisos para asegurar una red inalámbrica dependerán de tu punto de acceso, pero debes buscar la configuración de una contraseña WPA2 y, de ser necesarios, revisar la Guía de Tácticas sobre como crear y mantener contraseñas fuertes.

    • Cuando configures tu red inalámbrica, evalúa ponerle un nombre que no te identifique claramente, ni a tu organización ni la ubicación de tu punto de acceso.

    • Muchos puntos de acceso te permiten crear una red inalámbrica separada para invitados. Al hacerlo así, puedes darles a tus visitantes acceso a internet sin darles a conocer tu contraseña ni autorizarlos a acceder a dispositivos locales cuando estén en las cercanías.

    • Ten cuidado de unidades de memoria USB que puedas encontrar. A menudo, las personas se sienten tentadas de conectar dispositivos de almacenamiento desconocidos en sus computadoras para ver si pueden averiguar de quién pueden ser. Lamentablemente, esos dispositivos son una fuente común de software malicioso. En algunos casos, esparcen software malicioso adquirido de computadoras infectadas en las que se han usado previamente. En otros casos, los atacantes los crean intencionalmente y los "dejan caer" cerca de la casa u oficina de una persona u organización específica.

    Dentro de tu casa u oficina

    Tanto los ataques criminales o con motivaciones políticas pueden tener razones para estar tras tus datos. Pueden estar buscando información financiera, datos delicados relacionados con tu trabajo o detalles personales que usan para intimidarte, chantajearte o hacerse pasar por ti. Los ataques de delincuentes o con motivaciones políticas suelen ser difíciles de distinguir, y los intentos de obtener datos sensibles a menudo parecen intentos de robar hardware valioso. Por lo tanto, es importante tomar precauciones donde vives y donde trabajas.

    A continuación, algunas recomendaciones sobre cómo proteger tus datos dentro de tu casa o oficina.

    • Si vives con otras personas o compartes una oficina con otra organización, conversa con ellos sobre seguridad. Trata de determinar qué comportamiento pueden esperar entre ustedes y con los visitantes.

    • Evalúa comprar una caja fuerte para tu computadora personal o un gabinete con candado o cerrojo para documentos y equipos delicados.

    • Averigua qué protecciones legales tienes contra las autoridades, arrendadores y otros terceros que puedan querer entrar a tu casa u oficina.

    • Evita tender cables de Ethernet fuera del edificio para evitar que quienes tengan llaves los adulteren cuando el edificio esté vacío.

    • De ser posible, deja cerrado con llave equipos de redes como servidores, enrutadores, interruptores y módems dentro de una habitación segura o un gabinete con llave. Un intruso con acceso físico a ese equipo puede instalar software malicioso que puede robar datos en tránsito o atacar otras computadoras en tu red.

    • La mayoría de armazones de las computadoras de escritorio tiene una ranura donde puedes conectar un candado que le hará más difícil entrar a alguien que no tengo la llave. Deberías evaluar esta característica al adquirir hardware.

    • Usa cables de seguridad que se cierren con llave, donde sea posible, para evitar que los intrusos se roben computadoras de escritorio o portátiles.

    • Por lo general, estamos rodeados de equipos que consideramos que son televisores, cámaras, teléfonos, impresoras, consolas de juegos de video y otros dispositivos de Internet de las Cosas (IoT, por su nombre en inglés). En algún punto, todas estas "cosas" son computadoras, y vienen con muchos de los mismos riesgos. Simples hábitos físicos — como cubrir los lentes de las cámaras y desconectar "dispositivos inteligentes" cuando no estén en uso — pueden ayudar a veces. Pero siempre debes pensarlo dos veces antes de conectar un equipo nuevo a la red de tu casa u oficina.

    En tu escritorio o cubículo

    Hay varios buenos hábitos de seguridad que atañen al lugar específico donde trabajas.

    • Posición de la pantalla de tu computadora para evitar que otros lean lo que aparece. Recuerda tener en cuenta las ventanas, puertas abiertas, áreas de espera de visitantes y otras consideraciones similares.

    • Evalúa adquirir filtros de privacidad para tus dispositivos. Los filtros de privacidad hacen que sea difícil leer una pantalla a menos que la tengas directamente frente a ti. Están disponibles para computadoras portátiles, monitores externos, tabletas y smartphones.

    • Si trabajas con documentos en papel o dejas notas físicas para ti, sé consciente de qué información es accesible en tu escritorio. Calendarios de papel, organizadores, agendas, directorios telefónicos y notas autoadhesivas son inmunes al software malicioso, pero también son imposibles de encriptar. Si los roban, copian o fotografían, pueden revelar información extremadamente delicada.

    En espacio públicos

    Pocas personas trabajan exclusivamente en sus casas y oficinas. A continuación, algunas sugerencias relacionadas con trabajar en espacios públicos:

    • Evita usar computadoras portátiles y teléfonos móviles en espacios públicos, a menos que tengas razones para creer que estás a salvo. Y trata de evitar poner esos dispositivos a la vista cuando no los estés usando. Evalúa llevar tu laptop en algo que no parezca el estuche de una computadora portátil.

    • Ten tus dispositivos móviles, incluida tu computadora portátil, contigo en todo momento cuando viajes o te quedes en un hotel. Evalúa viajar con un cable de seguridad y practica encontrar espacios de trabajo cerca de objetos en los que puedes conectarlo. Los ladrones suelen aprovechar la hora de las comidas y visitas a los baños para robar equipos sin supervisión de habitaciones de hotel y cafés, respectivamente.

    • Cuando trabajes en público, es todavía más importante que cuides la posición de tu pantalla para que nadie más la pueda leer. Si trabajas en público con frecuencia, debes comprar filtros de privacidad para los dispositivos de uses.

    • Los espacios públicos suelen tener redes inalámbricas inseguras. Aunque se haya configurado una contraseña fuerte, otras personas en la misma red tienen la capacidad de vigilar tu actividad en internet y leer los datos no encriptados que envías y recibes. Cuando trabajes en ambiente así, debes usar una red privada virtual (VPN, por su nombre en inglés) o el navegador Tor para evitar estos ataques. Puedes leer más acerca de estas herramientas en la Guía de Tácticas sobre cómo permanecer anónimo y eludir la censura en internet.

    Software y configuraciones relacionadas con seguridad física

    A continuación, algunas sugerencias sobre cómo configurar tu software para hacerlo menos vulnerable a amenazas físicas. Puedes encontrar más información sobre estos temas en las guías de Herramientas y Tácticas:

    • Cuando reinicies tu computadora, asegúrate de que pida una contraseña. Lee las Guías Básicas de Herramientas de Seguridad para Windows y Linux para más detalles. Elige una contraseña fuerte, como vimos en la Guías de Tácticas sobre cómo crear y mantener contraseñas fuertes.

    • Encripta el almacenamiento en todas tus computadoras, tabletas y smartphones. Para información adicional, ver las Guías de Tácticas sobre cómo proteger los archivos delicados en tu computadora y cómo usar smartphones con tanta seguridad como sea posible.

    • Si tienes servidores en tu oficina, trabaja con quien los mantenga para asegurarte de que la información que contengan estará encriptada si los apagan o desconectan.

    • Acostúmbrate a cerrar tu pantalla cada vez que te alejes de tu computadora. Todas las computadoras Windows, Mac y Linux tienen atajos del teclado que te permiten hace esto rápida y fácilmente.

    • Habilita el bloqueo de pantalla en tu smartphone para que las personas con acceso físico a tu dispositivo no pueden ver los contenidos tan fácilmente.

    • Hay algunas configuraciones en el BIOS de tu computadora que son relevantes a la seguridad física. Primero, debes configurar tu computadora para que no arranque desde tu dispositivo USB, o unidades de CD-ROM o DVD. Segundo, debes configurar un grupo de contraseñas en el propio BIOS, para que un intruso no pueda simplemente deshacer la configuración mencionada arriba. Como siempre, asegúrate de elegir una contraseña fuerte.

    • Si usas un administrador de contraseñas para recordar las contraseñas de inicio de sesión y BIOS para una computadora en particular, como se vio en la Guía de Tácticas sobre cómo crear y mantener contraseñas fuertes, asegúrate de que tienes una copia de esa base de datos de contraseñas en un dispositivo diferente. De otro modo, te puedes quedar sin acceso.

    • Si tu smartphone, tableta o computadora portátil tiene la función "Encuentra mi dispositivo", evalúa activarla para que puedas ubicar el dispositivo o borrar remotamente su contenido si lo pierdes, te lo roban o lo confiscan.

    Mantener un ambiente saludable para tu equipo

    Las computadoras, equipos en red y dispositivos de almacenamiento de datos pueden ser bastante frágiles. Lo mismo ocurre con las cámaras de circuito cerrado de televisión, impresoras, "dispositivos inteligentes" y otro hardware que instalamos en y cerca de nuestra casa y oficina. Los dispositivos como estos no siempre se adaptan bien a energía eléctrica inestable, temperaturas extremas, polvo, humedad, agotamiento mecánico y otros riesgos similares.

    Las fluctuaciones eléctricas, como sobrecarga de energía, apagones y bajones de tensión pueden causar daño físico a las computadoras y otros dispositivos digitales y dañar los componentes electrónicos o destruir datos en los discos duros. Hay varias cosas que puedes hacer para proteger tu equipo de esas amenazas:

    • Como mínimo, todos los equipos electrónicos deben estar conectados a protectores de sobrecargas. No todos los enchufes múltiples con interruptor contienen protectores de sobrecargas, así que debes revisar esto cuando equipes tu casa u oficina. Un protector de sobrecarga debe especificar un voltaje máximo y una lista de escalas en joules. Si tu suministro de energía es particularmente inestable, tal vez necesites también un filtro de energía o un acondicionador de línea.

    • Si puedes adquirirlos, evalúa instalar Sistemas de Alimentación Ininterrumpida (UPS) y usarlos en vez de protectores de sobrecargas comunes. Un UPS estabilizará tu suministro de energía y dará energía temporal en caso de un apagón. Son particularmente valiosos para servidores locales y computadoras de escritorio que no tienen batería interna.

    • Trata de usar enchufes eléctricos que tengan líneas de tierra. Cuando te mudes a otro lugar, trata de probar el suministro de energía antes de enchufar un equipo importante. Si funciona deficientemente con lámparas, luces y ventiladores, tal vez debería pensarlo dos veces antes de usarlo para dar energía a tus computadoras.

    La energía irregular es solamente una de muchas amenazas ambientales que debes tener en cuenta al configurar. A continuación, sugerencias adicionales:

    • Evita colocar hardware importante en lugares de fácil acceso como pasillos y áreas de recepción o cerca de una ventana. Ubica los protectores de sobrecargas, UPS, enchufes múltiples con interruptor y cables de extensión donde no pueden ser desenchufados ni apagarse por tropiezos accidentales.

    • Cuando tengas acceso a cables de computadora de alta calidad, protectores de sobrecarga y enchufes múltiples con interruptor, evalúa elegir algunos adicionales. Enchufes múltiples con interruptor chispeantes que se caen de los enchufes de la pared y no logran tener los enchufes seguros son bastante comunes en algunos lugares del mundo. También son muy peligrosos (incluso antes de que los empiecen a "arreglar" con cinta aislante).

    • Si guardas una computadora funcionando en un gabinete, asegúrate de que tenga una ventilación adecuada para evitar que se sobrecaliente. El equipo de computación no debe estar cerca de radiadores, conductos de calefacción, acondicionadores de aire u otros ductos.

    Lectura adicional