Blog de Internet Security Auditors

Blog de Internet Security Auditors: Protección de información en dispositivos (Parte 2)

Escrito por Internet Security Auditors | Mar 13, 2015 4:00:00 AM
Lejos quedan aquellos días en los que los teléfonos móviles servían mayormente para realizar llamadas y enviar mensajes de texto cortos (SMS), y como mucho, para echar unas partidillas al Snake. Hoy en día, dichos dispositivos han evolucionado para convertirse en lo más parecido posible a un ordenador personal de dimensiones reducidas, permitiendo al usuario interactuar de manera ágil con su sistema operativo para realizar muchas y diversas acciones, incluidas compras online, visualización de películas y otros contenidos, etc.

No obstante, y aunque esto pueda parecer un gran avance, lógicamente tiene también su parte negativa, y como no podría ser de otra manera para estar incluida en esta entrada, afecta a la privacidad y a la seguridad de la información almacenada en dichos dispositivos.

Y es que con la inclusión de los teléfonos móviles inteligentes ( smartphone) en nuestras vidas, cada vez es más habitual que la gente almacene, de manera temporal o permanente, información personal y/o confidencial en este tipo de dispositivos. Esto, como en el caso de los ordenadores personales ( ver primera parte de este artículo), puede conllevar a fugas de información. Para ello, imaginemos que una persona pretende deshacerse de uno de estos dispositivos smartphone (por ejemplo a través de una venta, donación, cesión, etc.), o bien llevarlo a reparar, y dicha persona no ha realizado un borrado correcto de sus datos personales antes de ello. Cuando una tercera persona reciba este dispositivo, y a través de unos conocimientos mínimos del sistema operativo, será capaz de acceder a toda esta información remanente, que puede incluir datos sensibles como claves de cifrado, información médica, fotográficas, vídeos, o datos de tarjetas de pago en el caso de monederos electrónicos.

Para ello, en ésta entrada daremos indicaciones de cómo realizar un borrado seguro de datos en este tipo de dispositivos antes de ceder el dispositivo a una tercera persona. Para hacerlo, nos basaremos en los Sistemas Operativos más comúnmente utilizados por los usuarios en la actualidad en dichos dispositivos: Android, iOS, Windows Phone y Blackberry OS.

Hay que tener en cuenta que al tratarse de un borrado “definitivo” de los datos, una vez sean ejecutados los procedimientos indicados a continuación, los datos eliminados no podrán ser recuperados. Por tanto, se recomienda realizar copias de seguridad externas antes de su realización.

Android

Dicho sistema operativo proporciona herramientas locales de borrado de la información en el propio dispositivo. Para la eliminación de todos los datos personales incluidos en el smartphone, se debe ir a menú  “Ajustes - Privacidad”, y en la sección “Datos personales”, se debe seleccionar la opción “Restablecer datos de fábrica”, tal y como se muestra en la siguiente imagen:

Dicha opción elimina todos los datos del teléfono, incluyendo información sobre cuentas de Google asociadas y configuraciones del equipo. No se eliminará el propio sistema operativo ni las actualizaciones del sistema aplicadas, con lo que el dispositivo seguirá siendo utilizable.

Hay que tener en cuenta además, que dicho procedimiento solo eliminará los datos almacenados en la memoria interna del dispositivo, pero no actuará sobre los datos almacenados en las tarjetas de almacenamiento externas (SD, miniSD, microSD, Memory Stick, Compact Flash, etc). Por tanto, será necesario o bien extraer estas tarjetas del dispositivo antes de su cesión, o bien eliminar también los datos contenidos en dichas tarjetas, a través de aplicaciones de Google Play, como Secure Delete, Secure Wipe o All-In-One  Toolbox.


iOS

Para eliminar de forma segura la memoria y datos internos de un dispositivo que funciona con sistema operativo iOS, se debe seguir el siguiente procedimiento:
  1. Acceder al menú “Ajustes” del teléfono.
  2. Acceder al submenú “General”.
  3. Acceder al submenú “Restablecer”.
  4. Seleccionar la opción "Borrar contenidos y ajustes".
  5. Llegados a este punto, si se dispone de copias de seguridad de los datos en alguna parte del propio dispositivo, se deben incluir también dichas rutas en el proceso de borrado, para asegurar que todos los datos personales serán eliminados de manera permanente.
  6. Una vez incluidas las rutas de las copias de seguridad, se debe seleccionar la opción “Borrar iPhone”.



Windows Phone

Para eliminar los datos contenidos en un smartphone con Windows Phone 7.5 o superior, se deben seguir los siguientes pasos:
  1. Acceder al menú “Configuración”.
  2. Seleccionar el submenú “información”.
  3. Seleccionar la opción “restablecer configuración inicial”.
     Con dicha opción, se eliminaran todos los datos personales contenidos en el dispositivo, y se devolverá al móvil la configuración inicial de fábrica, siendo utilizable por una tercera persona.

    Blackberry OS

    Para eliminar los datos contenidos en un dispositivo con Blackberry OS como sistema operativo, deben seguirse los siguientes pasos:
    1. Seleccionar el menú “Configuración”.
    2. Seleccionar el submenú “Seguridad y Privacidad”.
    3. Seleccionar la opción “Borrado de Seguridad”.
    4. Seleccionar todas las rutas a eliminar con un “check”.
    5. Escribir “blackberry”, y seleccionar la opción “Eliminar Datos”. 

Conclusiones

Debido a la importancia cada vez mayor que tienen dispositivos como los smartphone en nuestras vidas, es también cada vez mayor el volumen y la criticidad de la información personal que los usuarios introducimos en ellos, a veces incluso sin ser conscientes de ello.

Mucho podemos hablar (y hablaremos en futuras partes de este artículo) sobre la protección de dichos elementos, y sobre la exposición de información personal a la que están sujetos sus dueños, al instalar por ejemplo aplicaciones externas no confiables. No obstante, en esta entrada nos hemos centrado en las acciones a realizar por los usuarios para conseguir eliminar toda la información personal contenida en dichos dispositivos, antes de su cesión a un tercero.

Como ya indicamos en la primera parte de este artículo, hay que tener en cuenta que estas técnicas no son 100% eficaces, ya que con equipos profesionales y costosos, y con los conocimientos adecuados, se puede llegar a recuperar los objetos eliminados. No obstante, y si se aplican estas técnicas de manera correcta, los resultados que se obtienen son muy buenos, de manera que se minimiza de manera muy elevada dicha posibilidad.

Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.