En los dos últimos años, el 70% de los negocios ha rastreado la pérdida de información sensible o confidencial en las memorias USB. Si bien tales pérdidas suceden cuando los dispositivos se pierden, 55% de los incidentes tiene que ver con malware que ha introducido código malicioso.

Estos resultados provienen de una nueva encuesta a 743 profesionales IT y de seguridad de la información en Estados Unidos, llevada a cabo por Ponemon Institute en julio pasado y patrocinada por la fabricante de memoria flash, Kingston Digital. Cuidadosas de los riesgos para la seguridad de la información y la propiedad intelectual, no todas las organizaciones permiten el uso de memorias USB. En efecto, 36% de los respondientes a la encuesta, entre los que había empleados de entidades gubernamentales, dijo que el proceder de sus respectivas organizaciones sobre esos medios de almacenamiento era “cierre completo mediante el uso de una solución de software que bloqueaba el uso de puertos USB”. Pero según el estudio, en muchas otras organizaciones el uso de estas memorias es generalizado. En la mitad de las organizaciones encuestadas hay políticas que detallan cómo los empleados deben usar los dispositivos USB para almacenar información sensible o confidencial, pero solo la mitad de éstas las imponen realmente.

Para colmo, solo 21% de las organizaciones con políticas de seguridad escritas para dispositivos USB maneja herramientas para la prevención de pérdida de datos, y 13%, tecnología de análisis de redes para descubrir uso inapropiado de memorias USB. En nota correlacionada, de acuerdo con el estudio, el 75% de los encuestados dijo que no pagaría extra para asegurarse de que los dispositivos USB sean seguros. No ha de sorprender que el 74% dijera que no usa software de prevención de pérdidas de datos para detectar cuándo en los USB se copia información confidencial o sensible, ni se monitorean los mismos en busca de virus o malware. Casi la mitad tampoco dispone de políticas de uso de dispositivos USB, ni consideran que la protección de la información contenida en dichas memorias sea una prioridad de primer nivel. Como con cualquier dispositivo de almacenamiento, la pérdida de datos vía memorias USB no es nueva y muchos de quienes contestaron la encuesta sospechan que tales pérdidas a menudo no quedan asentadas. En este año, según el Identity Theft Resource Center, se han dado a conocer 5 irrupciones con USB, una de las cuales fue el robo a finales de 2010 de un dispositivo de USB no encriptado del Consejo de Planeación Familiar de Filadelfia, que contenía 70,000 registros. Algunos expertos suponen, partiendo del patrón usado en el gusano Stuxnet (descubierto en 2010), que inicialmente solo infectó un puñado de computadoras y, posiblemente, lo hizo a través de algún USB.

Las vulnerabilidades de los sistemas operativos

El problema de estos dispositivos es que son tan comunes que nadie los nota. En una prueba realizada a principios de este año, el personal del Department of Homeland Security de Estados Unidos dejó abandonados en estacionamientos de entidades gubernamentales y de contratistas privados cierto número de estos dispositivos (algunos con el logo del departamento). De quienes recogieron los dispositivos, de acuerdo con Bloomberg, el 60% los conectó a su computadora, y de ellos el 90% lo conectó aun cuando el dispositivo encontrado llevaba el logro DHS, del citado departamento. Esto demuestra que la gente no estima la amenaza de un USB desconocido. Pero Bruce Schneier, director de Tecnología de Seguridad de BT, dijo que el problema está en los sistemas. “El problema no es que la gente sea idiota y que tenga que saber que una memoria USB encontrada en la calle es automáticamente mala y que un USB obsequiado en una exposición comercial es automáticamente buena. El problema es que el sistema operativo acepta todo tipo de dispositivos USB y que correrá automáticamente un programa que puede instalar malware. El punto es que no es seguro instalar un dispositivo USB en una computadora.”