En los últimos años, las impresoras personales están siendo sustituidas masivamente por equipos multifuncionales (impresora + copiadora + escáner) que, sin darnos cuenta, han incrementado de manera importante los riesgos para la seguridad de la información.
Por Antonio Marín, Jefe de Producto Soluciones de KYOCERA Document Solutions España
El principal riesgo asociado a los nuevos equipos mutifuncionales es la pérdida de confidencialidad de la información contenida en los documentos impresos y escaneados. Por ejemplo, hasta ahora, muchos usuarios estaban acostumbrados a imprimir en impresoras de sobremesa que tenían a medio metro de distancia, pero ahora los equipos de impresión están alejados del usuario, por lo que tienen que ir a buscar los trabajos cada vez que imprimen. Si los documentos salen impresos en los equipos y no son recogidos de inmediato, es muy fácil que cualquier otra persona acceda a información para la que no se tiene permiso de acceso.
Otro riesgo importante que ha aparecido es el relacionado con el envío y almacenamiento de documentos escaneados. En muchas empresas, un documento recién escaneado en un multifuncional se envía a una carpeta compartida por múltiples usuarios, lo que hace que nuevamente, usuarios sin permiso puedan acceder a información para la que no tienen autorización.
Estos dos riesgos que hemos mencionado son los que podríamos considerar, en muchas ocasiones, ataques no intencionados, sin embargo, existen también toda una serie de ataques intencionados cuyo objetivo final es acceder a la información que pasa por los equipos.
En este sentido, los dispositivos multifuncionales tienen una serie de vulnerabilidades que no existen habitualmente en las impresoras tradicionales, como por ejemplo, sus discos duros, por los que pasan todos los documentos que se imprimen, copian o escanean. El contenido de los discos duros no está cifrado, por lo que un atacante que consiga acceder a uno de ellos, puede recuperar todos los documentos que hayan pasado por el equipo en las últimas semanas –más concretamente, desde que se realizó la última limpieza de dicho disco duro-. En muchas ocasiones, además, los usuarios emplean éste disco para el almacenamiento de documentos escaneados, faxes o impresiones, que se quedan allí de manera permanente, por lo que pueden ser accesibles por un atacante.
Un problema similar tenemos con las comunicaciones entre los PC de los usuarios y los equipos multifuncionales. Por defecto, las comunicaciones no están cifradas ni autenticadas, por lo que cualquier atacante que capture el tráfico de red puede obtener la información contenida en los documentos impresos y escaneados.
¿Y qué podemos hacer para que nuestra información esté segura?
Teniendo en cuenta todo lo dicho anteriormente, se hace necesario aplicar una serie de salvaguardas que nos permitan minimizar la posibilidad de que la confidencialidad de nuestra información se vea comprometida.
La primera medida que podemos adoptar es la instalación de un sistema de impresión confidencial. Mediante este tipo de sistemas, los documentos no se imprimen directamente, sino que los usuarios han de personarse delante del equipo, autenticarse y lanzar la impresión. Esto hace que en ningún caso los documentos queden abandonados en las bandejas de los dispositivos y, por tanto, no se pueda acceder a ellos. Adicionalmente, estos sistemas redundan en un importante ahorro de costes de impresión, ya que se evita realizar impresiones erróneas de documentos.
Otra medida que podemos adoptar tiene que ver con la gestión de los documentos escaneados. Es importante configurar sistemas que envíen documentos escaneados a la dirección de e-mail del usuario, evitando que puedan quedar copias de los mismos en recursos compartidos, como carpetas en red.
Adicionalmente, como medidas de seguridad complementarias, es posible cifrar tanto las comunicaciones entre los PC y los equipos, como el contenido de sus discos duros. Con la aplicación de este conjunto de medidas de seguridad, conseguiremos garantizar que nadie sin permiso para ello, acceda a la documentación contenida en los documentos impresos y escaneados en nuestra empresa.
