Por qué se están destruyendo millones de discos duros utilizables
Cada año se trituran millones de dispositivos de almacenamiento, aunque podrían reutilizarse. "No necesitas un título en ingeniería para entender que eso es algo malo", dice Jonmichael Hands.
Es secretario y tesorero de Circular Drive Initiative (CDI), una asociación de empresas de tecnología que promueve la reutilización segura del hardware de almacenamiento. También trabaja en Chia Network, que proporciona tecnología blockchain.
Chia Network podría reutilizar fácilmente los dispositivos de almacenamiento que los grandes centros de datos han decidido que ya no necesitan. En 2021, la empresa se acercó a las empresas de disposición de activos de TI (ITAD), que desechan la tecnología antigua para las empresas que ya no la necesitan. La respuesta llegó: "Lo siento, tenemos que destruir unidades antiguas".
"¿Qué quieres decir con que los destruyes?" dice Mr Hands, relatando la historia. "¡Simplemente borre los datos y luego véndalos! Dijeron que los clientes no les permitirían hacer eso. Un proveedor de ITAD dijo que estaban destruyendo cinco millones de unidades para un solo cliente".
Los dispositivos de almacenamiento generalmente se venden con una garantía de cinco años y los grandes centros de datos los retiran cuando vence la garantía. Las unidades que almacenan datos menos confidenciales se salvan, pero el CDI estima que el 90 % de las unidades de disco duro se destruyen cuando se extraen.
¿La razón? "Los proveedores de servicios en la nube con los que hablamos dijeron seguridad, pero lo que en realidad querían decir era gestión de riesgos", dice Hands. "Tienen una política de riesgo cero. No puede ser una en un millón de unidades, una en 10 millones de unidades, una en 100 millones de unidades que tiene fugas. Tiene que ser cero".
La ironía es que triturar dispositivos es relativamente arriesgado hoy en día. Las últimas unidades tienen 500.000 pistas de datos por pulgada cuadrada. Una persona sofisticada de recuperación de datos podría tomar una pieza tan pequeña como 3 mm y leer los datos, dice Hands.
El año pasado, la Asociación de Estándares IEEE aprobó su Estándar para Desinfectar el Almacenamiento. Describe tres métodos para eliminar datos de los dispositivos, un proceso conocido como sanitización.
El método menos seguro es "claro". Todos los datos se eliminan, pero se pueden recuperar con herramientas especializadas. Es lo suficientemente bueno si desea reutilizar la unidad dentro de su empresa.
El método más extremo es destruir las unidades mediante fusión o incineración. Los datos nunca se pueden recuperar, ni tampoco la unidad o sus materiales.
Entre los dos se encuentra una opción segura para la reutilización: la purga. Cuando se purga la unidad, la recuperación de datos es inviable utilizando herramientas y técnicas de última generación.
Hay varias formas de purgar una unidad. Los discos duros se pueden sobrescribir con nuevos patrones de datos, por ejemplo, que luego se pueden verificar para asegurarse de que los datos originales hayan desaparecido. Con las capacidades de almacenamiento actuales, puede llevar uno o dos días.
En comparación, un borrado criptográfico toma solo un par de segundos. Muchas unidades modernas tienen cifrado incorporado, por lo que los datos que contienen solo se pueden leer si tiene la clave de cifrado. Si se elimina esa clave, todos los datos se codifican. Todavía está allí, pero es imposible de leer. La unidad es segura para revender.
Seagate es un proveedor líder de soluciones de almacenamiento de datos y miembro fundador de CDI. "Si podemos confiar universalmente, entre todos nuestros clientes, en que tenemos un borrado seguro, entonces las unidades se pueden volver a usar", dice Amy Zuckerman, directora de sustentabilidad y transformación de Seagate. "Eso está sucediendo, pero en una escala muy pequeña".
En su año fiscal 2022, Seagate renovó y revendió 1,16 millones de discos duros y unidades de estado sólido (SSD), evitando más de 540 toneladas de desechos electrónicos (e-waste). Eso incluye unidades que se devolvieron bajo su garantía y unidades que se compraron de nuevo a los clientes.
Un programa piloto de devolución en Taiwán recuperó tres toneladas de desechos electrónicos. El desafío ahora, dice la Sra. Zuckerman, es ampliar el programa.
Las unidades reacondicionadas se prueban, recertifican y venden con una garantía de cinco o siete años. "Estamos viendo que los pequeños centros de datos y las operaciones de minería de criptomonedas los recogen", dice ella. "Nuestros éxitos han sido en una escala más pequeña, y creo que eso también es cierto para otros involucrados en este trabajo".
No hay proyecciones sobre cuántas veces se puede restaurar y reutilizar cada unidad. "En este momento, solo estamos viendo ese doble uso", dice la Sra. Zuckerman.
Hay un gran potencial para tales esquemas. Una gran proporción de los 375 millones de discos duros vendidos por todas las empresas en 2018 ya están finalizando su garantía.
Para las unidades que no se pueden reutilizar, Seagate analiza primero la extracción de piezas y luego el reciclaje de materiales. En el programa piloto de Taiwán se recicló el 57% del material, compuesto por imanes y aluminio. Se necesita innovación en toda la industria para ayudar a recuperar más de los 61 elementos químicos utilizados en las unidades, dice la Sra. Zuckerman.
El principio de desinfectar y reutilizar el hardware también se aplica a otros dispositivos, incluidos los enrutadores. "El hecho de que una empresa tenga la política de reemplazar algo en tres años no significa que esté obsoleto para todo el mundo", dice Tony Anscombe, el principal evangelista de seguridad de la empresa de seguridad de TI ESET.
"Un gran proveedor de servicios de Internet (ISP) bien puede estar retirando algunos enrutadores de nivel empresarial que un ISP más pequeño soñaría con tener".
Más tecnología de negocio:
Sin embargo, es importante tener un proceso de desmantelamiento que asegure los dispositivos. ESET compró algunos enrutadores centrales de segunda mano, del tipo que se usa en las redes corporativas. Solo cinco de los 18 enrutadores se habían borrado correctamente. El resto contenía información sobre la red, las aplicaciones o los clientes que podría ser valiosa para los piratas informáticos. Todos tenían datos suficientes para identificar a los propietarios originales.
Uno de los enrutadores había sido enviado a una empresa de eliminación de desechos electrónicos, que aparentemente lo vendió sin eliminar los datos. ESET contactó al propietario original. "Estaban muy conmocionados", dice el Sr. Anscombe. "Las empresas deben desinfectar los dispositivos por sí mismas lo mejor que puedan, incluso si utilizan una empresa de desinfección y desechos electrónicos".
El Sr. Anscombe recomienda a las empresas que prueben el proceso de desinfección de dispositivos mientras aún están bajo soporte. Si algo no está claro, hay ayuda disponible del fabricante. También sugiere guardar toda la documentación necesaria para el proceso en caso de que el fabricante la elimine de su sitio web.
Antes de la desinfección, Anscombe dice que las empresas deberían hacer y almacenar una copia de seguridad del dispositivo. Si se filtra algún dato, es más fácil de entender que lo que se ha perdido.
Finalmente, las empresas deben facilitar que las personas informen sobre fugas de seguridad. Anscombe dice que era difícil notificar a las empresas lo que habían encontrado en sus antiguos enrutadores.
¿Cómo pueden las empresas estar seguras de que los datos se han ido de un dispositivo? "Dáselo a un investigador de seguridad y pregúntale qué puede encontrar", dice el Sr. Anscombe. "Muchos equipos de seguridad cibernética tendrán a alguien que sepa cómo quitar la tapa y ver si el dispositivo se desinfectó por completo".
Al saber cómo limpiar los datos de los dispositivos, las empresas pueden enviarlos para su reutilización o reciclaje con confianza. "Los días de la economía lineal de 'tomar-hacer-desperdiciar' deben terminar", dice la Sra. Zuckerman de Seagate.