Borrado certificado de datos: qué es y por qué te debería importar.
NIST 800-88 es el estándar de referencia mundial para borrado seguro. Si nunca lo habías oído, te lo explicamos en 5 minutos. Y por qué debería ser tu requisito mínimo al comprar o retirar equipo empresarial.
Qué es NIST 800-88, sin jerga.
NIST 800-88 es un documento técnico publicado por el National Institute of Standards and Technology de Estados Unidos. Su título completo: "Guidelines for Media Sanitization". Su propósito: definir cómo se borran datos de medios de almacenamiento (discos duros, SSD, memorias) de forma que sea técnicamente imposible recuperarlos.
Es el estándar de referencia que usan: corporativos grandes con políticas serias de disposición de datos, agencias federales de EE.UU. y de otros países, contratistas militares, instituciones financieras, hospitales. No es exclusivo de TI; es la norma que define qué cuenta como "borrado real" en cualquier industria que tome la seguridad de datos en serio.
"La seguridad informática no es solo un antivirus; empieza por el borrado certificado de los datos de cada equipo que se retira."
Los tres niveles que define.
Clear (borrar): sobrescribir los datos con patrones definidos. Protege contra recuperación con software estándar. Suficiente para datos de bajo riesgo.
Purge (purgar): sobrescritura múltiple, comandos criptográficos del firmware del disco, o equivalente. Protege contra recuperación incluso con herramientas de laboratorio forense. Es el nivel que se aplica en disposición empresarial.
Destroy (destruir): destrucción física del medio (trituración, perforación, desmagnetización). Se usa cuando los datos son extremadamente sensibles o cuando el medio ya no será reutilizable.
Para equipo reacondicionado que va a tener segunda vida, se aplica Purge: borrado real y verificable, pero el disco queda funcional y se puede reutilizar.
El certificado individual.
NIST 800-88 no es solo el método; es el método más la documentación. Un proveedor que cumple el estándar emite, por cada equipo, un certificado individual que contiene: número de serie del equipo, número de serie del disco, método aplicado (Clear/Purge/Destroy), fecha, verificación posterior, firma del responsable. Ese certificado es el documento auditable.
Cuando recibes flota reacondicionada y pides los certificados, recibes un PDF (o paquete) con un certificado por equipo. Eso es lo que prueba que el borrado real ocurrió. Sin certificado individual, todo es promesa verbal.
Por qué importa para tu empresa.
Importa en dos direcciones:
Cuando compras reacondicionado: sabes que los datos del propietario anterior ya no están, no están bajo tu custodia, no son tu responsabilidad. Te proteges legalmente y operativamente.
Cuando retiras tu propia flota vieja: antes de mandar las laptops a venta, donación o reciclaje, ejecutas borrado NIST 800-88 sobre tu propio equipo. Garantizas que datos de empleados, clientes, contratos y finanzas no se filtran. Cumples con LFPDPPP en México (que exige medidas razonables de seguridad sobre datos personales).
El filtro rápido para proveedores.
Si vas a cotizar equipo reacondicionado o servicio de retiro de flota, una sola pregunta filtra al proveedor: "¿me dan certificado de borrado NIST 800-88 individual por número de serie?".
Si la respuesta es "sí, está incluido", buen proveedor. Si la respuesta es "sí, podemos darte una constancia general", proveedor mediocre. Si la respuesta es "claro, hacemos formateo", busca otro. La diferencia entre las tres respuestas es la diferencia entre operación profesional y operación improvisada.
Lo que aclara el estándar.
Artículos que te pueden interesar
Certificado individual por equipo, no constancia general.
Cotización con borrado NIST 800-88 por número de serie. Documentación auditable.