Servicios de desmantelamiento de centros de datos: la última laguna en su plan de ciberseguridad

Desmantelamiento del centro de datos de Compucycle

¿Contempla tu plan de respuesta ante incidentes lo que ocurre una vez que se desconecta el servidor?

Pregunta a tu CISO quién es el responsable del desmantelamiento. A continuación, pregúntaselo a tu director de TI. Después, pregúntaselo al departamento de compras.

Oirás tres respuestas diferentes… y ahí está el problema.

La gestión de activos de TI (ITAD) se sitúa en la intersección entre la gestión de activos de TI, la seguridad de la información y la gobernanza de los proveedores. Requiere un análisis minucioso de estos tres aspectos. En la práctica, sin embargo, no suele recibir toda la atención que merece por parte de ninguno de ellos. El departamento de TI considera que los equipos quedan fuera de servicio en el momento en que se desconectan de la red. El departamento de seguridad da por hecho que el departamento de TI se encarga de la eliminación física. El departamento de compras gestiona la relación con los proveedores basándose en el precio, la logística y una lista de verificación de certificaciones que nadie ha examinado detenidamente.

El resultado es una laguna al final de un programa de seguridad que, por lo demás, se ha elaborado con esmero. Cada fase de tu plan de ciberseguridad cuenta con responsables definidos, normas documentadas, asignación presupuestaria y un control riguroso de los proveedores. El desmantelamiento del centro de datos tiene una fecha de recogida y un certificado de destrucción.

Los datos almacenados en esos discos duros no notan la diferencia.

Cuando el plan de seguridad se queda en la puerta de la sala de servidores

La superficie de amenaza no se reduce cuando se retira el hardware. Simplemente cambia de forma. Las unidades retiradas siguen conteniendo datos de producción. Los servidores fuera de servicio siguen albergando años de información confidencial acumulada. El riesgo no desaparece con el equipo, sino que sigue a los datos, pasando por cada persona que los maneja, hasta su destrucción verificada.

La mayoría de las evaluaciones de proveedores de ITAD no reflejan esto. Se centran en la capacidad logística, los precios y las certificaciones —evaluadas por personas cuya principal preocupación es retirar el equipo de las instalaciones según lo previsto—. Los requisitos de seguridad que rigen todas las demás relaciones con proveedores de la organización a menudo no se tienen en cuenta en el proceso de desmantelamiento hasta que surge algún problema.

El resultado es una brecha que la mayoría de las organizaciones no detectan hasta que se proponen buscarla. Por un lado, una estrategia de seguridad consolidada tras la puerta de la sala de servidores. Por otro, una relación con un proveedor encargado de la gestión de las instalaciones.

Qué significa realmente «certificado» para este público

Las listas de certificaciones son un punto de partida, no una respuesta definitiva. R2, e-Stewards y NAID AAA son acreditaciones relevantes, ya que establecen normas básicas para el reciclaje responsable y el tratamiento de la destrucción de datos. Lo que no determinan es si un proveedor opera bajo un sistema formal de gestión de la seguridad de la información.

Esa es una cuestión totalmente distinta. Y para los responsables de seguridad y cumplimiento normativo, es la más importante.

La norma ISO 27001 no es una acreditación de reciclaje. Se trata de una certificación de gestión de la seguridad de la información, la misma norma con la que probablemente tus equipos ya estén trabajando o según la cual ya se estén sometiendo a auditorías internas. Para obtenerla, se requieren políticas documentadas, controles de acceso, evaluaciones de riesgos, procedimientos de respuesta ante incidentes y auditorías independientes realizadas por terceros. Es necesario demostrar que la seguridad de la información está integrada en el funcionamiento de la organización, y no se aplica de forma selectiva a un único proceso.

En otras palabras, es la norma que se aplica cuando se considera el desmantelamiento como una función de seguridad y no como una función logística.

Por qué las empresas de logística no pueden obtener la certificación ISO 27001, y por qué eso es importante

La mayoría de los proveedores de servicios de gestión del ciclo de vida de los activos de TI (ITAD) operan como empresas de logística y intermediación. Se encargan de recoger los equipos, coordinar el transporte y enviar los activos a empresas externas especializadas para su destrucción y la recuperación de materiales. Se trata de un modelo legítimo: así es como funciona la mayor parte del sector.

Sin embargo, una operación logística no cuenta con un sistema de gestión de la seguridad de la información que pueda certificarse. No existe un SGSI a nivel organizativo. Tampoco hay un marco de evaluación de riesgos para toda la empresa. Ni políticas de control de acceso que regulen los activos que contienen datos en todas las fases de su gestión. La norma ISO 27001 exige todo eso, y su cumplimiento debe demostrarse mediante auditorías independientes anuales.

ISO 27001 2022

La certificación ISO 27001 de CompuCycle —la única que posee una empresa de gestión de residuos electrónicos dirigida por una mujer en Texas— es posible gracias a que hemos creado la infraestructura física, los procedimientos documentados y el marco organizativo que la certificación exige realmente. Para los equipos de cumplimiento normativo que llevan a cabo evaluaciones de seguridad de los proveedores, esa es la cuestión que distingue a un socio con gestión de seguridad de un simple servicio de recogida competente.

El problema de la cadena de custodia del que nadie habla en la reunión sobre el desmantelamiento

Antes de que dé comienzo el próximo proyecto, conviene plantearse estas preguntas de forma explícita:

Una vez recogidos, ¿adónde van físicamente los discos duros? ¿Quién se encarga de ellos en cada etapa? ¿Qué instalaciones llevan a cabo la destrucción propiamente dicha? ¿Funcionan esas instalaciones bajo las mismas normas de seguridad que garantiza el contrato de tu proveedor? ¿Y se puede verificar todo ello con documentación que se sostenga en una auditoría?

En el modelo estándar de gestión del ciclo de vida de los activos de TI (ITAD) —incluso entre proveedores certificados y de prestigio—, la respuesta a la mayoría de esas preguntas implica a terceros. Los equipos se recogen y se envían a las siguientes etapas del proceso para su tratamiento. Cada traspaso supone un punto en el que se produce una brecha en la cadena de custodia y donde termina su visibilidad directa.

En el caso de una renovación rutinaria de los sistemas informáticos de una empresa, puede que sea una solución aceptable. Sin embargo, en el caso del desmantelamiento de un centro de datos —que implica almacenamiento de alta densidad, equipos de nivel empresarial y años de datos confidenciales acumulados en cientos o miles de dispositivos—, no lo es. Los requisitos de documentación para un desmantelamiento conforme a la normativa exigen una cadena de custodia continua, verificable y preparada para ser auditada en cada etapa. Un certificado de destrucción que documente lo que un procesador posterior ha comunicado a tu proveedor no es lo mismo que uno que documente lo que ha ocurrido bajo un mismo techo, bajo un único marco de seguridad documentado y controlado íntegramente por el proveedor cuyo nombre figura en tu contrato.

Lo que realmente requiere la destrucción segura de datos a gran escala

En el contexto del desmantelamiento, la destrucción de datos es un proceso, no un hecho puntual. Debe llevarse a cabo de forma sistemática y documentarse a nivel de activo desde el momento en que el equipo se prepara para su retirada.

Cada dispositivo debe contar con un registro de la cadena de custodia que comience en sus instalaciones. Cada unidad de almacenamiento debe ir acompañada de documentación serializada que vincule su destrucción física a un registro específico del activo. Cada paso intermedio debe estar controlado por la misma organización, bajo el mismo marco de seguridad, sin lagunas en la rendición de cuentas entre la recogida y la eliminación definitiva.

Cuando ese proceso implica a varios proveedores y varias instalaciones, la documentación que se obtiene al cierre del proyecto refleja una cadena de informes, no una cadena de custodia. En una revisión normativa o en una investigación por incumplimiento, esa distinción es mucho más importante que el propio certificado.

Así es cuando el desmantelamiento se considera una función de seguridad

CompuCycle se creó partiendo de una premisa diferente: que las organizaciones que nos confían su infraestructura retirada merecen el mismo nivel de gestión de la seguridad al final del ciclo de vida de los activos que el que aplicaban al principio.

Esa premisa se refleja en nuestra forma de trabajar.

No hay proveedores en la fase posterior. Todo —la destrucción de datos, el triturado, el tratamiento de plásticos electrónicos y la recuperación de materiales— se lleva a cabo en nuestras una única instalación de 130 000 pies cuadrados en Houston. Tus activos no se entregan a un procesador externo. No pasan por múltiples instalaciones ni por múltiples manos. Desde la recogida hasta la eliminación final, la cadena de custodia tiene un único eslabón. No se trata de un argumento de venta que promocionemos, sino de una decisión estructural que hace posible un nivel de responsabilidad verdaderamente diferente. También significa que, cuando los activos retirados aún tienen un valor recuperable, ese valor permanece en el proceso y se devuelve a su organización, en lugar de ser absorbido por un proveedor posterior al que nunca ha evaluado.

Documentación de los activos con número de serie desde el momento de la recogida. Cada dispositivo se etiqueta, se incluye en el inventario y se incorpora a una cadena de custodia documentada antes de salir de sus instalaciones. Cada unidad de almacenamiento está vinculada a un registro de destrucción que permite rastrear un activo concreto, un proceso específico y un resultado verificado concreto. El registro de auditoría que necesita su equipo de cumplimiento normativo no se elabora a posteriori, sino que se crea en tiempo real por el propio equipo que ha realizado el trabajo.

ISO 27001: la norma de seguridad, no solo un certificado de reciclaje. Nuestra certificación garantiza que nuestro sistema de gestión de la seguridad de la información se somete a auditorías continuas e independientes. Las políticas, los controles de acceso y los procedimientos que rigen el tratamiento de sus datos cumplen con el mismo estándar con el que se evalúa su propio programa de seguridad. Cuando su CISO o su equipo de cumplimiento normativo le pregunten si su proveedor de desmantelamiento opera según un estándar de seguridad empresarial, la respuesta estará documentada y será verificable.

Recuperación del valor de los activos: se conserva, no se pierde. Un proceso de desmantelamiento estándar considera los equipos retirados como un problema de eliminación. Un modelo de centro único con capacidad de reacondicionamiento interno los considera una oportunidad de recuperación. El hardware que aún conserva valor funcional se evalúa, se borra según las normas NIST 800-88 y se vuelve a comercializar, lo que genera ingresos para su organización en lugar de para un proveedor posterior al que nunca ha evaluado. En el caso de un desmantelamiento a gran escala, esa recuperación puede compensar de forma significativa el coste del proyecto. La mayoría de los proveedores de ITAD no pueden ofrecer esto porque no controlan qué ocurre con los activos tras su recogida. CompuCycle sí lo hace.

Treinta años de trayectoria operativa. Las evaluaciones de riesgo de los proveedores en el caso de relaciones de gran importancia incluyen la estabilidad y la longevidad por una buena razón. Un socio con tres décadas de actividad ininterrumpida en una única instalación, con una cartera de clientes consolidada en sectores regulados, presenta un perfil de riesgo sustancialmente diferente al de una empresa de logística más reciente.

Datos destruidos para NIST 800-88 y NAID AAA normas. Estos son los marcos de referencia que utilizan los organismos reguladores, los auditores y los equipos jurídicos a la hora de evaluar si se podría haber evitado una filtración de datos. La certificación NAID AAA verifica de forma independiente que dichos procesos se estén siguiendo realmente, y no solo que estén documentados. Para las organizaciones de sectores regulados, esa combinación es importante: la norma NIST 800-88 establece lo que se ha hecho, mientras que la certificación NAID AAA garantiza que alguien ajeno a su proveedor lo ha verificado.

Los sectores de la sanidad, los servicios financieros, la energía y la contratación pública no consideran la seguridad de los datos como una buena práctica. Una brecha en la cadena de custodia no es un simple inconveniente, sino un caso de responsabilidad civil. Hemos creado la infraestructura, obtenido las certificaciones y superado las auditorías para que nuestros clientes dispongan de pruebas documentadas en cada etapa, y no solo de garantías a posteriori por parte del proveedor.

Cómo completar tu plan de ciberseguridad

La cuestión no es si el desmantelamiento debe formar parte de tu programa de ciberseguridad. Claro que sí, siempre lo ha sido. La cuestión es si al proveedor que gestiona la última fase de ese programa se le exigen los mismos criterios que a todas las fases anteriores.

La mayoría de las organizaciones, cuando analizan la situación detenidamente, se dan cuenta de que la respuesta es no. No porque alguien tomara una mala decisión, sino porque a nadie se le pidió que tomara esa decisión. El desmantelamiento se gestionó como un servicio: una recogida, una eliminación. Y el programa de seguridad que regulaba todas las demás fases del ciclo de vida de los datos se quedaba en la puerta de la sala de servidores.

Hemos elaborado una auditoría de seguridad estructurada para el desmantelamiento con el fin de ayudar a los equipos de TI, seguridad y cumplimiento normativo a subsanar esa carencia antes de que comience un proyecto, y no después. En ella se analizan la cadena de custodia, la cualificación de los proveedores, el nivel de certificación, las normas de documentación y los puntos de riesgo normativo que la mayoría de las conversaciones sobre la planificación del desmantelamiento nunca abordan.

Si tu organización tiene previsto un proceso de retirada de servicio en un futuro próximo —o si no estás seguro de que tu proveedor actual de ITAD cumpla con los estándares que realmente exige tu programa de seguridad—, este es el punto de partida adecuado. Y si quieres comprender cómo encaja esto en el panorama general de riesgos de la ITAD, te recomendamos leer primero el artículo «La ITAD no es una simple decisión de reciclaje ».


CompuCycle lleva más de 30 años ofreciendo un servicio seguro y totalmente interno de gestión de activos informáticos desde nuestras instalaciones de Houston, que cuentan con la certificación ISO 27001. Somos la única empresa de tratamiento de residuos electrónicos de Texas dirigida por una mujer que cuenta con certificación en gestión de la seguridad de la información. ISO 27001 | NAID AAA | R2v3 | e-Stewards

Artículos recientes

Documentación sobre la gestión de activos de TI (ITAD) que realmente resiste una auditoría

23 de junio de 2026

Un certificado de destrucción es lo mínimo. Así es como debe ser la documentación preparada para una auditoría. Al finalizar un proyecto de gestión del ciclo de vida de los activos de TI (ITAD), la mayoría de las organizaciones reciben un certificado de destrucción y lo archivan. Si nunca se lleva a cabo una auditoría…

Servicios de desmantelamiento de centros de datos: la última laguna en su plan de ciberseguridad

4 de mayo de 2026

¿Cubre tu plan de respuesta ante incidentes lo que ocurre después de desconectar el servidor? Pregunta a tu responsable de seguridad de la información (CISO) quién se encarga del desmantelamiento. Luego pregúntale al director de TI. Y después, al departamento de compras. Obtendrás tres respuestas diferentes, y eso es…

CompuCycle y el Distrito Escolar Independiente de Pearland lanzan TechCycle: un programa de formación profesional que ofrece a los estudiantes con discapacidad una vía real hacia el empleo

28 de abril de 2026

Un innovador programa de reciclaje de aparatos electrónicos forma a estudiantes con discapacidad de entre 18 y 22 años en habilidades laborales prácticas, y ya está cambiando vidas. PEARLAND, TX — CompuCycle, una empresa de gestión de activos de TI (ITAD) y reciclaje de aparatos electrónicos con sede en Houston,…

La gestión del ciclo de vida de los activos de TI (ITAD) no es una decisión relacionada con el reciclaje. Es una decisión destinada a reducir riesgos y proteger la marca.

6 de marzo de 2026

En eBay se han vendido discos duros corporativos con datos recuperables. En las costas de Malasia han aparecido contenedores de residuos electrónicos cuyo origen se ha rastreado hasta empresas estadounidenses. En todos los casos, la responsabilidad no recayó en…

Documentación sobre la gestión de activos de TI (ITAD) que realmente resiste una auditoría

Lo mínimo es un certificado de destrucción. Así es como debe ser la documentación preparada para una auditoría. Al finalizar un proyecto de gestión del ciclo de vida de los activos de TI (ITAD),...
Más información sobre la documentación de ITAD que realmente se sostiene en una auditoría

Servicios de desmantelamiento de centros de datos: la última laguna en su plan de ciberseguridad

¿Contempla tu plan de respuesta ante incidentes lo que ocurre una vez que se desconecta el servidor? Pregunta a tu CISO quién se encarga del proceso de retirada del servicio. A continuación...
Más información sobre los servicios de desmantelamiento de centros de datos: la última laguna en su plan de ciberseguridad