NIST 800-88 se actualizó y nadie te lo dijo

Si está leyendo esto, existe una posibilidad razonable de que su proceso de desinfección de datos se base en una versión de NIST 800-88 que se escribió cuando la mayoría de las computadoras portátiles todavía tenían discos duros giratorios. Eso no es un insulto: es una declaración sobre lo rápido que avanza la tecnología de almacenamiento y la lentitud con la que se actualizan los procesos de cumplimiento.

La revisión de 2025 de NIST SP 800-88 (Pautas para la desinfección de medios) no cambió el marco fundamental. Limpiar, Purgar y Destruir siguen siendo las tres categorías. La jerarquía es la misma. La lógica es la misma. Lo que cambió es el detalle, y en cumplimiento, el detalle es dónde se aprueba o se falla.

Lo que realmente cambió

Guía de medios de almacenamiento modernos: El estándar original fue escrito para HDD. La revisión reconoce que las SSD, las unidades NVMe, el almacenamiento integrado y las arquitecturas basadas en controladores no responden a los mismos métodos de desinfección. Un SSD que ha sido "sobrescrito" mediante técnicas de HDD aún puede retener datos en celdas sobreaprovisionadas. La revisión aborda esto explícitamente.

Requisitos de verificación: "Lo borramos" no es suficiente. La revisión fortalece la expectativa de que se verifique la desinfección: que una vez completada la operación de purga o limpieza, un paso de verificación confirme que los datos realmente han desaparecido. Esto suena obvio. En la práctica, muchas operaciones omiten la verificación porque el software de borrado dice "completo" y todo el mundo supone que eso significa "verificado". No es así. La finalización y la verificación son pasos diferentes.

Documentación por medio: El énfasis en la documentación por dispositivo se ha refinado a la documentación por medio. Un dispositivo con dos dispositivos de almacenamiento necesita dos registros de higienización. Esto se alinea con IEEE 2883-2022 y aborda el problema de la "computadora portátil con dos SSD" que muchas operaciones no han resuelto (consulte: artículo anterior, silencios incómodos).

Arrequisitos de seguimiento de auditoría: La revisión pone mayor énfasis en la auditabilidad. Registros verificables, automatización, controles documentados. La expectativa es que pueda demostrar no solo que se realizó la desinfección, sino que se realizó de acuerdo con el proceso definido, por una persona autorizada, utilizando un método aprobado, con resultados verificados.

La revisión NIST de 2025 no cambia lo que debería hacer. Cambia lo que tienes para prove que estás haciendo. Y para muchas operaciones, ese es un cambio mayor de lo que parece.

IEEE 2883-2022: El estándar del que nadie habla

Si bien todo el mundo está centrado en NIST 800-88, existe un estándar complementario que merece atención: IEEE 2883-2022 (Estándar para desinfección de almacenamiento). Este estándar refina y amplía el modelo NIST específicamente para dispositivos de almacenamiento modernos.

Qué agrega IEEE 2883:

Métodos específicos de la tecnología. NIST le ofrece categorías (Borrar, Purgar, Destruir). IEEE 2883 le ofrece métodos específicos para tipos de medios específicos. Las unidades NVMe obtienen sus propios comandos de desinfección. Los SSD SATA obtienen lo suyo. El almacenamiento integrado recibe un tratamiento separado. Se acabaron los días de "un método válido para todos".

Comandos soportados por el fabricante. El estándar enfatiza el uso de los propios comandos de desinfección del dispositivo de almacenamiento en lugar de métodos de sobrescritura basados en software. Para las unidades NVMe, esto significa usar el comando Format NVM o Sanitize en lugar de escribir ceros. Esto es importante porque los métodos basados en software pueden pasar por alto áreas sobreaprovisionadas que el firmware de la unidad conoce pero el sistema host no.

Resultados sostenibles. IEEE 2883 fomenta explícitamente la reutilización y el reciclaje cuando es coherente con los requisitos de seguridad. Destruir es el último recurso, no el predeterminado. Esto se alinea con el impulso de la economía circular en ITAD y significa que los dispositivos correctamente purgados pueden volver a ingresar al mercado con confianza.

Qué significa esto para su proceso

Si su proceso de desinfección parece "ejecute el software de borrado, marque la casilla, continúe", tiene lagunas. No necesariamente grandes. Pero del tipo que aparece en las auditorías y cuesta tiempo remediarlo.

Comience con lo básico. ¿Puedes responder estas preguntas para cada dispositivo con datos que procesas?

¿Qué método de higienización se utilizó? ¿Era apropiado para el tipo de medio? ¿Se verificó el resultado de forma independiente? ¿Está documentada la verificación? ¿Puedes rastrearlo por dispositivo de almacenamiento, no sólo por máquina? ¿El proceso está documentado y auditable? ¿La persona que lo realizó está capacitada y autorizada?

Si respondió "sí" a todas con confianza, está a la vanguardia. Si respondió "probablemente" o "Creo que sí" a cualquiera de ellas, la revisión de 2025 simplemente movió la barra hacia donde su proceso actual tiene grietas.

NIST 800-88 se actualizó. IEEE 2883 existe. Los estándares se están poniendo al día con la tecnología. La pregunta es si su proceso está alcanzando los estándares. Porque su auditor definitivamente está leyendo la nueva revisión. Probablemente lo haya sido desde que se publicó. Y tienen preguntas.