Guía: Cifrado de la información

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+1Share on Facebook0Share on LinkedIn1

La información es uno de los recursos más importantes, bien sea de carácter personal o para una empresa, desde la más pequeña hasta la más grande. Por ello, es indispensable protegerla ante todos los riesgos que existen. De esta manera, manejar adecuadamente la información puede hacer que la compañía no sufra de las consecuencias de un ataque, principalmente en términos de prestigio y confianza de sus clientes.

Actualmente, las amenazas a la información corporativa incluyen desde el malware y la explotación de vulnerabilidades, hasta el robo de dispositivos móviles. Además, teniendo en cuenta que el tema de la privacidad de las comunicaciones está en pleno debate internacional, el concepto de cifrado de datos se popularizó como una forma de mantener la información segura, tanto el ámbito hogareño como en el corporativo.

El objetivo de esta guía es profundizar en el tema del cifrado de información y, de ese modo, poder exponer y explicar los beneficios que ofrece tanto en lo personal como a las empresas.

¿En qué consiste el cifrado de datos?

Cuando se cifra la información, los datos se alteran de acuerdo a un patrón establecido por una clave, de tal forma que solamente puedan ser entendidos por quienes conocen esa clave. Así, un mensaje cifrado puede ser enviado de un lugar a otro o almacenado en algún dispositivo. Si alguien accede a ese archivo sin poseer la clave, no podrá ver la información.

No obstante, existen ataques para intentar acceder a esos archivos sin la clave. La dificultad para descifrar la información a partir de un ataque dependerá de la forma de cifrado, la información y la clave utilizada.

Las técnicas de cifrado se utilizan desde hace mucho tiempo. En la antigua Roma se utilizaba la “Cifra de César”, que consistía en remplazar cada letra de un mensaje por otra letra que se encuentre 3 posiciones más adelante en el alfabeto.

¿Por qué es necesario cifrar los datos?

Como usuarios podríamos pensar que tal vez nuestra información no sea blanco de un atacante, de modo que quizás sea conveniente hacerse las siguientes preguntas:

  • ¿Qué tipo de información almaceno en mi dispositivo? Información personal, financiera o confidencial. Es interesante pensar qué tanto podría conocer un tercero si accede a la información que guardo en alguno de mis dispositivos.
  • ¿Qué pasa si pierdo mi dispositivo móvil o mi computadora portátil? Podemos estar seguros que si perdemos o nos roban algún dispositivo realmente nadie podrá acceder a la información que poseemos.
  • ¿Qué ocurre si el dispositivo es infectado con algún código malicioso? No solamente si se pierde el dispositivo físico la información puede ser robada. Existen otros tipos de amenazas que pueden robar lo que tenemos almacenado.

Desde la perspectiva de un usuario, debemos seleccionar los datos que consideramos más relevantes o de mayor importancia para ser protegidos mediante un cifrado de datos, como fotografías y videos, información de contactos y documentos confidenciales.

Cifrar los datos implica que cada vez que se quiera acceder a los mismos, se deban descifrar, lo que agrega un nivel de complejidad al acceso simple, pero reduce la velocidad del proceso. A raíz de esto, surgen ciertas preguntas: ¿por qué hay que cifrar la información importante en una empresa? ¿Cuáles son los beneficios de hacerlo?

Es muy difícil para una compañía poder revertir el daño generado luego de una intrusión significativa, por lo que es fundamental tomar las medidas
necesarias para evitarlas y, si ocurren, contar con la preparación adecuada para minimizar el riesgo, por ejemplo, utilizando datos cifrados.

En septiembre de 2011, la empresa holandesa DigiNotar tuvo que declararse en bancarrota, tras haber sufrido un ataque de fuga de información.

Beneficios del cifrado

Podremos destacar 4 ventajas que nos proporciona el cifrado de datos:

  • Proteger la información confidencial, tanto de nuestros dispositivos personales como los de una organización
  • Proteger la imagen y el prestigio de una organización
  • Proteger las comunicaciones de nuestro hogar y/o organización
  • Proteger dispositivos móviles e inalámbricos

¿Qué rol juega la clave en el cifrado?

La clave es una parte esencial del mecanismo de cifrado de datos, ya que representa la única posibilidad de descifrar la información y, por tanto, leerla. Por ello, resulta fundamental escoger una clave robusta, ya que significará que la barrera entre los datos y los intrusos será más difícil de cruzar.

Elegir una clave como “1234” o “secreta” es sumamente inseguro, ya que si bien son fáciles de recordar, son igualmente fáciles de adivinar, motivo por el cual no representan ninguna garantía de protección de los datos. Ahora bien, una clave ideal sería aquella cuya longitud fuese lo más larga posible, y su contenido lo más aleatorio posible; sin embargo, este tipo de claves son difíciles de recordar.

En febrero de 2013, Burger King sufrió un ataque en el que lograron acceder y tomar control de su cuenta oficial de Twitter. Los atacantes cambiaron el aspecto de la cuenta y mostraron imágenes de su principal competidor. Aparentemente, el ataque se perpetró por una contraseña débil

Consideraciones para definir una clave de cifrado

No utilizar palabras reconocibles: existe un tipo de ataque utilizado para adivinar una clave que consiste en probar una por una las palabras de un diccionario (y combinaciones de ellas) hasta encontrar una que coincida con la clave.

No utilizar claves demasiado cortas: el ataque por fuerza bruta prueba todas las combinaciones de caracteres posibles hasta encontrar la clave. Así, a medida que se incrementa la cantidad de caracteres en la clave, el tiempo necesario para probar todas las combinaciones crece de manera exponencial. Mientras más larga sea la clave, será más difícil que sea descubierta por un ataque de fuerza bruta, con la tecnología actual.

Utilizar minúsculas, mayúsculas, números y caracteres especiales: al igual que en el punto anterior, el ataque de fuerza bruta puede reducirse a través de la variedad de caracteres, ya que implica más pruebas de combinaciones.

No utilizar datos públicos: si bien esto es muy común, debe ser evitado. La dirección de la empresa, la fecha de aniversario, el nombre, entre otros, son ejemplos típicos.

Utilizar una solución para el manejo seguro de las claves: una buena idea es apoyarse en el uso de una herramienta de gestión de claves. Este tipo de aplicaciones proveen mecanismos para generar claves seguras y almacenarlas en un depósito centralizado. En este caso sólo es necesario recordar una clave, la del acceso al depósito, la cual debería seguir los lineamientos mencionados previamente.

Cifrado de las comunicaciones

Correo electrónico

Una forma de cifrar los mensajes de correo electrónico es utilizando una clave privada. Este método es el más fácil de implementar y consiste en cifrar el texto en cuestión para luego enviarlo dentro del correo; así, el destinatario debe conocer la clave para poder obtener el mensaje original. Sin embargo, cada vez que se quiera enviar un mensaje cifrado a alguien que no conozca la clave, se deberá comunicar la misma por algún medio seguro.

Ante la incertidumbre acerca de cómo transmitir la clave de forma segura, surge la alternativa del cifrado con clave pública. Este sistema es más robusto y se basa en la utilización de certificados: tanto el emisor como el receptor tienen su propio certificado que pueden publicar sin comprometer su seguridad. Así, cada vez que se quiera enviar un mensaje a alguien, se cifrará el mismo con la clave pública establecida en el certificado del destinatario. En el otro extremo, al recibir un mensaje cifrado se le aplicará una clave secreta que no conoce nadie, para obtener el mensaje original. En resumen, la clave con la que se cifra es distinta a aquella con la que se descifra y, si bien están relacionadas, no se puede obtener una conociendo la otra.

Una vez que un usuario tiene su propio certificado válido, deberá intercambiar mensajes digitalmente firmados con sus contactos, para obtener y almacenar los certificados de ellos. A partir de allí, el proceso de cifrado será prácticamente transparente para el usuario. En el caso en que se quiera enviar un mensaje cifrado y el destinatario no cuente con la posibilidad de leerlo, se le dará la opción al emisor de enviar el mensaje sin cifrar.

El caso PRISM y los programas de espionaje de agencias gubernamentales han puesto el tema de la privacidad en Internet en el centro del debate, popularizando el cifrado de datos como una alternativa para la protección de los correos electrónicos y demás comunicaciones.

El uso de archivos comprimidos con clave es una alternativa práctica para intercambiar información. Cabe destacar que la contraseña utilizada para proteger la información debe ser lo suficientemente robusta y que el algoritmo utilizado por el software sea lo suficientemente seguro.

La forma más conveniente de implementar el cifrado de correos electrónicos es a través de componentes o plugins que se integren a los servicios de correo electrónico.

Navegación privada para los clientes de una empresa

Cuando los clientes navegan por el sitio web de una empresa, realizan envíos y solicitudes constantes de información, que en muchos casos puede ser confidencial o de alto valor para el cliente, por lo que se hace necesario brindarle un mecanismo de seguridad para protegerlas. Una forma muy utilizada es a través del cifrado de los datos que se envían.

En este caso, el proceso de cifrado es similar al que se describió para el envío de correos electrónicos, mediante la utilización de certificados. Por ello, para poder brindar este mecanismo de seguridad a los usuarios, se hace necesario contar con un certificado que identifique a la empresa y su sitio web, el cual será obtenido de una Autoridad de Certificados.

La aplicación más común de la navegación cifrada se da a la hora de realizar el ingreso de datos bancarios o tarjetas de crédito, pero también puede aplicarse a toda una sesión de navegación: cuando un usuario registrado quiere autenticarse se realiza el intercambio de certificados y el establecimiento de la conexión segura; la comunicación cifrada, entonces, se mantendrá hasta el cierre de sesión.

Cifrado de datos locales

La información que no es transmitida también corre el riesgo de ser accedida por terceros; por ejemplo, ante el extravío o robo de los equipos portátiles.

La contraseña de inicio de sesión no es suficiente para proteger los datos, y es allí donde el cifrado entra en juego. En este sentido, puede cifrarse el disco entero, de tal manera que cada vez que se encienda la computadora se deba ingresar la clave para tener acceso a la misma. Este enfoque suele ser el elegido en las empresas, aunque también existe la alternativa de cifrar sólo algunas carpetas o archivos específicos. Además, cabe aclarar que esto se puede extender a cualquier dispositivo que transporte información delicada, como memorias USB.

Otra situación puede ser cuando se ponen datos o servicios a disposición del público. El escenario ideal es aquel en el que cada usuario puede acceder sólo a los datos para los cuales tiene permiso. Desafortunadamente, si existen vulnerabilidades en los servidores de la empresa, las mismas pueden ser explotadas dando acceso a los atacantes a información confidencial. Por ello, la medida de seguridad principal consiste en evitar el acceso indebido, minimizando las vulnerabilidades. Sin embargo, es igual de importante tener un plan de respuesta a incidentes, en caso de que un atacante logre el acceso a datos confidenciales. En esta situación, si se cifran ciertos datos o archivos se reduce la utilidad que obtiene el atacante.

La información de los clientes es sumamente importante y, de no poder garantizar la seguridad de la misma, los clientes dejarán de confiar en la
empresa. Un ejemplo de esto se da en el almacenamiento de los datos de autenticación de los usuarios: si las contraseñas se almacenaran en una
base sin cifrar, las cuentas de los clientes se verían directamente comprometidas si un atacante lograse acceder a estos registros.

En julio de 2012 Yahoo! sufrió un ataque donde se robaron alrededor de 500 mil contraseñas de sus usuarios. Las mismas no se almacenaban cifradas, lo cual permitió el acceso directo a las cuentas comprometidas

Existen diferentes programas que pueden ayudarnos a cifrar nuestros equipos, aquí mencionaremos algunos:

Cifrado en Windows

También disponemos de otras herramientas para cifrar información en Windows, ya sean archivos individuales o un disco entero como AxCrypt y TrueCrypt

Cifrado en Linux

Cifrado en MAC OSX

En nuestra sección de descargas podrás encontrar otras herramientas de utilidad

Cifrado de dispositivos móviles

Los dispositivos móviles se están convirtiendo en un factor muy importante en las empresas, ya que acompañan a los empleados todo el tiempo y en todo lugar, y brindan acceso inmediato a la información. Debido a que cada vez más información de la empresa puede ser accedida desde un mismo dispositivo, se requiere una gestión adecuada de la seguridad de la información en el mismo.

¿Qué tipo de actividades realizas con tu dispositivo móvil, sea Smartphone o Tablet? Si comparamos la respuesta con los usos que hacemos de nuestras computadoras, seguramente no encontraremos mayores diferencias. Esto indica que también almacenamos y manejamos información importante en los dispositivos móviles.

En primer lugar es importante mencionar que, debido a factores como su tamaño y portabilidad, estos tipos de dispositivos son susceptibles al robo y el extravío, lo que implica un riesgo no menor; el cifrado de los datos almacenados representa, entonces, una medida efectiva contra el acceso no autorizado a la información. Es posible cifrar los datos de las aplicaciones, archivos descargados, fotos, documentos y cualquier otro archivo que sea almacenado en el dispositivo. Así, para lograr acceder a los datos es necesario el ingreso de un PIN o clave, conocida solamente por el dueño del equipo.

También debe considerarse que los dispositivos móviles proveen conectividad con redes que utilizan el aire como medio de transmisión, y donde los datos podrían ser interceptados por terceros que estén dentro del alcance de la señal. Por ello, siempre que se necesite transmitir información sensible resulta fundamental conectarse a una red que envíe la información cifrada entre el dispositivo y el punto de acceso. Adicionalmente, es necesario implementar el cifrado de las comunicaciones que salen a Internet, como los correos electrónicos confidenciales, chats o mensajes instantáneos.

Es posible cifrar los dispositivos móviles con las herramientas nativas del sistema operativo. Android ofrece una herramienta de Cifrado en el menú Ajustes/Seguridad, para cifrar la información del dispositivo y de la tarjeta SD. Ambos casos requieren contraseña, por lo que es aconsejable que sea fuerte para mayor seguridad. Cuando se selecciona la opción de Cifrar dispositivo las cuentas, los
ajustes, las aplicaciones descargadas, las fotos, videos y otros archivos multimedia quedarán cifrados. En la opción Cifrar tarjeta SD externa se pueden seleccionar los archivos a cifrar: los nuevos, todos los archivos o excluir los archivos multimedia.

Los dispositivos móviles que utilizan como sistema operativo iOS, traen encriptada la información con AES 256 y además usan Data Protection para cifrar todas las comunicaciones entrantes y salientes. Esta característica implementada por Apple, tiene además un sistema de Número Personal de Identificación que automáticamente borra todo el contenido del dispositivo después de diez intentos fallidos por adivinarlo. La clave del algoritmo es diferente para cada dispositivo y está insertada directamente en el hardware.

Conclusiones

El cifrado de la información es una práctica que se ha popularizado cada vez más, tanto en ambientes corporativos como hogareños, debido al uso intensivo de la tecnología por parte de los usuarios y a la confluencia del ámbito personal y laboral en un mismo dispositivo. Sin embargo, esta evolución conlleva un crecimiento de las amenazas informáticas. No es solamente el robo o extravío del dispositivo lo que puede generar que perdamos nuestra información, sino también códigos maliciosos, vulnerabilidades, ataques dirigidos, ingeniería social, etc.

Por esta razón, la protección debe ser integral; y para lograrla, es aconsejable utilizar una solución de seguridad y verificar que las aplicaciones siempre provengan de las fuentes oficiales. De este modo, se puede aplicar el cifrado de la información sensible del dispositivo como una capa adicional de protección para disfrutar de las tecnologías de una forma más segura.

La seguridad en una organización requiere de esfuerzos constantes, que deben acompañarse de inversiones basadas en el valor de la información a proteger, el impacto que tienen en el negocio y en el estado actual de la seguridad en la empresa.

Asimismo, es necesario contar con políticas de seguridad detalladas que identifiquen los activos de información y los riesgos asociados a los mismos,
para determinar las posibles acciones preventivas y correctivas. En este contexto, el cifrado de datos es una forma de proteger la información sensible de una organización en todo su espectro: datos almacenados en servidores, comunicaciones e incluso en los dispositivos móviles de sus colaboradores.


Fuentes: Preguntas y respuestas sobre el cifrado de la información personal y Guía corporativa de cifrado de la información de ESET

Guía: Cifrado de la información
5 (100%) 1 voto

Etiquetas: ,


Comentarios (2)

Deja un comentario

Cuanto es 23 + 17 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos