Guía del usuario sobre el cifrado
Conozca el estado de la tecnología de cifrado, explorando temas como las técnicas criptográficas, el enmascaramiento de datos, las ramificaciones legales del cifrado de extremo a extremo y el impacto de lo cuántico.
El cifrado es un componente clave de la vida cotidiana de la mayoría de las personas, ya sea al enviar mensajes por WhatsApp, comprando en línea, leyendo artículos a través de una conexión HTTPS segura o protegiendo sus contraseñas al iniciar sesión en una aplicación o sitio web.
Dentro de la organización, evitar el acceso no autorizado y salvaguardar la privacidad se basa en el cifrado de la mayoría de los servicios utilizados a diario. Funcionando en segundo plano, para proporcionar tráfico y comunicación seguros, cubre las conexiones a través de VPN y las conexiones de red de extremo a extremo, el acceso a servidores, computadoras y aplicaciones en la nube, y los servicios de protección de contraseñas. Incluso algo tan aparentemente sencillo como un correo electrónico utiliza una transmisión segura y cifrada para garantizar que sólo el remitente y el destinatario puedan leer los mensajes.
Aspectos básicos
El cifrado reduce al mínimo las comunicaciones en texto plano entre sistemas y servidores; en caso de que un agente de amenazas acceda a los sistemas de una organización, el tráfico cifrado hace mucho más difícil la lectura de los datos en la red o la inyección de programas maliciosos, que podrían inutilizar los datos de una organización.
El cifrado puede realizarse mediante software de encriptación, dispositivos de almacenamiento con cifrado o redes con cifrado para proteger datos sensibles. Puede utilizarse para proteger datos –tanto en tránsito como en reposo (almacenados)– y requiere “claves” tanto para “bloquear” (cifrar) como para “desbloquear” (descifrar) la información protegida. El cifrado simétrico significa que tanto el emisor como el receptor de la información deben utilizar la misma clave para cifrar y descifrar, mientras que, para el cifrado asimétrico, se necesitan dos claves diferentes.
El algoritmo criptográfico –una amalgama de ingenio matemático y resistencia digital–, que constituye el núcleo del cifrado utilizado, determina la solidez del cifrado en la práctica. Desde algoritmos venerables como RSA (Rivest-Shamir-Adleman) y AES (Advanced Encryption Standard), hasta innovaciones contemporáneas como el cifrado resistente a la computación cuántica, constituyen la base de la protección digital.
Desafíos a tener en cuenta
Pero el cifrado funciona en ambos sentidos: los delincuentes también pueden cifrar datos. Los datos en reposo almacenados como texto sin formato pueden cifrarse para iniciar un ataque de ransomware, en el que la clave necesaria para descifrar los datos sólo se proporcionará si se paga un rescate (e incluso esto está lejos de ser un hecho). Las copias de seguridad de los datos pueden ser una solución, pero sólo funcionan si esos datos están lo suficientemente protegidos como para impedir que sean cifrados por un actor malicioso.
El menor costo y la facilidad de implementación de soluciones basadas en la nube, como las aplicaciones SaaS, también añaden complejidad; gestionadas por proveedores externos, introducen ambigüedad sobre dónde termina la “red” de la organización, mientras que los datos sólo son tan seguros como el servicio externo. Las empresas deben asegurarse de que el proveedor utiliza el cifrado para los datos en reposo y en tránsito.
La aparición de la computación cuántica también plantea importantes cuestiones, ya que la enorme potencia de esta tecnología reducirá potencialmente de años a segundos el tiempo necesario para que los métodos tradicionales de cifrado sean atacados con éxito. La criptografía poscuántica es un campo de investigación muy especializado que se centra en el desarrollo de algoritmos capaces de resistir los ataques cuánticos; el tiempo dirá si son lo bastante robustos como para que el cifrado sea una opción viable en el futuro.
El riesgo del acceso “por la puerta trasera”
El cifrado de extremo a extremo equivale a mantener conversaciones secretas en una habitación supersegura a la que sólo pueden entrar determinadas personas. Sin embargo, en ocasiones, las normas que rigen este tipo de seguridad pueden chocar con los requisitos de las fuerzas de seguridad, y gran parte de ello tiene su origen en las medidas antiterroristas, ya que los gobiernos reclaman el derecho a inceptar la mensajería de extremo a extremo.
El problema es que los gobiernos y las fuerzas de seguridad no pueden tener acceso “por la puerta de atrás” a los datos cifrados sin que esa misma puerta sea aprovechada por agentes malintencionados. Eso exigirá a las empresas que utilicen un proveedor de cifrado recomendado por el Estado, y todo lo demás se considerará fuera de cumplimiento.
Del mismo modo, la prohibición total de las comunicaciones seguras tiene importantes ramificaciones éticas y prácticas, tanto para el individuo como para la empresa. Aparte del derecho fundamental de las personas a la privacidad personal, al que nos referimos en los párrafos iniciales, el cifrado es el habilitador de seguridad entre bastidores de innumerables actividades en línea. Restringir o comprometer gravemente el cifrado haría inseguras muchas de ellas, desde las compras en línea hasta las conexiones seguras a las redes; también imposibilitaría la transferencia de datos o la protección de la información personal identificable (PII, por sus siglas en inglés), lo que significaría que muchas empresas no podrían funcionar.
La incompatibilidad de las comunicaciones seguras y los derechos de puerta trasera están marcadas por las amenazas de muchas empresas de mensajería de retirarse de países en los que el acceso a sus sistemas es exigido por los gobernantes; si sus servicios dejaran de estar disponibles, se agravaría aún más la capacidad de muchas organizaciones para hacer negocios en esos territorios.
Por tanto, uno de los mayores retos de la encriptación es navegar con inteligencia por el delicado equilibrio entre privacidad y normativa legal que muchos gobiernos están tratando de abordar.
Gestión de claves y gestores de contraseñas
Aunque el cifrado es una gran herramienta para proteger los datos, su solidez depende de los procesos de gestión de claves de una organización.
Por ejemplo, un inventario de todas las claves de cifrado garantiza una visión central y holística de todas las claves en las que se confía para mantener los datos seguros, lo que hace menos probable perder la pista de una clave y proporciona un registro de la información que se cifra. Las claves deben almacenarse de forma segura, y debe ponerse en marcha un plan de recuperación de desastres adecuado para minimizar el impacto en caso de violación. También es importante supervisar el uso y la frecuencia de las claves, mientras que el control de acceso gestiona quién puede utilizarlas y qué puede hacer con ellas.
La gestión eficaz de claves también abarca la revocación, en la que las claves de cifrado se retiran y sustituyen en caso de pérdida o compromiso (de la clave).
Existen actividades adicionales que las organizaciones pueden llevar a cabo para reforzar sus actividades de cifrado. Formar a los empleados para que utilicen gestores de contraseñas cifradas reduce el riesgo de que los nombres de usuario y las contraseñas queden al descubierto (por ejemplo, si se escriben en blocs de notas o se guardan en unidades compartidas), y se pueden establecer controles para garantizar que todo el mundo adopta esta práctica. Es esencial parchar las vulnerabilidades del hardware y el software que utiliza cifrado, y comprobar si hay actualizaciones periódicas.
El cifrado: una parte del rompecabezas de la protección
Aunque el cifrado es muy eficaz, las organizaciones deben adoptar un enfoque de “defensa en profundidad”. Mantener varios niveles de medidas de seguridad, como la segmentación de la red, firewalls y sistemas de detección de intrusos, junto con el cifrado de activos y comunicaciones clave, ayuda a proteger sus activos de datos vitales de quienes no deberían tener acceso a ellos.