Hay que comprender la importancia del cifrado de datos
El cifrado es un elemento fundamental de la ciberseguridad. Las organizaciones deberían implementar el cifrado para contrarrestar la amenaza cada vez mayor de las filtraciones de datos.
En un mundo donde los datos son moneda de cambio, y los ataques cibernéticos son cada día más sofisticados, no se puede subestimar la importancia del cifrado de datos.
Consecuencias de la exposición de datos
Recientemente, me desperté con otra notificación de violación de datos:
Estimado <Nombre>,
Proteger la seguridad de la información de nuestros clientes es muy importante para nosotros. Le escribimos para informarle sobre un incidente que puede haber afectado su cuenta.
Otro servicio que utilicé fue hackeado, lo que hizo que mis precauciones –usar un administrador de contraseñas y crear contraseñas únicas y complejas– fueran inútiles.
El correo electrónico continuaba: "La información personal expuesta podría haber incluido su nombre, dirección y/o fecha de nacimiento".
A primera vista, no es gran cosa. Mi nombre, dirección y correo electrónico son bien conocidos. Pero muchos bancos y otras instituciones financieras utilizan la fecha de nacimiento como parte del proceso de autenticación, por lo que trato de mantener esa información oculta.
Aquellos con malas intenciones pueden combinar datos de múltiples infracciones y servicios de registros públicos para crear un perfil completo, lo que facilita que incluso los expertos en ciberseguridad sean víctimas de un ataque de ingeniería social.
Aunque lamentable a nivel personal, no es nada comparado con el terror que sintieron los equipos de seguridad y los ejecutivos de JD Sports, T-Mobile, Mailchimp, PayPal y Chick-fil-A cuando sufrieron una importante violación de datos en enero. Y no son los únicos.
Las infracciones, grandes y pequeñas, ocurren casi a diario. Peor aún, para algunas de estas empresas y sus equipos de seguridad, no es la primera vez que sufren una vulneración. Lamentablemente para todos, tampoco será la última vez.
Dado que las empresas almacenan una cantidad cada vez mayor de información confidencial en línea, es fundamental que tomemos medidas proactivas para proteger los datos de miradas indiscretas. Ya sean datos bancarios, información de identificación personal, información de salud personal, diseños de productos, listas de clientes, registros financieros corporativos o cualquier otro dato confidencial robado, las consecuencias de una filtración de datos pueden ser devastadoras. Las organizaciones han despedido a líderes de seguridad y ejecutivos de empresas, han sufrido daños en sus marcas y han perdido clientes e ingresos debido a filtraciones de datos.
El poder del cifrado
La gente ha querido mantener en secreto sus datos y mensajes confidenciales durante mucho tiempo. Algunos ejemplos incluyen a los espartanos y Julio César. Alrededor del año 600 a.C., los espartanos escribieron mensajes en trozos de cuero envueltos alrededor de varillas de madera. Cuando se desenvuelven, las letras del cuero no tienen sentido. El mensaje sólo tenía sentido si el lector tenía la varilla del tamaño correcto. El cifrado César, que se utilizó alrededor del año 60 a.C., era un cifrado de sustitución. Implicaba reemplazar cada letra del mensaje original con otra letra de un cierto número de posiciones en el alfabeto.
El cifrado evolucionó a mediados del siglo XVI, cuando el criptólogo italiano Giovan Battista Bellaso creó la primera técnica de encriptación, o cifrado, que utiliza una clave, una palabra clave acordada que el destinatario debe conocer para decodificar y acceder al mensaje cifrado.
Hoy en día se utilizan cifrados informáticos modernos. Con un cifrado de encriptación asimétrica, el cifrado y el descifrado utilizan dos claves diferentes. TLS –el protocolo de comunicaciones para comunicaciones web seguras (HTTPS)– se basa en parte en la encriptación asimétrica, también conocido como encriptación de clave pública (PKI, por sus siglas en inglés).
La seguridad de RSA, un cifrado PKI muy utilizado, proviene en parte de la dificultad computacional de determinar el factor de dos números primos grandes. Podría llevar cientos de años o más determinar las claves cuando se utilizan claves de 4096 bits.
Ya sea que se utilice un cifrado antiguo y fácil de entender, o los cifrados modernos basados en computadora, el cifrado codifica los datos para que solo puedan ser leídos por alguien que tenga la clave.
El poder del cifrado de datos es que evita que partes malintencionadas o negligentes lean datos confidenciales. Incluso cuando el atacante obtiene acceso a un entorno y extrae los datos o husmea en los datos mientras están en tránsito, si los datos están cifrados, el atacante no puede acceder a ellos. Por tanto, los datos se vuelven inútiles.
La encriptación resuelve un problema, pero crea algunos más
Por supuesto, el cifrado no es perfecto. Los atacantes aún pueden acceder a datos cifrados de las siguientes maneras:
- Los atacantes pueden obtener acceso a claves de cifrado. Esto lleva al desafío de la gestión de claves, que incluye las siguientes precauciones:
- asegurar y controlar el acceso a claves de cifrado;
- rotar (cambiar) claves de forma rutinaria a lo largo del tiempo; y
- reemplazar claves robadas para evitar el acceso no autorizado.
- Los atacantes pueden encontrar una debilidad en la implementación del cifrado. En 2014, una vulnerabilidad en la implementación de OpenSSL, conocida como Heartbleed, permitió a un atacante remoto exponer datos confidenciales. La vulnerabilidad se parchó el mismo mes en que se encontró, pero muchos sistemas siguieron siendo vulnerables y comprometidos durante meses.
- Los atacantes pueden usar la fuerza bruta para descubrir las claves. Incluso si tenemos un millón de claves posibles, los atacantes pueden probar rápidamente claves aleatorias o un ataque de fuerza bruta a través del millón para encontrar la clave correcta. Cuantas más posibles claves tengamos, más seguro será nuestro cifrado. Sin embargo, el tamaño de la clave debe equilibrarse con la mayor cantidad de espacio de almacenamiento y tiempo necesario para cifrar y descifrar mensajes utilizando claves más grandes.
- Los atacantes pueden romper el cifrado. En 1973, Estados Unidos adoptó el Estándar de cifrado de datos (DES) como estándar nacional. DES, uno de los primeros cifrados informáticos modernos, permaneció en uso hasta que fue roto en 1997.
Las tecnologías innovadoras, como la computación cuántica, tienen el potencial de acelerar el proceso hasta el punto en que el cifrado ya no protege los datos. Dado el estado actual de la computación cuántica, no existe ningún peligro inmediato. Sin embargo, con un rápido desarrollo, la computación cuántica podría convertirse en un problema para el cifrado en la próxima década. El NIST ha estado trabajando para idear y examinar cifrados que puedan resistir un ataque de una futura computadora cuántica.
A pesar de los problemas, utilice cifrado
Incluso con algunos desafíos, el cifrado de datos es un componente fundamental y fundamental de la seguridad y privacidad de los datos en la era digital actual. Ayuda a proteger la información confidencial contra el acceso no autorizado, el robo y otras amenazas a la seguridad. El cifrado de datos garantiza que, incluso si caen en las manos equivocadas, no puedan leerse ni entenderse fácilmente.
Es un paso esencial que deben dar las empresas, organizaciones e individuos para proteger sus datos y mantener su privacidad. Invertir en un cifrado de datos sólido es una decisión inteligente que dará sus frutos a largo plazo y garantizará que su información confidencial permanezca segura.