Cifrando tu información sensible

Avatar

Hoy en día, todas la personas utilizan la tecnología como su principal medio de comunicación. Entre empresas, trabajadores y clientes comparten diferentes tipos de información sensible a través de distintos medios, como correo electrónico, archivos en la nube o incluso algunos más inseguros, como compartir archivos a través de la red local. Los usuarios, que en su mayoría desconocen los posibles peligros existentes, se conectan a redes WiFi, no sólo en casa o en el trabajo, sino también en hoteles, restaurantes o en otros sitios dónde desconocen la seguridad de la red a la que acceden y por la que viaja su información.

La importancia del cifrado y la información sensible

Este tipo de comportamientos, cuando hay un interés sobre la información que se comparte, son un foco de oportunidad para los atacantes. Existen técnicas habituales para la obtención de datos como la creación de puntos de acceso malignos o ilícitos, la obtención del tráfico dentro de la red, la redirección de los usuarios a páginas o servidores ilícitos, todo ello para que su información quede expuesta. La manera de mantener comunicaciones seguras (por correo, o estableciendo un canal de comunicación seguro) es el uso de la criptografía en las comunicaciones. El cifrado o encapsulado del medio de comunicación, el cifrado de archivos y correos electrónicos o el cifrado de la comunicación por voz, dotan a tus comunicaciones de un nivel de seguridad óptimo, donde el atacante ( siempre dependiendo del método criptográfico que estés utilizando) no podrá interferir en tus comunicaciones, obtener información o modificarlas a su conveniencia.

Cifrado asimétrico, cifrado simétrico y hashing

Es importante tener un claro concepto de qué tipo de criptografía existe, para entender donde se aplica. Vamos a explicar brevemente cada uno de estos conceptos, de tal manera que sea más fácil aplicarlos y saber cuando se usan.

Cifrado simétrico y asimétrico

Este tipo de cifrado se utiliza sobre todo para comunicaciones 1:1 o N:1, donde una persona envía un mensaje cifrado y el otro extremo tiene la capacidad de descifrarlo y saber lo que realmente se le ha querido transmitir. Para que esto ocurra, ambos extremos tienen una llave única: 

  • cifrado asimétrico: por un lado cifra y por el otro lado descifra 
  • cifrado simétrico: ambos tienen el mismo tipo de llave y por tanto, pueden tanto cifrar la información, como descifrarla.

Para la creación de este tipo de cifrado, ambos extremos tienen una llave o clave, la cual está creada a partir de un número muy grande obtenido de manera aleatoria (desde la frecuencia del procesador, a movimientos del ratón, u obtenida de variables ambientales) y una clave secreta (contraseña), que solo conocen los extremos (o uno de ellos). Con este número y esta clave, se aplican un algoritmo repetidas veces, lo cual fabrica la llave que esconde los datos o permite el acceso a los mismos:

  • cifrado simétrico: los dos tienen en su poder la misma clave y saben el secreto que se ha utilizado para crearla. Ambos usuarios (o todo aquel que la posea) podrá cifrar y descifrar la información.
  • cifrado asimétrico: se generan dos llaves, una pública, la cual el usuario que la tiene en su poder desconoce el secreto utilizado por el propietario. En este caso, cualquier persona la puede tener en su poder, ya que con ella, solo va a poder cifrar los datos con destino al propietario del otro par y con la cual, a día de hoy, no se conoce manera alguna de obtener la clave privada a través de la pública. Se genera también una llave privada, la cual está en posesión únicamente de la persona a la que pertenece y que tiene conocimiento del secreto aplicado. 

Los algoritmos más conocidos para este tipo de cifrado son:

  • Criptografía asimétrica: RSA, DSA, Diffie-Hellman, Curva elíptica. 
  • Criptografía simétrica: DES, 3DES, AES, RC5, Blowfish.

Algunos algoritmos de los anteriores no son considerados seguros y otros, dependiendo de la cantidad de bits que contenga la clave y con las tecnologías actuales, puede obtenerse la clave relativamente rápido (Esto depende de los equipos y tecnología que posea la persona que pretende romper dicha seguridad).

Este tipo de criptografía se utiliza en multitud de ámbitos, desde la seguridad en HTTPS o SMTPS, a través de TLS 1.2 o 2.0, como en la seguridad de las conexiones WiFi (WPA,WPA2), cifrado de información sensible (envío de ficheros seguro), como en comunicaciones privadas (VPN).

Hashing

El hashing es la propiedad de aplicar un algoritmo matemático sobre un conjunto de datos, de tal manera que el valor resultante sea una cadena de caracteres, de longitud fija, distinta al conjunto de entrada. Además, aplicada a la seguridad de la información, esta cadena tiene que ser inteligible. Esta aplicación tiene que cumplir las siguientes condiciones para ser segura:

  • El valor resultante de aplicar la función siempre tiene que ser el mismo 
  • No existe una manera de deshacer la función aplicada (función inversa) 
  • El número de colisiones (Probabilidad de que dos conjuntos de entrada den el mismo resultado) sea mínimo (ideal un 0%).

El hashing se utiliza en informática, sobre todo, para almacenar datos privados de los usuarios en bases de datos, de forma que no puedan ser recuperados o utilizados de manera maliciosa. Sirve también para controlar que ciertos almacenes de datos, como ficheros, no han sido modificados por un tercero en el momento en que los usuarios pierden el control sobre los mismos.

Los algoritmos más utilizados actualmente son MD5 y las familias SHA-1 y SHA-2. Los dos primeros son inseguros (Ver página del NIST y PDF del NIST sobre funciones HASH) ya que se han roto hace tiempo, además de, que el número de colisiones es muy elevado y los datos se pueden modificar con relativa facilidad. Nosotros, en A2Secure, recomendamos el uso de hashes de la familia SHA-2 y SHA-3 como funciones hash seguras.

Aplicando la seguridad a tu día a día

Para obtener un nivel óptimo de seguridad cuando se navega y se comparte información en entornos inseguros, el equipo de A2Secure propone las siguientes medidas, algunas de ellas ya consideradas buenas prácticas a aplicar por el usuario final:

  • Utilizar siempre páginas web que tengan implementado un protocolo seguro TLS1.2 o superior. 
  • Utilizar siempre un servicio de correo electrónico que tenga implementado un protocolo seguro TLS1.2 o superior. 
  • Cifrar la información sensible enviada a clientes o compañeros con cliente conocidos como GPG o hacer uso de herramientas de almacenado de claves seguras como KeePass o LastPass. 
  • No utilizar algoritmos de cifrado débiles. 
  • Realizar comprobaciones de integridad sobre ficheros sensibles recibidos por correo, así como enviarlos, conjuntamente con su valor hash de integridad para que lo pueda corroborar el destinatario.

 

Autor: José Vila

Leave a Comment

seguridad-informatica-111