Seguridad Informática

Encriptación de Datos: Una Guía Para Buenas Prácticas de Seguridad

¿Qué es la encriptación de datos? Lo escuchamos todo el tiempo y quizá sabemos qué significa en términos generales. Pero, ¿Qué es en realidad?

Comencemos por el nombre: datos = información. Podría ser un mensaje de correo electrónico, los contenidos de una base de datos o un archivo almacenado en una laptop. La palabra encriptación es una mezcla de inglés y griego que significa “ocultar”. La encriptación de datos es el proceso de esconder información de participantes maliciosos o alguien que esté mirando.

Encriptamos datos para mantenerlos confidenciales. La encriptación de datos es parte de un tipo más amplio de tácticas defensivas de ciberseguridad conocidas como “Seguridad de datos”. La seguridad de datos se trata de mantener nuestros datos a salvo de accesos no autorizados, bloqueos por ransomware (que es una forma maliciosa de encriptación) brechas o corrupción maliciosa (por ejemplo cambiar datos para volverlo inservible), etcétera.

La encriptación de datos moderna es el último modo de protección de datos en una larga línea de prácticas. Es una forma de criptografía, una técnica antigua de ofuscación de información donde se sustituye una letra por otra. Entonces, ¿Cómo encriptar datos? La encriptación funciona por medio de un complejo algoritmo matemático conocido como cifrado. El algoritmo de cifrado transforma datos normales (como texto plano) en una secuencia de caracteres que no son reconocibles y parecen aleatorios. Esto se conoce como “ciphertext” en inglés.

El ciphertext es ilegible, al menos buscando algún significado. La frase “hola cómo estás” puede transformarse en un ciphertext que se lee “QVIO PMXY EZQGG”. Para volver al “hola cómo estás” se requiere de un proceso de descifrado. Esta desencriptación requiere el uso del mismo algoritmo que se usó para encriptar, excepto que esta vez la “llave” matemática que se usó para cambiar texto plano a ciphertext se usa para cambiarlo de vuelta a texto plano.

¿Qué pasa cuando la encriptación de datos falla?

La encriptación de datos moderna hace que sea extremadamente difícil que participantes maliciosos vean datos confidenciales. Sin embargo, no es un método cien por ciento confiable. Para saber lo que ocurre cuando la encriptación de datos falla, es necesario entrar en detalle sobre cómo funciona el proceso.

La mayoría de métodos de encriptación se basan en el uso de llaves, que son largas cadenas de números que permiten que el algoritmo haga su trabajo. Usualmente estas llaves vienen en pares: una para el que envía la información encriptada, y otro para el que la recibe. Para que el algoritmo funcione correctamente, se necesitan ambas.

Los hackers pueden adivinar las llaves. Ni bien las tengan, pueden desencriptar datos de manera sencilla y robarlos. Esto requiere un proceso llamado “ataque de fuerza bruta”, donde un hacker utiliza un computador poderoso para adivinar todos los números o letras de la llave. Por supuesto, mientras más larga la llave, más difícil es usar fuerza bruta. Si la llave es muy pequeña, digamos de tres dígitos, sería relativamente sencilla de encontrar. Si la llave sólo está compuesta de números, son sólo 1000 combinaciones posibles. Hoy por hoy, las llaves son muchísimo más largas y fuertes. Una llave de 128-bits, que es el estándar en el mundo de la encriptación, tiene más de 300.000.000.000.000.000.000.000.000.000.000.000 posibles combinaciones. Parece imposible, incluso para un supercomputador, pero puede ocurrir.

Soluciones de encriptación de datos

Existen dos tipos básicos de soluciones de encriptación: las que encriptan tus datos inmóviles, y las que encriptan tus datos entránsito. Los hackers pueden ir por ambas: por ejemplo, tus archivos guardados (datos inmóviles) o tus comunicaciones (datos en tránsito). Respecto a dichas comunicaciones, mencionar que pueden ser tanto correos electrónicos como mensajes internos, sistema a sistema y a través de redes que manejan datos en nuestras organizaciones.

Existen soluciones separadas para datos inmóviles y en tránsito. Sisteméticamente, cada una tiene su propio impacto. Para los datos guardados es preciso configurar cualquier aplicación que necesite acceso a datos encriptados con los medios para desencriptarlos. Para los datos en tránsito, se hace necesario que tanto el emisor como el receptor tengan capacidades de cifrado y descifrado. Estos requerimientos crean problemas administrativos, y la situación se puede volver compleja al enviar datos encriptados fuera de tu organización.

¿Quién necesita usar la encripción de datos? La respuesta es casi todos nosotros. No tienes que ser un agente secreto para querer mantener tus datos confidenciales. De hecho, es muy probable que estés usando encriptación de datos incluso sin saberlo. Muchos servicios tecnológicos cifran y descifran tus datos de manera de mantenerlos a salvo hasta que se utilizan. Los negocios deberían encriptar datos que pudieran hacer daño a sus resultados financieros de existir una brecha. Los individuos de a pie deberían encriptar información sensible, como el historial médico o el número identificador nacional (RUT, DNI, etc.).

Algoritmos de encriptación de datos

Los dos métodos más usados para la encriptación de datos son la “llave pública”, también conocida como encriptación asimétrica, y la “llave privada”, o encriptación simétrica. Ambas se basan en pares de llaves, pero difieren en la manera en que los emisores y receptores comparten las llaves y manejan el proceso de cifrado y descifrado.

En el caso de una llave pública (encriptación asimétrica), el emisor usa una llave pública y conocida para encriptar los datos. El receptor, por su parte, tiene la llave privada que forma la otra mitad de este par público/privado. Usando la llave privada en combinación con la pública, el receptor puede desencriptar los datos. Si se trata de una llave privada (encriptación simétrica), tanto el emisor como el receptor tienen la misma llave privada. Como se pueden imaginar, hay bastante organización involucrada en almacenar y transmitir llaves secretas.

Hoy por hoy, compañías, productos de encriptación y agencias gubernamentales utilizan diferentes algoritmos de encriptación. Algunos de ellos son:

Triple DES (3DES) – Una modernización del antiguo pero altamente influyente Digital Encryption Standard, o DES. 3DES toma la llave de 56 bits de DES y la aumenta a 168 bits, haciéndolo difícil de romper pero muchísimo más intensivo con el uso de recursos computacionales.

Advanced Encryption Standard (AES) – Un cifrado simétrico basado en el algoritmo de bloques Rijndael. Se usa en el gobierno federal estadounidense además de productos de consumo, como los computadores Apple.

RSA – Uno de los primeros -y más ampliamente adaptados- modos de criptografía asimétrica para los datos en tránsito. Se originó en 1977. RSA funciona usano una llave pública basada en dos números primos muy grandes, además de un valor adicional, para encriptar los datos.

Elliptic Curve Cryptography (ECC) – Una forma de encriptación muy poderosa pero todavía no muy bien entendida. Es más rápida que otros algoritmos, por lo que se ha ganado la preferencia de agencias gubernamentales como la NSA.

Preguntas frecuentes sobre la encriptación de datos

¿Qué tan complicada es la encriptación de datos? Depende de lo sofisticado de tus necesidades. Es sencillo comprar una app sencilla de encriptación para tu laptop, después de todo, es sólo para ti. La cosa cambia si estás manejando la encriptación de una de las 500 corporaciones más grandes del mundo: es un trabajo para un equipo de personas y herramientas muy poderosas y caras.

¿Qué tipo de datos pueden o deberían estar encriptados? Las buenas prácticas de encriptación se suelen alinear con tus políticas de seguridad más amplias. No tiene sentido -y es muy complicado, además de caro- encriptar todo. La encriptación de datos requiere herramientas especializadas de software. Usualmente debes adquirir llaves, ya sea directamente o comprando un producto de encriptación que incruste dichas llaves en su funcionalidad. Además la encriptación ralentiza procesos como el correo electrónico y el procesamiento de datos.

Tiene sentido ser selectivo respecto a la encriptación. La sugerencia es encriptar datos que sean sensibles, datos que tendrían un impacto negativo en ti o en tu negocio si fuesen vulnerados, bloqueados por ransomware o corrompidos.

Cómo encriptar tus datos

Quizá te preguntes sobre qué pasos seguir para encriptar tus dispositivos de manera básica. La buena noticia es que existen muchas soluciones disponibles a un bajo precio o incluso de manera gratuita. Por ejemplo, los teléfonos Android tienen una encriptación completa del dispositivo: hay que activarla manualmente desde Gingerbread (2.3.x) hasta Kitkat, y desde Lollipop (5.x) ya viene activada por defecto y comienza a operar al asignar un PIN o contraseña al teléfono. El iPhone, por su parte, encripta tus datos (los inmóviles) por defecto. De hecho, se ha generado mucha controversia respecto a dispositivos propiedad de criminales, como el iPhone del tirador de San Bernardino.

Para tu PC o Mac, es posible encriptar tus datos inmóviles con soluciones de compañías como Symantec, Kaspersky, Sophos y ESET. También se pueden adquirir pendrives USB encriptados. El correo electrónico se puede cifrar a través de productos como DataMotion SecureMail, Proofpoint Email Encryption y Symantec Desktop Email Encryption.

El futuro de la encriptación de datos

La encriptación de datos y la seguridad de datos están evolucionando constantemente para mantenerse al día con amenazas cada vez peores. Si bien los ataques de fuerza bruta son difíciles, los hackers pueden robar las llaves o atacar en lugares de la cadena de administración de datos donde la encriptación esté suspendida. Por ejemplo, los datos casi nunca están encriptados cuando pasan por la CPU de un equipo; esto está cambiando, ya que fabricantes como Intel están introduciendo herramientas de cifrado para sus CPUs debido a algunos potenciales ataques.

El futuro de la encriptación de datos promete más innovación. Esto incluye algoritmos de cifrado que incorporan datos biométricos y reconocimiento por voz; una suerte de llave única y personal. La industria también está incorporando trampas del tipo honey encryption, que muestran un texto plano falso -pero posible- cuando un hacker adivina la llave de desencriptado.

Por su parte Blockchain, que no es estrictamente hablando un tipo de encriptado, utiliza algoritmos de cifrado para asegurar la integridad de los datos guardados en la infraestructura Blockchain. Es muy probable que veamos muchos más avances en el futuro.

Conclusiones

La encriptación de datos es un elemento común y necesario en la ciberseguridad en general, y en la seguridad de datos en particular. El proceso requiere tecnología altamente sofisticada, pero las soluciones se están volviendo muy sencillas de usar, al menos al nivel de los consumidores. En algunos casos, como con iOS o Android, la encriptación ocurre incluso aunque el usuario no lo sepa. Para las organizaciones, la encriptación de datos debería ser parte de las medidas de seguridad digital, aplicada de manera selectiva a los activos de datos sensibles.

Sobre el autor

Norman Gutiérrez

Norman Gutiérrez is our Security Researcher at Prey, one of the leading companies in the security and mobility industry, with more than 8 million users worldwide. In addition to this, Norm is Prey's Content and Communication Specialist, and our Infosec ambassador. Norm has worked for several tech media outlets such as FayerWayer and Publimetro, among others. In his free time, Norman enjoys videogames, cool gadgets, music, and fun board games.