in IT & Data security
,

Nociones básicas de encriptamiento

Si trabajas con datos privados de cualquier clase, te puede venir bien familiarizarte con el encriptamiento y los cada vez más numerosos requisitos para la protección de datos delicados.

En Future Lab te informábamos recientemente sobre el creciente número de robos de datos y su alto coste, y la tendencia que se advierte ya en varios países hacia el uso de métodos de encriptamiento para combatir entradas no autorizadas en edificios. Aquel artículo examinaba también cómo el uso de aparatos móviles está volviendo los datos y las contraseñas cada vez más susceptibles de ser capturados por quienes no deben.

Pero, ¿y si tus dudas sobre el encriptamiento fueran más básicas que todo eso? Quizá te estés preguntando: qué es y de dónde procede, qué aspectos del encriptamiento preocupan más a las empresas, qué tipos distintos de encriptamiento existen, y sobre qué normativas y reglamentos técnicos deberías estar al tanto para saber si los (actuales o venideros) métodos de encriptamiento de datos de tu empresa u organismo afectan a la seguridad física.

El encriptamiento abarca diversos métodos de convertir un texto normal en signos ilegibles (texto cifrado), que protege al texto de lectores y usuarios no autorizados. El receptor del texto encriptado utiliza una “clave” para devolver el texto a su forma original. La criptografía de clave pública, que es la base de los estándares de Internet (ver TLS o PGP más abajo) utiliza una pareja de claves asimétricas. Una de ellas se almacena en privado y la otra se usa libremente en público. El encriptamiento de clave pública se suele utilizar, por ejemplo, para las firmas digitales en la banca electrónica.

Según “Foundations of Cryptography” , en SecurityDocs.com, el desarrollo de esta tecnología y esta ciencia tiene raíces profundas en la historia, sobre todo en los ámbitos político o militar, en los que los secretos escritos en tinta o en papel eran el equivalente de los actuales cifrados, en los que normalmente lo que está en juego es información (personal o relativa a empresas) almacenada en un formato digital:

“Desde los cifrados más sencillos de letras cambiantes hasta los actuales cifrados de seguridad matemáticamente probada, la criptografía ha progresado enormemente. También ha ampliado su gama de usos para acomodarse a un número creciente de aplicaciones. La criptografía permite almacenar datos de forma segura en una red que no suele garantizar una gran seguridad. También posibilita almacenar datos privados en el ordenador, fuera del alcance de ojos indiscretos. Incluso un ladrón de coches puede verse impotente ante las técnicas de encriptamiento de un sistema de apertura a distancia.” 

PGP Corporation, cuyo nombre procede del desarrollo del software Pretty Good Privacy en los años 90, es uno de los proveedores líder de software de encriptamiento de datos y correo electrónico. Además de ofrecer una amplia gama de recursos de encriptamiento en su web, PGP también patrocina presentaciones y papeles blancos tales como “The Critical Need for Encrypted Email and File Transfer Solutions,” escrito por Michael Osterman y Linda Leung y disponible en Osterman Research.

Si tu empresa opera en Estados Unidos debes recordar que, según Osterman y Leung, sólo cinco estados carecen actualmente de leyes sobre el robo de datos y que “cada vez es mayor el número de requisitos por parte del gobierno federal estadounidense respecto a la protección de datos delicados, y lo mismo se puede decir de muchos otros países…”. Así, existen leyes como la Health Insurance Portability and Accountability Act (HIPAA), sobre la revelación de información sanitaria, y otras como la Gramm-Leach-Bliley Act (GLBA), Privacy of Consumer Financial Information (Regulation S-P), Payment Card Industry Data Security Standard (PCI DDS), y Personal Information Protection and Electronics Act (PIPEDA). Todos estos acrónimos son importantes cuando se trabaja en colaboración con firmas de servicios financieros, o cuando nuestra compañía está almacenando o transfiriendo información sobre tarjetas de crédito en el curso de sus operaciones comerciales. Para conocer las normativas específicas de otros países, puedes consultar de forma gratuita Ponemon reports, que informa sobre las tendencias más recientes en el campo del encriptamiento. 

Aunque tal vez no seas tú la persona responsable de encriptar datos en tu compañía, Osterman y Leung ofrecen un detallado recorrido por los principales métodos a tener en cuenta, entre los cuales están:

• TLS (Transport Layer Security). Si los sistemas de correo electrónico del emisor y el receptor utilizan TLS, los mensajes son encriptados automáticamente durante la transmisión. TLS y su predecesor, Secure Sockets Layer (SSL), son los protocolos más extendidos para la realización de transacciones seguras por Internet.

• OpenPGP. Un estándar de encriptamiento que protege todo tipo de contenidos, desde correos electrónicos e imágenes hasta PDFs. 

• S/MIME (Secure Multipurpose Internet Mail Extensions). Un encriptamiento de clave pública y correo electrónico muy utilizado.

• Métodos Manuales. Este tipo de software requiere que el emisor del correo electrónico teclee un prefijo en el mensaje o encabezamiento; una vez enviado, el receptor teclea la clave o, si ya está registrado con el sistema del usuario, lee directamente el mensaje. 

• Algunos Organismos Con Políticas Propias pueden aplicar un encriptamiento automático a ciertas palabras clave, como los nombres de individuos o de empresas, o a números de la seguridad social o de tarjetas de crédito. 

Ahora que ya tienes unas nociones básicas sobre lo que es el encriptamiento, averigua qué métodos de esta lista utiliza tu compañía u organismo, y plantea a la directiva si se trata de un método lo bastante sólido, o si ya se están planeando cambios en la gestión del encriptamiento que puedan acarrear nuevos riesgos a la seguridad física.

 Por Derek Scheips

* Indica campo obligatorio


Related images

Encryption-basics_4

Comment

You must be logged in to post a comment.