Cifrar los datos o cómo reducir el riesgo a «cero»

Chema Pérez Romero, ingeniero preventa seguridad IT de Ajoomal Asociados.

Cada día, nuestra información personal se encuentra más presente en la Red y con ello, nuestra vida privada queda más expuesta. Cada vez que hacemos búsquedas o visitamos determinados sites, vamos dejando datos sobre nosotros que son tremendamente útiles para las empresas, que pueden dirigir publicidad y lanzar promociones personalizadas. Pero éstas no son las únicas organizaciones que van a la caza de este ‘tesoro’. Algunos gobiernos ya han defendido hacer ‘espionaje’ en la red alegando motivos de seguridad nacional pero, ¿se realiza realmente para detectar posibles casos de terrorismo? ¿O se venden al mejor postor? Quién no recuerda el escándalo Snowden, en el que el antiguo empleado de la CIA  filtró a los periódicos Washington Post y The Guardian la información sobre los programas de espionaje masivo, revelando prácticas de dudoso carácter ético por parte del gobierno de EEUU.

No es siempre un ciberdelincuente quien busca inmiscuirse en comunicaciones privadas sino que en España, desde 1996  los propios operadores pueden monitorizar y acceder sin necesidad de una orden judicial a nuestras conversaciones de voz, por lo que nuestras comunicaciones y datos se encuentran permanentemente expuestos al estar conectados. Es importante saber qué consecuencias tiene esta exposición y qué podemos hacer para minimizar el riesgo.

Como compañía, debemos saber que el riesgo cero no existe. Por este motivo, debemos tomar medidas. La primera: identificar dónde somos más vulnerables, pues las consecuencias pueden ser irreparables. Según datos de la industria, el 93% de las empresas que ha sufrido fugas de datos, quiebra en los 12 meses siguientes. A las pérdidas económicas, hay que sumarle el daño que se produce en  la reputación y que ya han sufrido todo tipo de empresas en nuestro país, desde bancos a ayuntamientos que perdieron información sensible de sus clientes/ciudadanos.

El cifrado es una alternativa segura para proteger nuestros datos y salvaguardar nuestra intimidad. Cuando ciframos información, usamos una clave más o menos robusta para generar un mensaje distinto al original y que solo es legible por otro interlocutor.

Actualmente, existen soluciones de seguridad que garantizan un cifrado punto a punto. Esto significa cifrar la información no solo en el servidor donde resida sino también aplicar cifrado cuando ésta viaja, desde el comienzo de la comunicación hasta el destinatario. Si los datos viajasen en claro, es decir, sin cifrar hasta el destinatario cualquier elemento podría interceptarlos y si el cifrado no es adecuado (existen cifrados más o menos robustos), corremos el riesgo de que sean interceptados con un ataque de Man in The Middle.

En este tipo de ataques, un elemento o dispositivo se interpone entre los usuarios extremos de la comunicación, haciéndose pasar por el extremo contrario, suplantando así su identidad y obteniendo información privada. Para abolir los ataques de tipo Man In The Middle, sea cual sea su naturaleza, los nuevos sistemas de seguridad implementan un cálculo adicional de autenticación (llamado hash) que se intercambian los extremos. De este modo, si este cálculo no coincide con el esperado, se determina que la comunicación está siendo víctima de un ataque de este tipo y la comunicación no llega a establecerse.

Debemos ser conscientes de que el riesgo cero no existe y que lo único que podemos hacer es minimizar nuestra exposición al mismo. ¿Cómo? Siendo cuidadosos con lo que compartimos y con quién lo compartimos, y utilizando la tecnología de cifrado más adecuada para nuestras comunicaciones no solo de datos sino también de voz. Hoy en día existente soluciones a nivel empresarial que se adecuan a cada necesidad y es lo único que nos puede dar algún tipo de garantías.