Connect with us

A Fondo

CISA apuesta por el cifrado en su guía de prácticas de seguridad en comunicaciones móviles

Publicado el

La agencia de ciberseguridad estadounidense, CISA, ha publicado una guía de mejores prácticas para las comunicaciones móviles, donde insta a funcionarios gubernamentales a usar las tecnologías de cifrado de extremo a extremo y en concreto, en aplicaciones de mensajería instantánea, las más seguras como Signal.

La guía se ha elaborado en respuestas a la ola de violaciones de seguridad en operadoras de telecomunicaciones de docenas de países, incluidas ocho en Estados Unidos. La CISA y el FBI confirmaron estas infracciones a finales de octubre, después de conocerse que Salt Typhoon, un grupo de ciberdelincuentes presuntamente financiados por el estado chino y conocido bajo distintos nombres desde al menos 2019, hubiera atacado a grandes telecos como T-Mobile, AT&T, Verizon y Lumen Technologies. Aunque no está claro el momento en que se produjeron las infracciones, se informó que los atacantes tuvieron acceso a los datos durante «meses o más».

Aunque las directrices mencionadas por la CISA se aplican a individuos muy específicos que probablemente posean información de interés para los ciberespías chinos, las medidas pueden ayudar a cualquier persona que quiera proteger sus datos e información de los piratas informáticos que violan con éxito la seguridad de sus operadores móviles.

Y el campo de acción es total: «Debe asumirse que todas las comunicaciones entre dispositivos móviles, incluidos los dispositivos gubernamentales, los personales y los servicios de Internet, corren el riesgo de ser interceptados o manipulados«, asegura la agencia de ciberseguridad estadounidense.

Cifrado de extremo a extremo

La recomendación (encarecida) del uso del cifrado de extremo a extremo es un gran cambio de paradigma frente a otros tiempos donde algunas agencias y reguladores solicitaban precisamente lo contrario, un debilitamiento de estas tecnologías citando la ‘seguridad nacional’.

Los expertos en seguridad y las organizaciones que velan por los derechos en Internet, consideraron que la idea de recortar la seguridad de los sistemas de cifrado con el socorrido argumento de la «seguridad» era un auténtico disparate. Ya no solo es que un sistema democrático no pudiera admitir que la «delincuencia» fuera una excusa para recortar derechos fundamentales, es que de los sistemas de cifrado depende la ciberseguridad mundial, Internet y servicios tan delicados como el comercio electrónico o la banca en línea.

Cifrado de extremo a extremo

En cuanto al uso de «puertas traseras» con la que romper el cifrado de extremo a extremo por las autoridades, no se consideran seguras y con total seguridad terminarían llegando a los ciberdelincuentes que las usarían en un modelo terrible para la seguridad mundial. Y es que debilitar los sistemas de cifrado destruiría la protección de todos en lugar de investigar a los sospechosos, socavando décadas de avances en seguridad que protegen a clientes y ciudadanos.

No es fácil encontrar el equilibrio en estas cuestiones, siempre delicadas, donde también hay que facilitar la batalla de los estados, los servicios de inteligencia y sus cuerpos de seguridad contra los ‘malos’, pero la opinión de la agencia de ciberseguridad estadounidense a favor de las tecnologías de cifrado es clara: «CISA insta encarecidamente a las personas altamente vulnerables a que revisen y apliquen de inmediato las mejores prácticas proporcionadas en la guía para proteger las comunicaciones móviles, incluido el uso consistente del cifrado de extremo a extremo«, dicen desde la agencia.

Signal, la recomendada en mensajería instantánea

En la guía de buenas prácticas, CISA recomienda usar una aplicación de mensajería segura y nombra específicamente a Signal para la comunicación móvil en múltiples plataformas móviles (iOS, Android) y de escritorio (macOS, Windows y Linux).

Aunque hay otras alternativas (incluso más seguras), Signal es la mejor opción entre el software gratuito. Ofrece chat de video, voz y texto, llamadas de voz y vídeo con cifrado de extremo a extremo, así como transferencias seguras de archivos y fotos. Funciona bajo el protocolo Signal Messaging Protocol, ampliamente reconocido como el protocolo de mensajería más seguro disponible y es un desarrollo Open Source, lo que significa que su código está disponible en línea para escrutinio público y cualquier cuestión de privacidad o fallo de seguridad puede ser verificado por expertos.

A pesar de estar alejada del millonario número de usuarios de Telegram o WhatsApp, Signal es el gran nombre actualmente en mensajería instantánea y no es raro que la CISA la recomiende, si bien hay otras incluso más seguras como Threema o con enfoque más empresarial como Wire.

La agencia también recomienda utilizar la autenticación multifactor (MFA) resistente a la suplantación de identidad, junto con claves de seguridad FIDO basadas en hardware (por ejemplo, Yubico o Google Titan) o claves de acceso para proteger las cuentas de Microsoft, Apple y Google. Siempre que sea posible, también se deben habilitar opciones como el programa de Protección avanzada (APP) de Google o el modo de bloqueo de Apple para protegerse contra el secuestro de cuentas y los ataques de suplantación de identidad.

Además, CISA recomienda evitar la MFA basada en SMS (demostrada insegura), utilizar un administrador de contraseñas para almacenar y proteger las contraseñas de los atacantes y configurar un PIN o código de acceso de la compañía telefónica para operaciones sensibles como portar su número de teléfono y bloquear los intentos de intercambio de SIM.

Advertisement
Advertisement

Lo más leído