Buscar
Cerrar este cuadro de búsqueda.
Categorías
Protección de datos

Fallos criptográficos: segunda mayor amenaza para la ciberseguridad

“Los fallos criptográficos se han convertido en un problema creciente en un mundo que depende en gran medida de las transacciones digitales y las comunicaciones en línea que hacen uso de la criptografía.

En este contexto, la ciberseguridad, con especial atención a los algoritmos criptográficos, se ha vuelto fundamental. Estos algoritmos son una herramienta esencial para proteger los datos sensibles.

Sin embargo, la eficacia de este cifrado de datos depende directamente de su aplicación correcta y segura, un aspecto que, por desgracia, a menudo se pasa por alto.”

A
OWASP (Proyecto mundial abierto de seguridad de las aplicaciones)
) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. En 2021, la Fundación publicó su última lista “Top 10”,
clasificación de las amenazas a la ciberseguridad
.

En esta lista,
los fallos criptográficos ascendieron a la segunda posición
lo que pone de relieve la gravedad de este problema.

Owasp-Top10 2021 - Defectos criptográficos

Anteriormente clasificados como “Exposición de datos sensibles”, los fallos criptográficos han sido reconocidos como la causa principal de muchas violaciones de la seguridad.

No se trata de meros síntomas de problemas de seguridad más amplios, sino de fallos fundamentales que permiten exponer datos sensibles y poner en peligro los sistemas.

Este artículo explorará la creciente amenaza de los fallos criptográficos y destacará la importancia de un control más estricto de las claves y algoritmos criptográficos.

Si comprendemos la naturaleza de estos fallos y aplicamos los controles adecuados, podremos hacer que nuestros sistemas sean más seguros y proteger mejor nuestros datos de las ciberamenazas.

Necesidad de un control más estricto de las claves y algoritmos criptográficos

En resumen, el cifrado es una herramienta poderosa para proteger datos sensibles, pero cuando se utiliza mal o se descuida, puede ser el origen de brechas de seguridad catastróficas.

Muchos de los errores más comunes relacionados con la criptografía pueden atribuirse a fallos en el control de las claves criptográficas y los algoritmos. He aquí algunos de los problemas más comunes:

  • Uso de algoritmos y protocolos criptográficos débiles u obsoletos.

A medida que avanza la tecnología, los algoritmos y protocolos que antes se consideraban seguros pueden volverse vulnerables. Por ejemplo, las funciones hash como MD5 y SHA1 fueron muy utilizadas en el pasado, pero ahora se consideran inseguras y se desaconsejan.

Del mismo modo, el uso de métodos de relleno criptográfico obsoletos, como PKCS número 1 v1.5, también puede dar lugar a vulnerabilidades.

  • Uso inadecuado de claves criptográficas

Las claves criptográficas son una parte fundamental de la criptografía, pero a menudo se gestionan mal.

Entre los problemas más comunes se encuentran el uso, generación o reutilización de claves criptográficas débiles y la falta de rotación adecuada de las claves.

Además, un almacenamiento inadecuado de las claves, como almacenarlas en el código fuente, puede hacerlas vulnerables a la exposición y el robo.

  • Transmisión de datos en texto plano

Incluso con cifrado, si los datos se transmiten en texto claro (por ejemplo, a través de protocolos como HTTP, SMTP, FTP), pueden ser interceptados y leídos por atacantes.

  • Fallo en la validación adecuada de certificados y cadenas de confianza

Para establecer una conexión segura, debe validar correctamente los certificados del servidor y las cadenas de confianza. Si no lo hace, los atacantes pueden hacerse pasar por entidades de confianza e interceptar o alterar los datos.

  • Ausencia de cifrado autenticado

El cifrado autenticado es una forma de criptografía que no sólo protege la confidencialidad de los datos, sino también su integridad y autenticidad.

Si sólo se utiliza el cifrado, sin autenticación, los datos pueden ser vulnerables a determinados tipos de ataques.

En la práctica, para mitigar estos fallos es vital un control estricto de las claves y los algoritmos criptográficos.

Reforzar la ciberseguridad: mitigar las brechas criptográficas

Los fallos criptográficos, aunque peligrosos, son evitables. Hay varias medidas preventivas que pueden adoptarse para minimizar el riesgo de estos fallos. He aquí algunas de las más importantes:

  • Clasifique sus datos

Identifique qué datos son sensibles y necesitan protección adicional. Esto puede incluir información personal, historiales médicos, números de tarjetas de crédito, secretos comerciales y cualquier dato sujeto a leyes o normativas de privacidad.

  • Minimizar el almacenamiento de datos sensibles

En otras palabras, no almacenes más de lo que necesitas. Elimine los datos sensibles en cuanto dejen de ser necesarios.

Si necesitas almacenar datos confidenciales, asegúrate de que estén encriptados.

  • Utilizar algoritmos y protocolos seguros y actualizados

Evite utilizar algoritmos y protocolos criptográficos que se sabe que son inseguros o que han quedado obsoletos. Asegúrese de que utiliza algoritmos y protocolos considerados seguros por las autoridades actuales en materia de ciberseguridad.

  • Aplicar una gestión eficaz de las claves

Las claves criptográficas deben generarse y almacenarse de forma segura, evitando su reutilización entre diferentes sistemas o aplicaciones. Además, debe implantarse un proceso de rotación periódica de las llaves.

  • Utilizar el cifrado en tránsito y en reposo

Los datos deben cifrarse, incluso en reposo o cuando se transmiten entre sistemas (en tránsito).

  • Autentique sus cifrados

Utiliza siempre el cifrado autenticado, que protege no sólo la confidencialidad de los datos, sino también su integridad y autenticidad.

  • Evitar funciones y esquemas criptográficos obsoletos

Evite el uso de funciones hash obsoletas como MD5 y SHA1 y esquemas de relleno criptográfico obsoletos como PKCS número 1 v1.5.

Adoptando estas medidas preventivas, las organizaciones pueden reforzar su ciberseguridad y mitigar el riesgo de infracciones criptográficas.

La ciberseguridad es un campo en constante evolución, y es importante estar siempre alerta y al día de las últimas y mejores prácticas.

Aumento de los fallos criptográficos: la urgencia de un control estricto

A medida que evolucionan las amenazas a la seguridad web, es esencial que evolucionen también las prácticas de cifrado.

Aplicar medidas preventivas sólidas y mantener un control estricto de las claves y algoritmos criptográficos es un paso crucial para garantizar la seguridad de los datos y la fiabilidad de los sistemas.

Concienciar sobre la importancia de un cifrado seguro y eficaz es clave para combatir la creciente oleada de fallos criptográficos.

Eval lidera la agilidad criptográfica y las tecnologías avanzadas

Eval es una empresa que se diferencia en el mercado por adoptar y ofrecer tecnologías avanzadas. Una de sus principales áreas de especialización es la agilidad criptográfica, junto con las herramientas de firma electrónica, esenciales en la era digital actual.

Las soluciones de firma electrónica de Eval son herramientas sólidas que proporcionan el nivel de seguridad necesario para las transacciones y acuerdos digitales. Con ellas, se puede confirmar la autenticidad de documentos, contratos y transacciones digitales, protegiendo contra el fraude y los malentendidos.

Sin embargo, es en la agilidad criptográfica donde Eval brilla de verdad. Como una de las estrategias más vitales para proteger la información digital, la agilidad criptográfica permite una rápida adaptación a las amenazas y evoluciones del panorama de la ciberseguridad.

La agilidad criptográfica es esencial para mantener la confianza en los entornos digitales, donde las amenazas evolucionan constantemente y la seguridad de los datos es de vital importancia. Eval reconoce esta necesidad y está a la vanguardia de la implantación de sistemas que permitan cambiar y actualizar rápidamente los algoritmos criptográficos y los protocolos de seguridad.

En Eval, utilizamos las últimas y más seguras formas de cifrado y prácticas de agilidad criptográfica para garantizar que los datos de nuestros clientes estén siempre protegidos, sin comprometer la capacidad de adaptación al cambiante panorama de la seguridad digital.

Póngase en contacto con Eval

Ahora que ya conoce la creciente amenaza de los fallos criptográficos y la importancia de un control estricto de las claves y algoritmos criptográficos, es hora de ir un paso más allá.

No deje la seguridad de sus datos al azar. La protección eficaz de sus datos empieza por elegir un socio tecnológico fiable y con experiencia.

Para obtener más información sobre cómo Eval puede ayudarle a reforzar la seguridad de sus datos y reducir los riesgos asociados a los fallos criptográficos, póngase en contacto con nosotros hoy mismo. Nuestros expertos están dispuestos a escuchar sus necesidades y elaborar la solución personalizada que mejor se adapte a sus requisitos.

No espere a que sea demasiado tarde. Convierta la seguridad de sus datos en una prioridad hoy mismo y descubra cómo Eval puede ayudarle a conseguirlo.

Póngase en contacto con Eval ahora y dé el primer paso hacia un futuro más seguro.

Acerca de Eval

Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.

Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Escrito por Arnaldo Miranda, Evaldo. Ai, revisado por Marcelo Tiziano y diseñado por Caio.

Categorías
Protección de datos

Gestión de claves criptográficas en sanidad: un verdadero reto

El uso de la criptografía y la gestión de claves criptográficas en la sanidad para proteger los datos en reposo o en soportes es una realidad para las instituciones médicas y los usuarios de servicios como el almacenamiento en la nube, la mensajería y muchos otros.

Sin embargo, a los responsables de estos servicios se les presentan muchas opciones de mecanismos criptográficos y, en consecuencia, hay que elegir entre muchas opciones.

Una mala elección en la gestión de claves criptográficas en la sanidad puede suponer una ganancia escasa o nula, incluso una pérdida, creando una falsa sensación de seguridad en los datos de una organización sanitaria.

Por ejemplo: cifrar una base de datos y guardar la clave criptográfica en un archivo del servidor.

En este artículo pretendemos abordar algunos aspectos relevantes para la seguridad de la información de datos en el ámbito sanitario que están relacionados con las claves criptográficas.

Esto mostrará la importancia de su correcta gestión para la programación de servicios criptográficos.

Para facilitar la comprensión, dividiremos el artículo en tres partes. Empezando por los fundamentos de la criptografía, los servicios criptográficos y, por último, la gestión de claves criptográficas.

Gestión de claves criptográficas en sanidad y cifrado de datos

La criptografía es un conjunto de principios utilizados para garantizar la seguridad de la información en una organización sanitaria.

Para ello, la gestión de claves criptográficas en la sanidad emplea técnicas para transformar una información (cifrado) en otra (criptograma) que sólo pueden leer quienes conocen el secreto (clave secreta).

Al mantener este secreto a salvo, impedimos que personas no autorizadas accedan a la información original (descifrar).

  • Secreto

La seguridad de los servicios criptográficos se basa en el secreto de la clave criptográfica, que permite cifrar y descifrar, y no en el método de transformación de la información, es decir, el algoritmo utilizado, que debe ser público.

  • Claves simétricas y asimétricas

En criptografía hay dos tipos básicos de algoritmos: de clave simétrica y de clave asimétrica. Los primeros utilizan una sola clave para cifrar y descifrar los datos, mientras que los segundos adoptan un par de claves, una para el cifrado y otra para el descifrado.

Servicios criptográficos

Realmente no existe un método al 100%, ni para la salud ni para ningún otro ámbito, pero algunas pautas pueden ayudar a reducir o prevenir los ataques.

Uno de los primeros pasos que hay que tener en cuenta es la confidencialidad de los datos de cada paciente. Utiliza una red a la que sólo tengan acceso las personas autorizadas.

Buscar un almacenamiento especial para sus datos también es una de las formas de evitar la fuga de datos. Existen almacenamientos que pueden ayudar a la seguridad de la sanidad digital en este sentido.

Como ya se ha mencionado, está claro que el cifrado y la gestión de claves criptográficas en la sanidad son las formas más eficaces de prevenir el robo de datos en este sector.

Ya sea para proteger los datos en reposo, es decir, los que están almacenados, o incluso para proteger los datos en tránsito, es decir, los que viajan por la red, junto con un estricto control de acceso son esenciales para ayudar al hospital a mantener los datos protegidos.

Vale la pena recordar que es súper importante proteger el perímetro con un firewall en su red y también proteger el escritorio / servidores con antivirus, entre muchas otras herramientas.

  • Confidencialidad

Según estudios
los ataques por correo electrónico crecieron un 473
2017-2019 solo para sanidad. El mantenimiento de sistemas heredados obsoletos es una de las razones de este elevado volumen de ataques.

Otro estudio estima que el gasto sólo en publicidad, debido al riesgo de imagen
aumenta un 64%
en los hospitales que sufren filtraciones de datos.

La confidencialidad tiene que empezar por la adopción de una Historia Clínica Electrónica (HCE), que además de centralizar los datos médicos de cada asistencia (historial completo), facilite la obtención de acreditaciones de prestigio en el sector, como la HIMSS (Health Information and Management Systems Society), vinculadas a las buenas prácticas informáticas sanitarias.

Debe formar a su personal de forma continuada para evitar el acceso y uso indebidos de las aplicaciones proporcionadas dentro de su organización.

La confidencialidad de los datos mediante el cifrado, la gestión de las claves criptográficas en la sanidad y con un control de acceso adecuado, también garantiza que la información no pueda ser vista por terceros y que sólo tengan acceso a ella las personas autorizadas.

  • Integridad

La técnica para garantizar la integridad consiste, en pocas palabras, en que una determinada información no se modifique de forma no autorizada tras su creación, durante su transmisión o almacenamiento.

Tanto si el cambio es accidental como intencionado, la inserción, eliminación o sustitución de datos debe detectarse. Mecanismos criptográficos como el resumen criptográfico, también conocido como hash, y la firma digital proporcionan el soporte para este servicio.

  • Autenticación

El servicio de autenticación verifica la identidad de un usuario para tener cierta seguridad de que la persona es quien dice ser en realidad. Existen varios mecanismos de autenticación, usuario y contraseña es un modelo bien conocido, pero también lo es la autenticación mediante un certificado digital.

En el modelo de certificado digital, se puede utilizar el protocolo SSL, o incluso las firmas digitales de inicio de sesión como modelo de autenticación. El certificado digital debe utilizar el modelo ICP-Brasil u otro en el que confíe la organización, como Internal Certificate Authority.

En las Autoridades Certificadoras ICP-Brasil, es en el proceso de emisión del certificado digital que la persona necesita asistir a una validación presencial, ahora también existe la modalidad remota, con documentos originales que comprueben la identidad del solicitante.

Infografía híbrida HSM

  • Irretractabilidad

El servicio de irretractabilidad proporciona los medios para garantizar que quien haya creado la información no pueda negar su autenticidad, o al menos que sea difícil de negar.

En este sentido, está vinculada a la firma digital, en la que el propietario de la clave privada no puede negar que la ha tenido para un fin determinado.

  • Autorización

Además, tras la autenticación, es posible utilizar la información del usuario autenticado en el sistema para definir la autorización de la información. El servicio de autorización proporciona aprobación o permiso para la ejecución de una actividad.

A modo de ejemplo, el servicio de autorización puede emplearse para definir los permisos de uso de una clave criptográfica que, en consecuencia, permitiría acceder a una determinada información.

Gestión de claves criptográficas en la sanidad

Las claves criptográficas son la base de la criptografía y en ellas reside la seguridad de los datos cifrados. Las brechas pueden comprometer las claves y, en consecuencia, filtrar información sensible como los historiales de los pacientes.

El aumento del uso del cifrado para la protección de datos en las instituciones sanitarias, debido sobre todo a la normativa gubernamental, hace que tengan que lidiar con múltiples soluciones para cifrar los datos, véase LGPD.

Debido a la diversidad de proveedores, las organizaciones también necesitan definir diversos procedimientos para gestionar las claves criptográficas, y éstos no siempre son adecuados.

La gestión de claves criptográficas consiste en almacenar, proteger, organizar y garantizar el uso adecuado de las claves criptográficas, gestionar su ciclo de vida y mantener copias de seguridad de forma segura y coherente.

  • Almacenamiento seguro de llaves

Las claves deben almacenarse de forma segura, es decir, cifradas y con acceso controlado.

El cifrado debe realizarse preferentemente mediante claves (
CLAVE
) protegidas en un hardware criptográfico, preferiblemente.

  • Identificación de las llaves

Debe ser posible identificar una llave, su tipo, su finalidad, quién está autorizado a utilizarla y el periodo de uso.

Ciclo de vida de las claves criptográficas

El ciclo de vida de las claves criptográficas debe controlarse para que se utilicen adecuadamente durante su periodo de validez, es decir, que sólo las personas o sistemas autorizados puedan utilizarlas durante un tiempo predefinido y con mecanismos seguros para que no se vean comprometidas.

Describiremos el ciclo de vida de las claves, según la recomendación del NIST.

El ciclo de vida de una clave comienza con su generación y termina con su destrucción, pasando por uno o varios de los estados que se describen a continuación:

  • generación: momento de creación de la clave, que aún no está lista para su uso;
  • preactivación: la clave se ha generado, pero aún no está lista para su uso porque se está a la espera del periodo de uso o de la emisión de un certificado;
  • activada: la llave está disponible para su uso;
  • suspendido: se suspende temporalmente el uso de la llave. En este estado, ya no puede realizar operaciones de cifrado o firma, pero puede utilizarse para la recuperación de datos o la verificación de firmas realizadas previamente.
  • inactivada: la clave ya no puede utilizarse para cifrar o firmar digitalmente, pero se conserva para procesar los datos cifrados o firmados antes de la inactivación.
  • comprometido: indica que la clave ha visto afectada su seguridad y ya no puede utilizarse en operaciones criptográficas. En algunos casos, como las claves simétricas, puede utilizarse para recuperar los datos cifrados para cifrarlos posteriormente con otra clave.
  • destruido: este estado indica que ya no se necesita una clave. La destrucción de la clave es la etapa final y puede lograrse debido al fin del ciclo de uso de la clave o al compromiso de su seguridad.

En general, tanto las instituciones sanitarias como todas las organizaciones deben centrarse en la mejora continua al tiempo que gestionan sus riesgos a un precio compatible con su realidad.

Las empresas deben evaluar críticamente cómo proteger sus sistemas. También deben considerar las “causas profundas” de los incidentes de seguridad en sus entornos como parte de una evaluación de riesgos.

A medida que los sistemas se vuelven más seguros y las instituciones adoptan medidas eficaces para gestionar sus procesos, la gestión de claves se vuelve cada vez más esencial. Proteger los datos de una organización sanitaria es fundamental para la seguridad de la información de sus pacientes.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

¿Por qué es importante la gestión de claves de cifrado?

Las empresas mueven cada vez más datos sensibles por Internet y están migrando en gran medida su infraestructura a la nube, en diferentes tipos de modelos de servicio. A medida que esto ocurre, crece la necesidad de utilizar y gestionar claves de cifrado.

Ante esta realidad, los profesionales de la seguridad protegen activamente estos datos con técnicas probadas y contrastadas que se utilizan en diferentes fases del ciclo de productividad de las organizaciones, siempre con el objetivo de garantizar la privacidad.

Sin embargo, la garantía de protección y disponibilidad de los datos puede no ser posible únicamente mediante el uso del cifrado.

Por muy avanzada que sea la tecnología contra las filtraciones de datos, sin una gestión de las claves de cifrado, el riesgo de que la información se filtre o sea robada seguirá siendo alto.

¿Por qué es importante gestionar las claves criptográficas?

Gestión significa proteger las claves criptográficas contra pérdida, robo, corrupción y acceso no autorizado. Entre sus objetivos figuran:

  • asegurarse de que las llaves se guardan de forma segura;
  • cambiar las llaves con regularidad;
  • controlar cómo y a quién se asignan las llaves;
  • decidir la granularidad de las claves.

En la práctica, la gestión de claves de cifrado implica evaluar si una clave debe utilizarse para todas las cintas de copia de seguridad o si, por el contrario, cada una debe recibir la suya propia, por ejemplo.

Por lo tanto, es necesario garantizar que la clave criptográfica -y todo lo relacionado con ella- esté debidamente controlada y protegida. Así que no puedes dejar de pensar en la gestión.

Si todo no está debidamente protegido y gestionado, es como tener una cerradura de última generación en la puerta de casa pero dejar la llave debajo del felpudo.

Para aclarar la importancia de la gestión de claves criptográficas, basta con recordar los cuatro objetivos de la criptografía: confidencialidad, integridad, autenticación y no repudio. Esto significa que podemos proteger la información personal y los datos confidenciales de la empresa.

De hecho, no tiene sentido utilizar una tecnología que garantice la seguridad de los datos sin una gestión eficaz.

Gestionar las claves de cifrado es un reto, pero no imposible

De hecho, gestionar claves criptográficas no es tan sencillo como llamar a un cerrajero. Tampoco puedes escribir las claves en un papel. Hay que facilitar el acceso al menor número de personas posible y garantizar que sea restringido.

El éxito de la gestión criptográfica en el mundo empresarial requiere buenas prácticas en varios frentes.

En primer lugar, debes elegir el algoritmo de cifrado y el tamaño de clave adecuados para confiar en tu seguridad.

A continuación, debe garantizar que la aplicación de la estrategia de cifrado de la empresa cumple las normas establecidas para este algoritmo. Esto significa estar homologado por una autoridad certificadora reconocida – en el caso de Brasil, las homologadas por el ITI dentro del ICP-Brasil.

Por último, debe garantizar una gestión eficaz de las claves de cifrado, asociada a políticas y procesos de seguridad que puedan certificar un uso productivo de la tecnología.

Para tener mayor confianza en su estrategia de gestión de claves de cifrado, las primeras preguntas que debe hacerse son las siguientes:

Muchos servicios de gestión conservan claves privadas en la capa de servicio, por lo que sus datos pueden ser accesibles para los administradores de esta actividad. Esto es estupendo para la disponibilidad, pero no para la confidencialidad.

Así pues, como ocurre con cualquier tecnología, la eficacia del cifrado depende totalmente de su aplicación. Si no se hace correctamente o si los componentes utilizados no están debidamente protegidos, corre peligro, al igual que los datos.

infografía HSM Moderno

/td>

De la creación de políticas a la gestión de claves criptográficas

Un enfoque común para proteger los datos de la empresa mediante la gestión de claves de cifrado consiste en hacer balance, comprender las amenazas y crear una política de seguridad.

Las empresas necesitan saber en qué dispositivos y aplicaciones se puede confiar y cómo se puede aplicar la política entre ellos y en la nube. Todo empieza por saber lo que tienes.

La mayoría de las organizaciones no saben cuántas claves tienen, dónde utilizan el cifrado y qué aplicaciones y dispositivos son realmente fiables. Esto caracteriza innegablemente una falta total de gestión de las claves de cifrado, de los datos y de su estructura.

Sin duda, la parte más importante de un sistema de cifrado es su gestión de claves, sobre todo cuando la organización necesita cifrar una gran cantidad de datos. Esto hace que la infraestructura sea más compleja y desafiante.

Normalizar el proceso es fundamental

La normalización de los productos es fundamental. Al fin y al cabo, incluso una encriptación correctamente implementada significa poco si un atacante entra en la máquina de alguien o si un empleado es deshonesto.

En algunos casos, por ejemplo, el cifrado puede habilitar a un atacante e inutilizar toda la inversión en seguridad, causando daños que van mucho más allá de las pérdidas financieras. Así pues, la normalización es vital para crear políticas y procesos útiles, reduciendo la posibilidad de lagunas que puedan dar lugar a ciberataques y robos de datos.

La encriptación crea realmente más oportunidades de negocio para distintos tipos de empresas, no sólo mitigando problemas como los ciberataques, sino creando un ciclo de acceso a los datos organizado, eficiente y estratégico.

Por último, en tiempos de transformación digital y de tantas disrupciones tecnológicas y de mercado, adoptar la gestión de claves de cifrado es vital para las empresas que buscan un crecimiento sostenible.

Ahora que ya sabe un poco más sobre la gestión de claves criptográficas, manténgase al día sobre este tema a través de nuestra página de LinkedIn.

Acerca de EVAL

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Pérdida de llaves y la verdad que nadie te contó

Hoy en día, el robo de datos y los requisitos de cumplimiento de la normativa han provocado un aumento espectacular del uso de claves de cifrado en las empresas. Esto también provocó una incidencia de pérdida de llaves debido a la mala gestión de estos activos.

Es muy habitual, por ejemplo, que una misma empresa utilice varias decenas de herramientas de cifrado diferentes. Posiblemente estas herramientas sean incompatibles, lo que da lugar a miles de claves de cifrado.

¿Cómo evitar la pérdida de llaves?

En un mundo perfecto, la gestión de claves criptográficas se encarga de la administración, protección, almacenamiento y copia de seguridad de las claves de cifrado.

Al fin y al cabo, todas las llaves deben almacenarse, protegerse y recuperarse de forma segura. Sin embargo, la realidad es otra y usted debe saber bien cómo acaba esta historia de la pérdida de llaves.

La importancia de almacenar y hacer copias de seguridad de las claves de cifrado

La gestión de claves significa proteger las claves de cifrado de pérdidas y accesos no autorizados.

Para controlar y gestionar las claves hay que recurrir a numerosos procesos. Esto incluye cambiar las llaves con regularidad, gestionar cómo se asignan las llaves y quién las recibe.

La experiencia nos demuestra que la pérdida de claves tiene un gran impacto en importantes procesos de negocio de las empresas. Esto provoca la pérdida de acceso a sistemas y datos, además de inutilizar por completo un sistema a menos que se formatee y se reinstale por completo.

Cabe señalar que, en la actualidad, es esencial que cualquier empresa cuente con más de una persona responsable de almacenar y realizar copias de seguridad de las claves de cifrado.

De este modo, nos dirigimos a diversas buenas prácticas del mercado. Por ejemplo, hemos definido las funciones de los responsables y creado una política eficaz de gestión de claves de cifrado accesible a todos.

Sin embargo, hay un gran reto por delante. Uno de los grandes problemas conocidos es la falta de herramientas unificadas para reducir la sobrecarga de gestión.

Un sistema de gestión de claves comprado a un proveedor no puede gestionar las claves de otro proveedor. Esto se debe a que cada uno aplica un mecanismo de gestión a su manera.

Probablemente esté recordando algunos hechos relacionados con la falta de almacenamiento eficiente. Incluidos los casos de pérdida de llaves y las repercusiones para la empresa.

La pérdida de claves expone datos de personas y empresas

La pérdida o exposición de claves de cifrado nunca será una buena experiencia. Imaginemos, por ejemplo, que un desarrollador almacena accidentalmente claves en un repositorio público.

Por desgracia, este escenario es probable, puede ocurrir fácilmente para cualquier tipo de claves de cifrado y en diferentes empresas.

Alguien podría enviar accidentalmente las claves en un código fuente o en cualquier envío de archivos o conjuntos de datos.

Ya sea en la nube o en centros de datos propios, las empresas necesitan crear una estrategia de gestión que evite la pérdida de claves y/o una exposición indebida.

Como hemos visto, las llaves deben guardarse de forma segura y con acceso limitado a quienes las necesiten para trabajar. Por eso algunas empresas utilizan aplicaciones de protección contra la pérdida de claves.

Sirven para comprobar el tráfico de red en busca de fugas de datos. Así como detectar la divulgación accidental o malintencionada de información confidencial o privada.

No sólo una mala gestión de las claves puede poner en peligro los servidores. Pero además, si se pierden las claves utilizadas para cifrar los datos, también se perderán los datos cifrados con esa clave.

Por lo tanto, no hay sustituto para la gestión de claves de cifrado.

Situaciones habituales que provocan la pérdida de claves criptográficas

Al tratarse de algo relativamente complejo para determinados empleados de las empresas, cabe imaginar que la pérdida de llaves no se produce con tanta frecuencia. Sin embargo, hay situaciones muy comunes en nuestras rutinas que nos llevan a escenarios de pérdida de llaves:

  • El poseedor de la llave olvida la contraseña para acceder a ella;
  • El empleado responsable de las llaves no recuerda dónde las guardó;
  • El gestor tiene una enorme cantidad de llaves que gestionar;
  • El responsable de las claves abandona la organización y quien se queda acaba teniendo un problema de gestión importante.

La importancia de las claves criptográficas es obvia para los profesionales de la seguridad de la información. Pero la complejidad de su gestión puede ser casi tan desalentadora como la de los propios algoritmos de cifrado.

infografía HSM Moderno

Todo se reduce a lo importante que es para las empresas controlar las claves

En primer lugar, es importante ver qué es una firma digital y cómo funciona.

Una firma digital es el equivalente de una firma escrita. Su finalidad puede ser verificar la autenticidad de un documento o comprobar que el remitente es quien dice ser.

Esto nos muestra la importancia de las claves de cifrado en los procesos productivos, así como el impacto que genera la pérdida de claves en las rutinas de empresas de diferentes segmentos o tamaños.

El principal coste de la pérdida de claves es la gestión del riesgo. Esto se debe a que se centrará principalmente en convertir a las empresas en objetivo de sofisticados ataques virtuales, lo que provocará pérdidas no sólo económicas, sino también relacionadas con la imagen de la organización.

Una de las prácticas más recomendadas para reducir los incidentes relacionados con ciberataques es realizar auditorías. Esto se debe a que esta práctica ayuda a identificar si las teclas se están utilizando de forma correcta.

Este proceso consiste en auditar la criptografía de clave pública para identificar fuentes y dispositivos vulnerables, desde tokens hasta certificados TLS.

Las estrategias de mitigación disponibles de los proveedores pueden entonces revisarse y aplicarse según las prioridades basadas en el riesgo.

La solución a todos los problemas es…

No faltan orientaciones sobre cómo gestionar las identidades digitales y cómo identificar la mejor opción para su empresa, todo depende del entorno actual y de los recursos disponibles.

Aunque utilizar una política de gestión más estricta puede ser la opción más segura, también puede acarrear costes significativos. Las empresas deben centrarse en la mejora continua. Además, puede ayudarle a gestionar sus riesgos a un precio compatible con su realidad.

Las empresas deben evaluar críticamente cómo protegen sus sistemas. También deben considerar las causas profundas de los incidentes de seguridad en sus entornos como parte de una evaluación de riesgos.

Es frecuente, por ejemplo, que se produzcan varios incidentes de seguridad relacionados con cuentas comprometidas. Principalmente como consecuencia de la falta de gestión correcta de las claves de cifrado.

A medida que los sistemas se vuelven más seguros y las empresas adoptan medidas eficaces para gestionar sus procesos. Conviene recordar que iniciativas como la autenticación y la gestión de claves son cada vez más importantes.

Es importante asegurarse de que su empresa utiliza los procesos de autenticación y autorización adecuados. Esto requiere el uso de claves criptográficas basadas en la gestión de riesgos.

Al fin y al cabo, ya es el primer paso para reducir los riesgos de incidentes y garantizar la confidencialidad de los datos de clientes y empleados.

Aproveche el final de nuestro artículo y responda a la siguiente pregunta: ¿Cuál es la estrategia de gestión de claves de cifrado adoptada actualmente por su empresa?

Suscríbase a nuestro boletín y manténgase al día de las novedades y tecnologías de EVAL. Siga nuestro contenido en el blog y también en nuestro perfil de Linkedin.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Criptografía asimétrica para el secreto y la protección de datos

Cuando hablamos de criptografía, es muy común pensar sólo en técnicas para mantener el secreto de la información. Sin embargo, el cifrado puede utilizarse en muchas otras situaciones. En este post veremos cómo aplicar técnicas de criptografía asimétrica para verificar el origen de un mensaje.

Cifrado asimétrico

En primer lugar, hay que decir que una de las características más llamativas de la criptografía asimétrica es la presencia de un par de claves, con una parte pública y otra privada.

Mientras que la parte pública puede divulgarse a todas las partes interesadas, la parte privada no. Al fin y al cabo, debe ser protegido y mantenido en secreto por la entidad propietaria del par, ya sea una persona o un sistema. Desde el origen de un mensaje hasta su entrega final

Este par de claves es algo muy especial, porque cuando una de las claves se utiliza para cifrar datos, sólo la clave asociada del par puede utilizarse en el proceso inverso.

Y es esta característica la que hace posible la existencia de diversos esquemas criptográficos en la comunicación entre dos entidades.

Mensajes de Alice y Bob

Para entenderlo mejor, utilicemos la clásica analogía. Presupone la existencia de dos usuarios, Alice (A) y Bob (B), cada una con su propio par de claves.

Alice y Bob intercambian cartas (mensajes) entre sí y cada carta se introduce en un sobre con un candado especial que, cuando se cierra con una de las llaves, sólo puede abrirse con la llave de la pareja.

Ten en cuenta que como tenemos dos pares de llaves, uno para cada usuario, ¡tenemos un total de 4 llaves que se pueden utilizar para cerrar el sobre!

¿Qué tecla hay que utilizar? Bueno, depende del servicio de seguridad que quieras implementar al enviar esta carta.

Cifrado asimétrico para mantener el secreto

Si se quiere garantizar el secreto de la carta de origen de un mensaje, Alice debe cerrar el candado con la clave pública de Bob. Por lo tanto, la única clave que puede abrirlo es la clave de socio, es decir, la clave privada de Bob.

Recuerda que la clave privada de Bob, por definición,sólo debe ser conocida por Bob. Así que sólo Bob puede abrir el candado del sobre y sacar la carta.

Cifrado asimétrico para el origen

Si quiere verificar el origen de un mensaje o carta, Alice puede cerrar el sobre utilizando su clave privada. De este modo, la única clave que abre el sobre es la clave de asociación, es decir, la clave pública de Alice.

Recuerda que la clave pública de Alice, por definición, es de dominio público. De esta forma, todo el mundo podría abrir el sobre utilizando la clave pública de Alice.

Tenga en cuenta que en esta situación, aunque la carta esté en un sobre cerrado con candado, el contenido no es secreto. Al fin y al cabo, cualquiera puede abrir el candado del sobre utilizando la clave pública de Alice.

Lo que se exige es verificar el origen de la carta (o la autoría del remitente). En otras palabras, para que Bob compruebe si la carta procede de Alice, lo único que tiene que hacer es abrir el candado con su clave pública.

Tenga en cuenta que en esta situación, aunque la carta esté en un sobre cerrado con candado, el contenido no es secreto. Al fin y al cabo, cualquiera puede abrir el candado del sobre utilizando la clave pública de Alice.

Lo que se necesita es verificar el origen de la carta (o la autoría del remitente). En otras palabras, para que Bob compruebe si la carta procede de Alice, lo único que tiene que hacer es abrir el candado con su clave pública.

Infografía híbrida HSM

Cifrado simétrico

Es interesante señalar que el servicio de secreto también podría implementarse con criptografía simétrica (la que tiene una sola clave). Al fin y al cabo, es mucho más rápido.

Por ello, es habitual ver protocolos de seguridad que utilizan esquemas híbridos con criptografía simétrica y asimétrica para implementar servicios de confidencialidad, verificación de origen, autenticación e irrecuperabilidad, aprovechando las ventajas de cada uno: la rapidez de la criptografía simétrica y la flexibilidad de uso de la criptografía asimétrica.

Por último, después de toda esta explicación, queda al menos una pregunta abierta: ¿cómo sabe Bob con seguridad que tiene una copia de la clave pública de Alice y cómo sabe Alice con seguridad que tiene la clave pública de Bob?

La forma de confiar en la clave pública de alguien es obtener una copia de ella de alguien de confianza. Necesitas una marca en la clave que diga: “esta es la clave pública de fulano”.

La combinación de la clave pública de la entidad y la información que la identifica se denomina certificado digital, tema para otro post.

También hemos escrito un artículo que puede interesarle. Habla de la encriptación de datos y su importancia en el mercado financiero.

Suscríbase a nuestro boletín y manténgase al día de las novedades y tecnologías de Eval. Siga nuestro
contenido del blog
y aprovechando
nuestro perfil en Linkedin
.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.