Buscar
Cerrar este cuadro de búsqueda.
Categorías
Protección de datos

Cifrado de datos para la seguridad en la nube: guía práctica

La frecuencia de los ciberataques sigue aumentando, especialmente en los sectores educativo, bancario, sanitario y gubernamental. Por eso, el cifrado de datos para la seguridad en la nube ha sido una prioridad.

Una de las razones de este aumento es la transición del almacenamiento de datos en bases de datos locales al almacenamiento en la nube, que se conecta a través de tecnologías cableadas e inalámbricas.

Y el cifrado de datos para la seguridad en la nube ha sido clave en esta fase de transición.

Aunque las plataformas en la nube ofrecen una forma cómoda de almacenar grandes bases de datos con registros de clientes, empleados, finanzas y ventas, los piratas informáticos pueden aprovechar los puntos débiles de los sistemas de computación en la nube y obtener acceso no autorizado representando el paquete como tráfico local.

Los ciberdelincuentes no sólo atacan a las organizaciones con centros de datos locales, sino también a las que tienen entornos alojados en plataformas de computación en nube.

Desgraciadamente, unas reglas de cortafuegos sólidas no bastan para proteger contra los ciberataques y proporcionar la autenticación y autorización necesarias para la protección de la seguridad operativa contra los ciberataques. Se requieren pruebas y validaciones rigurosas de la seguridad a nivel de bases de datos y aplicaciones.

Es crucial proteger los datos almacenados en reposo, cuando permanecen en un dispositivo de forma permanente, y en tránsito, y cuando se trasladan de un lugar o red a otro lugar/red.

Para complicar las cosas, los piratas informáticos utilizan herramientas y técnicas modernas para acceder sin autorización a los datos de una organización, en Internet o almacenados en servicios de computación en nube.

Por lo tanto, el cifrado y la autenticación de datos, la implantación de certificados SSL y las conexiones SSL son esenciales. Igualmente importante es establecer políticas que restrinjan el acceso involuntario a los entornos y la validación periódica de la gestión de identidades y accesos.

Aprovechar las ventajas de la autenticación y cifrado de datos para la seguridad en la nube

Básicamente, el cifrado de datos para la seguridad en la nube protege la información sensible y privadamezclando bloques de datos de texto en un código secreto. Para descifrar el cifrado se necesita una clave de descifrado.

Diferentes algoritmos, como DES, AES y RSA, transforman los datos en un formato ilegible llamado texto cifrado. El texto cifrado se transmite al receptor con claves de descifrado públicas y privadas para descifrar los datos.

El receptor descifra el texto cifrado utilizando ambas claves para transformarlo en un formato legible.

La autenticación de datos es un complejo mecanismo de comunicación en red que mantiene el no repudio y la integridad de los datos. Entre los métodos habituales de autenticación de datos se incluyen:

Autenticación de contraseña

Los usuarios deben introducir una contraseña para acceder a los datos, lo que los mantiene a salvo de accesos no autorizados. Se utilizan contraseñas complejas que combinan números, letras y caracteres especiales para garantizar la seguridad de los datos y reducir aún más los riesgos.

Este es solo el primer paso para garantizar la protección contra los ciberataques mediante el cifrado de datos para la seguridad en la nube.

Autenticación de dos factores

Se envía una contraseñade un solo uso (OTP) al número de teléfono móvil o a la dirección de correo electrónico del usuario. Si usted es el usuario original, el acceso a los datos se aprueba después de introducir esta OTP.

Los hackers que intenten acceder no dispondrán de esta OTP, lo que significa que se deniega el acceso a los datos y se bloquea temporalmente la cuenta para salvar los datos de ataques.

Autenticación mediante token

Se envía un token al servidor de red para la autenticación. El servidor comprueba las credenciales del dispositivo y aprueba o deniega la autenticación.

infografía HSM Moderno

Comprobación de bits de paridad

Esta técnica sólida y de uso común también se conoce comocomprobación de redundanciacíclica (CRC) y garantiza una transmisión precisa de los datos.

Se añade un código CRC al final del mensaje de datos antes de la transmisión. En el punto de destino, el receptor obtiene los datos con el código CRC y los compara con el código original. Si los valores son iguales, los datos se han recibido correctamente.

Los certificados SSL (Secure Sockets Layer) proporcionan cifrado de datos mediante algoritmos específicos. Estos certificados garantizan la seguridad de la transmisión de datos frente a actividades maliciosas y software de terceros.

Para cifrar los certificados se utilizan dos tipos de mecanismos: una clave pública y una clave privada.

El servidor reconoce la clave pública y cifra los datos. SSL mantiene los datos encriptados hasta que el usuario completa el proceso de comunicación. Los datos sólo pueden ser descifrados por la clave privada.

Si un pirata informático consigue piratear los datos durante el proceso de comunicación, el cifrado los inutilizará. SSL se recomienda como norma internacional para la transmisión segura de datos en sitios web.

Buenas prácticas para protegerse de los ciberataques mediante el cifrado de datos

Las organizaciones pueden emplear varios enfoques probados para proteger sus datos cuando utilizan el cifrado de datos para la seguridad en la nube. Entre ellas figuran:

  • Desarrollar un plan de gestión de claves de cifrado y acceso para garantizar que los datos se descifran cuando se necesita acceder a ellos. Deben existir procesos de gestión de claves para evitar la divulgación no autorizada de datos o la pérdida irrecuperable de datos importantes;
  • Garantizar que los mecanismos de cifrado cumplen la legislación y la normativa aplicables. Cualquier intercambio de datos encriptados, exportación o importación de productos de encriptación de datos (por ejemplo, código fuente, software o tecnología) debe cumplir las leyes y normativas aplicables de los países implicados;
  • Definir los niveles de acceso a los datos. Supervisar y registrar las actividades de acceso inadecuadas para reducir las amenazas internas. Elimine las cuentas de los antiguos empleados inmediatamente después de su separación de la empresa;
  • Forme a todo el personal en el manejo de datos sensibles utilizando las últimas tecnologías y asegúrese de que entienden cómo utilizan esta información los sistemas.

Cifrado de datos para la seguridad en la nube: errores que su empresa debe evitar

El mayor error en materia de ciberseguridad es que las empresas piensan que están completamente protegidas de los ataques porque han realizado grandes inversiones para implantar protocolos de seguridad.

Olvidan que siempre hay vulnerabilidades que les dejan expuestos a riesgos, que pueden provocar daños irrecuperables. Con la llegada del almacenamiento en la nube, a muchas empresas se les ha hecho creer que el simple hecho de pasarse a la nube garantiza la protección contra los ciberataques.

Y aunque sin duda es un lugar seguro para almacenar los datos sensibles de una empresa, no es una fortaleza impenetrable, de ahí la importancia del cifrado de datos para la seguridad en la nube.

Además, algunas empresas siguen utilizando tecnologías antiguas sin actualizarse a los avances más recientes y seguros, lo que las deja aún vulnerables a los riesgos de seguridad.

Las empresas pueden aprovechar los aspectos innovadores de la seguridad para ayudarles a mitigar las amenazas a la seguridad. Las redes definidas por software pueden proporcionar seguridad automatizada a nivel de hardware mediante routers y conmutadores.

Las herramientas de gestión de la configuración ofrecen un método práctico para gestionar y automatizar los ajustes de seguridad.

Es hora de que las empresas que invierten en sistemas de computación en nube inviertan también en hacer que sus sistemas de ciberseguridad sean más seguros, fiables y robustos contra los ciberataques con el uso de la encriptación de datos.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de Autenticación, Firma Electrónica y Digital y Protección contra Ciberataques. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Gestión de claves criptográficas en sanidad: un verdadero reto

El uso de la criptografía y la gestión de claves criptográficas en la sanidad para proteger los datos en reposo o en soportes es una realidad para las instituciones médicas y los usuarios de servicios como el almacenamiento en la nube, la mensajería y muchos otros.

Sin embargo, a los responsables de estos servicios se les presentan muchas opciones de mecanismos criptográficos y, en consecuencia, hay que elegir entre muchas opciones.

Una mala elección en la gestión de claves criptográficas en la sanidad puede suponer una ganancia escasa o nula, incluso una pérdida, creando una falsa sensación de seguridad en los datos de una organización sanitaria.

Por ejemplo: cifrar una base de datos y guardar la clave criptográfica en un archivo del servidor.

En este artículo pretendemos abordar algunos aspectos relevantes para la seguridad de la información de datos en el ámbito sanitario que están relacionados con las claves criptográficas.

Esto mostrará la importancia de su correcta gestión para la programación de servicios criptográficos.

Para facilitar la comprensión, dividiremos el artículo en tres partes. Empezando por los fundamentos de la criptografía, los servicios criptográficos y, por último, la gestión de claves criptográficas.

Gestión de claves criptográficas en sanidad y cifrado de datos

La criptografía es un conjunto de principios utilizados para garantizar la seguridad de la información en una organización sanitaria.

Para ello, la gestión de claves criptográficas en la sanidad emplea técnicas para transformar una información (cifrado) en otra (criptograma) que sólo pueden leer quienes conocen el secreto (clave secreta).

Al mantener este secreto a salvo, impedimos que personas no autorizadas accedan a la información original (descifrar).

  • Secreto

La seguridad de los servicios criptográficos se basa en el secreto de la clave criptográfica, que permite cifrar y descifrar, y no en el método de transformación de la información, es decir, el algoritmo utilizado, que debe ser público.

  • Claves simétricas y asimétricas

En criptografía hay dos tipos básicos de algoritmos: de clave simétrica y de clave asimétrica. Los primeros utilizan una sola clave para cifrar y descifrar los datos, mientras que los segundos adoptan un par de claves, una para el cifrado y otra para el descifrado.

Servicios criptográficos

Realmente no existe un método al 100%, ni para la salud ni para ningún otro ámbito, pero algunas pautas pueden ayudar a reducir o prevenir los ataques.

Uno de los primeros pasos que hay que tener en cuenta es la confidencialidad de los datos de cada paciente. Utiliza una red a la que sólo tengan acceso las personas autorizadas.

Buscar un almacenamiento especial para sus datos también es una de las formas de evitar la fuga de datos. Existen almacenamientos que pueden ayudar a la seguridad de la sanidad digital en este sentido.

Como ya se ha mencionado, está claro que el cifrado y la gestión de claves criptográficas en la sanidad son las formas más eficaces de prevenir el robo de datos en este sector.

Ya sea para proteger los datos en reposo, es decir, los que están almacenados, o incluso para proteger los datos en tránsito, es decir, los que viajan por la red, junto con un estricto control de acceso son esenciales para ayudar al hospital a mantener los datos protegidos.

Vale la pena recordar que es súper importante proteger el perímetro con un firewall en su red y también proteger el escritorio / servidores con antivirus, entre muchas otras herramientas.

  • Confidencialidad

Según estudios
los ataques por correo electrónico crecieron un 473
2017-2019 solo para sanidad. El mantenimiento de sistemas heredados obsoletos es una de las razones de este elevado volumen de ataques.

Otro estudio estima que el gasto sólo en publicidad, debido al riesgo de imagen
aumenta un 64%
en los hospitales que sufren filtraciones de datos.

La confidencialidad tiene que empezar por la adopción de una Historia Clínica Electrónica (HCE), que además de centralizar los datos médicos de cada asistencia (historial completo), facilite la obtención de acreditaciones de prestigio en el sector, como la HIMSS (Health Information and Management Systems Society), vinculadas a las buenas prácticas informáticas sanitarias.

Debe formar a su personal de forma continuada para evitar el acceso y uso indebidos de las aplicaciones proporcionadas dentro de su organización.

La confidencialidad de los datos mediante el cifrado, la gestión de las claves criptográficas en la sanidad y con un control de acceso adecuado, también garantiza que la información no pueda ser vista por terceros y que sólo tengan acceso a ella las personas autorizadas.

  • Integridad

La técnica para garantizar la integridad consiste, en pocas palabras, en que una determinada información no se modifique de forma no autorizada tras su creación, durante su transmisión o almacenamiento.

Tanto si el cambio es accidental como intencionado, la inserción, eliminación o sustitución de datos debe detectarse. Mecanismos criptográficos como el resumen criptográfico, también conocido como hash, y la firma digital proporcionan el soporte para este servicio.

  • Autenticación

El servicio de autenticación verifica la identidad de un usuario para tener cierta seguridad de que la persona es quien dice ser en realidad. Existen varios mecanismos de autenticación, usuario y contraseña es un modelo bien conocido, pero también lo es la autenticación mediante un certificado digital.

En el modelo de certificado digital, se puede utilizar el protocolo SSL, o incluso las firmas digitales de inicio de sesión como modelo de autenticación. El certificado digital debe utilizar el modelo ICP-Brasil u otro en el que confíe la organización, como Internal Certificate Authority.

En las Autoridades Certificadoras ICP-Brasil, es en el proceso de emisión del certificado digital que la persona necesita asistir a una validación presencial, ahora también existe la modalidad remota, con documentos originales que comprueben la identidad del solicitante.

Infografía híbrida HSM

  • Irretractabilidad

El servicio de irretractabilidad proporciona los medios para garantizar que quien haya creado la información no pueda negar su autenticidad, o al menos que sea difícil de negar.

En este sentido, está vinculada a la firma digital, en la que el propietario de la clave privada no puede negar que la ha tenido para un fin determinado.

  • Autorización

Además, tras la autenticación, es posible utilizar la información del usuario autenticado en el sistema para definir la autorización de la información. El servicio de autorización proporciona aprobación o permiso para la ejecución de una actividad.

A modo de ejemplo, el servicio de autorización puede emplearse para definir los permisos de uso de una clave criptográfica que, en consecuencia, permitiría acceder a una determinada información.

Gestión de claves criptográficas en la sanidad

Las claves criptográficas son la base de la criptografía y en ellas reside la seguridad de los datos cifrados. Las brechas pueden comprometer las claves y, en consecuencia, filtrar información sensible como los historiales de los pacientes.

El aumento del uso del cifrado para la protección de datos en las instituciones sanitarias, debido sobre todo a la normativa gubernamental, hace que tengan que lidiar con múltiples soluciones para cifrar los datos, véase LGPD.

Debido a la diversidad de proveedores, las organizaciones también necesitan definir diversos procedimientos para gestionar las claves criptográficas, y éstos no siempre son adecuados.

La gestión de claves criptográficas consiste en almacenar, proteger, organizar y garantizar el uso adecuado de las claves criptográficas, gestionar su ciclo de vida y mantener copias de seguridad de forma segura y coherente.

  • Almacenamiento seguro de llaves

Las claves deben almacenarse de forma segura, es decir, cifradas y con acceso controlado.

El cifrado debe realizarse preferentemente mediante claves (
CLAVE
) protegidas en un hardware criptográfico, preferiblemente.

  • Identificación de las llaves

Debe ser posible identificar una llave, su tipo, su finalidad, quién está autorizado a utilizarla y el periodo de uso.

Ciclo de vida de las claves criptográficas

El ciclo de vida de las claves criptográficas debe controlarse para que se utilicen adecuadamente durante su periodo de validez, es decir, que sólo las personas o sistemas autorizados puedan utilizarlas durante un tiempo predefinido y con mecanismos seguros para que no se vean comprometidas.

Describiremos el ciclo de vida de las claves, según la recomendación del NIST.

El ciclo de vida de una clave comienza con su generación y termina con su destrucción, pasando por uno o varios de los estados que se describen a continuación:

  • generación: momento de creación de la clave, que aún no está lista para su uso;
  • preactivación: la clave se ha generado, pero aún no está lista para su uso porque se está a la espera del periodo de uso o de la emisión de un certificado;
  • activada: la llave está disponible para su uso;
  • suspendido: se suspende temporalmente el uso de la llave. En este estado, ya no puede realizar operaciones de cifrado o firma, pero puede utilizarse para la recuperación de datos o la verificación de firmas realizadas previamente.
  • inactivada: la clave ya no puede utilizarse para cifrar o firmar digitalmente, pero se conserva para procesar los datos cifrados o firmados antes de la inactivación.
  • comprometido: indica que la clave ha visto afectada su seguridad y ya no puede utilizarse en operaciones criptográficas. En algunos casos, como las claves simétricas, puede utilizarse para recuperar los datos cifrados para cifrarlos posteriormente con otra clave.
  • destruido: este estado indica que ya no se necesita una clave. La destrucción de la clave es la etapa final y puede lograrse debido al fin del ciclo de uso de la clave o al compromiso de su seguridad.

En general, tanto las instituciones sanitarias como todas las organizaciones deben centrarse en la mejora continua al tiempo que gestionan sus riesgos a un precio compatible con su realidad.

Las empresas deben evaluar críticamente cómo proteger sus sistemas. También deben considerar las “causas profundas” de los incidentes de seguridad en sus entornos como parte de una evaluación de riesgos.

A medida que los sistemas se vuelven más seguros y las instituciones adoptan medidas eficaces para gestionar sus procesos, la gestión de claves se vuelve cada vez más esencial. Proteger los datos de una organización sanitaria es fundamental para la seguridad de la información de sus pacientes.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

10 recomendaciones vitales para una transmisión de datos segura

Proteger los datos utilizados en las operaciones empresariales es un requisito esencial para la información confidencial de una organización.

Los usuarios malintencionados pueden interceptar o vigilar los datos en texto plano transmitidos por una red o a través de soportes extraíbles y dispositivos móviles sin cifrar.

Así obtienen accesos no autorizados, comprometiendo la confidencialidad de datos considerados sensibles y estratégicos. Por eso es tan importante la transmisión segura de datos.

Criptografia como solução de segurança

La protección en estos casos se realiza con algoritmos criptográficos que limitan el acceso a los datos sólo a quienes posean el recurso de cifrado adecuado y su respectivo descifrado.

Además, algunas herramientas criptográficas modernas también permiten condensar o comprimir los mensajes, ahorrando espacio de transmisión y almacenamiento.

Hemos hecho converger la necesidad de proteger las transmisiones de datos con los recursos tecnológicos existentes. Por ello, hemos separado 10 recomendaciones consideradas vitales para tener éxito en todo el proceso de envío y recepción de datos.

Los usuarios malintencionados pueden comprometer la confidencialidad de la información durante una transmisión de datos

Los datos considerados sensibles o restringidos en relación con la protección de datos deben cifrarse cuando se transmitan por cualquier red. Esto debe hacerse para proteger contra la interceptación del tráfico de red por usuarios no autorizados. Los ataques de este tipo también se conocen como Man-in-the-middle, haga clic aquí para obtener más información.

En los casos en los que los dispositivos de origen y destino se encuentran dentro de la misma subred protegida, la transmisión de datos debe seguir protegiéndose con cifrado debido al alto impacto negativo potencial de una violación y robo de datos. Además, los empleados tienden a preocuparse menos cuando se encuentran en un entorno “controlado”, creyéndose a salvo de ataques.

Los tipos de transmisión pueden incluir comunicación de cliente a servidor, así como de servidor a servidor. Esto puede incluir la transferencia de datos entre sistemas centrales, entre sistemas de terceros o la transmisión P2P dentro de una organización.

Además, cuando se utilicen para almacenar datos restringidos, los soportes extraíbles y los dispositivos móviles también deben utilizar adecuadamente el cifrado de datos sensibles, siguiendo las recomendaciones de seguridad. Los dispositivos móviles incluyen ordenadores portátiles, tabletas, tecnología para llevar puesta y teléfonos inteligentes.

Los correos electrónicos no se consideran seguros y, por defecto, no deben utilizarse para transmitir datos sensibles a menos que se utilicen herramientas adicionales de cifrado de datos de estos servicios.

Al intentar proteger los datos en tránsito, el profesional de la seguridad debe tener en cuenta las siguientes recomendaciones para diseñar una transmisión segura de la información:

Hybrid Infographic HSM
 

Las mejores recomendaciones

  1. Cuando el dispositivo (ya sea cliente o servidor) sea accesible a través de una interfaz web, el tráfico debe transmitirse a través de Secure Sockets Layer (SSL), utilizando únicamente protocolos de seguridad sólidos y seguridad de la capa de transporte;
  2. Los datos transmitidos por correo electrónico deben protegerse utilizando herramientas de cifrado de correo electrónico con un cifrado potente, como S/MIME . Como alternativa, antes de enviar un correo electrónico, los usuarios deben cifrar los datos utilizando herramientas compatibles de cifrado de datos de archivos y adjuntarlos al correo electrónico para su transmisión;
  3. El tráfico de datos no cubierto por el navegador web debe cifrarse mediante cifrado a nivel de aplicación;
  4. Si una base de datos de aplicaciones se encuentra fuera del servidor de aplicaciones, todas las conexiones entre la base de datos y la aplicación también deben utilizar cifrado con algoritmos criptográficos que cumplan las normas de seguridad y protección de datos recomendadas;
  5. Cuando el cifrado a nivel de aplicación no esté disponible para el tráfico de datos no cubierto por la Web, implemente el cifrado a nivel de red, como IPsec o encapsulación SSL;
  6. El cifrado debe aplicarse cuando se transmiten datos entre dispositivos en subredes protegidas con fuertes controles de cortafuegos;
  7. Desarrollar y probar un plan adecuado de recuperación de datos;
  8. Siga los requisitos recomendados para crear contraseñas seguras, que deben definirse en la policía de seguridad de la organización. Además, adopte alguna herramienta de gestión para almacenar los datos de acceso y las claves de recuperación;
  9. Una vez copiados los datos en un soporte extraíble o dispositivo móvil, comprueba que funciona siguiendo las instrucciones para leer datos mediante cifrado. Aproveche también para incluir en su plan de recuperación y contingencia pruebas de apertura de copias de seguridad que hayan sido cifradas;
  10. Cuando estén desatendidos, los soportes extraíbles (o el dispositivo móvil) deben guardarse en un lugar seguro con acceso limitado a los usuarios que lo necesiten. Y ten en cuenta las claves que se utilizaron para cifrar la copia de seguridad.

El apoyo y las políticas internas también son muy importantes

La última recomendación es disponer de la documentación justificativa adecuada para todo este proceso de transmisión de datos. Las políticas y procesos de seguridad deben validarse mediante pruebas frecuentes que garanticen la eficacia de todos los procedimientos que se lleven a cabo.

Por último, no olvide crear una política de sensibilización dirigida a los empleados de la empresa. Adoptar formación y campañas que demuestren la importancia de seguir las políticas y procesos de seguridad y protección de datos de la organización.

Herramientas de cifrado de datos para una transmisión segura

El cifrado de extremo a extremo suele realizarlo el usuario final dentro de una organización. Los datos se cifran al inicio del canal de comunicación, o antes a través de soportes extraíbles y dispositivos móviles. De este modo, permanecen encriptados hasta que se desencriptan en el extremo remoto.

Para ayudar en este proceso, el uso de herramientas de cifrado proporciona el soporte necesario para una transmisión de datos segura.

Existen varias herramientas para cifrar datos, pero es importante prestar especial atención a la gestión de claves. Porque si te descuidas y pierdes la clave, perderás también el contenido que estaba encriptado.

Por ello, siempre recomendamos el uso correcto de equipos y plataformas que gestionen las llaves, su ciclo de vida, así como el control de accesos. Al fin y al cabo, con un uso más amplio la gestión puede complicarse utilizando únicamente hojas de cálculo de Excel.

El reto de los datos de tráfico

Uno de los principales objetivos a lo largo de la historia, ha sido trasladar mensajes a través de diversos tipos de canales y medios. La intención siempre ha sido impedir que se revele el contenido del mensaje, aunque el propio mensaje fuera interceptado en tránsito.

Tanto si el mensaje se envía manualmente, por una red de voz o por Internet, el cifrado moderno proporciona métodos seguros y confidenciales para transmitir datos. También permite comprobar la integridad del mensaje, de modo que pueda detectarse cualquier cambio en el propio mensaje.

En resumen, la adopción de la criptografía debería ser una prioridad para todas las empresas, independientemente de su segmento de negocio o tamaño. Hoy en día, la protección de datos se ha convertido en un factor crítico para el éxito de cualquier empresa y, por tanto, no puede ser ignorada por ninguna organización.

Por último, lea más sobre protección de datos y privacidad en nuestro blog y aprenda a aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de EVAL. Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorías
Protección de datos

Transmisión segura de datos: 10 consejos para su empresa

Proteger los datos utilizados en las operaciones empresariales es un requisito esencial para la información confidencial de una organización. Es entonces cuando entran en juego la transmisión segura de datos y su cifrado.

Los usuarios malintencionados pueden interceptar o vigilar los datos en texto plano transmitidos por una red o a través de soportes extraíbles y dispositivos móviles sin cifrar.

Así obtienen accesos no autorizados, comprometiendo la confidencialidad de datos considerados sensibles y estratégicos. Por eso es tan importante la transmisión segura de datos.

La protección en estos casos se realiza con algoritmos criptográficos que limitan el acceso a los datos sólo a quienes posean el recurso de cifrado adecuado y su respectivo descifrado.

Además, algunas herramientas criptográficas modernas también permiten condensar o comprimir los mensajes, ahorrando espacio de transmisión y almacenamiento.

Hemos hecho converger la necesidad de proteger las transmisiones de datos con los recursos tecnológicos existentes. Por ello, hemos separado 10 recomendaciones consideradas vitales para tener éxito en todo el proceso de envío y recepción de datos.

Los ciberdelincuentes pueden comprometer la confidencialidad de la información durante una transmisión de datos

Los datos considerados sensibles o restringidos en relación con la protección de datos deben cifrarse cuando se transmitan por cualquier red.

Esto debe hacerse para proteger contra la interceptación del tráfico de red por usuarios no autorizados. Los ataques de este tipo también se conocen como Man-in-the-middle, haga clic aquí para obtener más información.

En los casos en los que los dispositivos de origen y destino se encuentran dentro de la misma subred protegida, la transmisión de datos debe seguir protegiéndose con cifrado debido al alto impacto negativo potencial de una violación y robo de datos.

Además, los empleados tienden a preocuparse menos cuando se encuentran en un entorno “controlado”, creyéndose a salvo de ataques.

Los tipos de transmisión pueden incluir comunicación de cliente a servidor, así como de servidor a servidor. Esto puede incluir la transferencia de datos entre sistemas centrales, entre sistemas de terceros o la transmisión P2P dentro de una organización.

Además, cuando se utilicen para almacenar datos restringidos, los soportes extraíbles y los dispositivos móviles también deben utilizar adecuadamente el cifrado de datos sensibles, siguiendo las recomendaciones de seguridad. Los dispositivos móviles incluyen ordenadores portátiles, tabletas, tecnología para llevar puesta y teléfonos inteligentes.

Los correos electrónicos no se consideran seguros y, por defecto, no deben utilizarse para transmitir datos sensibles a menos que se utilicen herramientas adicionales de cifrado de datos de estos servicios.

Al intentar proteger los datos en tránsito, el profesional de la seguridad debe tener en cuenta las siguientes recomendaciones para diseñar una transmisión segura de la información:

Infografía híbrida HSM

Las mejores recomendaciones

  1. Cuando el dispositivo (ya sea cliente o servidor) sea accesible a través de una interfaz web, el tráfico debe transmitirse a través de Secure Sockets Layer (SSL), utilizando únicamente protocolos de seguridad sólidos y seguridad de la capa de transporte;
  2. Los datos transmitidos por correo electrónico deben protegerse utilizando herramientas de cifrado de correo electrónico con un cifrado potente, como S/MIME . Como alternativa, antes de enviar un correo electrónico, los usuarios deben cifrar los datos utilizando herramientas compatibles de cifrado de datos de archivos y adjuntarlos al correo electrónico para su transmisión;
  3. El tráfico de datos no cubierto por el navegador web debe cifrarse mediante cifrado a nivel de aplicación;
  4. Si una base de datos de aplicaciones se encuentra fuera del servidor de aplicaciones, todas las conexiones entre la base de datos y la aplicación también deben utilizar cifrado con algoritmos criptográficos que cumplan las normas de seguridad y protección de datos recomendadas;
  5. Cuando el cifrado a nivel de aplicación no esté disponible para el tráfico de datos no cubierto por la Web, implemente el cifrado a nivel de red, como IPsec o encapsulación SSL;
  6. El cifrado debe aplicarse cuando se transmiten datos entre dispositivos en subredes protegidas con fuertes controles de cortafuegos;
  7. Desarrollar y probar un plan adecuado de recuperación de datos;
  8. Siga los requisitos recomendados para crear contraseñas seguras, que deben definirse en la policía de seguridad de la organización. Además, adopte alguna herramienta de gestión para almacenar los datos de acceso y las claves de recuperación;
  9. Una vez copiados los datos en un soporte extraíble o dispositivo móvil, comprueba que funciona siguiendo las instrucciones para leer datos mediante cifrado. Aproveche también para incluir en su plan de recuperación y contingencia pruebas de apertura de copias de seguridad que hayan sido cifradas;
  10. Cuando estén desatendidos, los soportes extraíbles (o el dispositivo móvil) deben guardarse en un lugar seguro con acceso limitado a los usuarios que lo necesiten. Y ten en cuenta las claves que se utilizaron para cifrar la copia de seguridad.

El apoyo y las políticas internas también son muy importantes

La última recomendación es disponer de la documentación justificativa adecuada para todo este proceso de transmisión de datos.

Las políticas y procesos de seguridad deben validarse mediante pruebas frecuentes que garanticen la eficacia de todos los procedimientos que se lleven a cabo.

Por último, no olvide crear una política de sensibilización dirigida a los empleados de la empresa.

Adoptar formación y campañas que demuestren la importancia de seguir las políticas y procesos de seguridad y protección de datos de la organización.

Herramientas de cifrado de datos para una transmisión segura

El cifrado de extremo a extremo suele realizarlo el usuario final dentro de una organización. Los datos se cifran al inicio del canal de comunicación, o antes a través de soportes extraíbles y dispositivos móviles.

De este modo, permanecen encriptados hasta que se desencriptan en el extremo remoto.

Para ayudar en este proceso, el uso de herramientas de cifrado proporciona el soporte necesario para una transmisión de datos segura.

Existen varias herramientas para cifrar datos, pero es importante prestar especial atención a la gestión de claves. Porque si te descuidas y pierdes la clave, perderás también el contenido que estaba encriptado.

Por ello, siempre recomendamos el uso correcto de equipos y plataformas que gestionen las llaves, su ciclo de vida, así como el control de accesos.

Al fin y al cabo, con un uso más amplio la gestión puede complicarse utilizando únicamente hojas de cálculo de Excel.

El reto de los datos de tráfico

Uno de los principales objetivos a lo largo de la historia, ha sido trasladar mensajes a través de diversos tipos de canales y medios. La intención siempre ha sido impedir que se revele el contenido del mensaje, aunque el propio mensaje fuera interceptado en tránsito.

Tanto si el mensaje se envía manualmente, por una red de voz o por Internet, el cifrado moderno proporciona métodos seguros y confidenciales para transmitir datos.

También permite comprobar la integridad del mensaje, de modo que pueda detectarse cualquier cambio en el propio mensaje.

En resumen, la adopción de la criptografía debería ser una prioridad para todas las empresas, independientemente de su segmento de negocio o tamaño. Hoy en día, la protección de datos se ha convertido en un factor crítico para el éxito de cualquier empresa y, por tanto, no puede ser ignorada por ninguna organización.

Por último, lea más sobre protección de datos y privacidad en nuestro blog y aprenda a aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de Eval.

Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Protección de datos con cifrado: un reto para las empresas

La protección de datos mediante cifrado, considerado uno de los controles de seguridad más reconocidos y aplicados en la actualidad, sigue siendo un reto importante para las empresas. Según la empresa estadounidense Vera Security, sólo el 4% de las violaciones de datos se consideran “seguras”, ya que el cifrado inutiliza los archivos robados.

Por lo general, el cifrado se adquiere e implanta con fines relacionados con el cumplimiento de los requisitos. En otras palabras, no suele estar alineada para hacer frente a los riesgos de seguridad del mundo real, como el robo de datos y los excesos accidentales de los empleados.

De hecho, aplicar eficazmente la tecnología de cifrado es uno de los principales retos a los que se enfrentan las organizaciones para lograr un rendimiento satisfactorio en la protección de datos.

Para hacerse una idea de la situación, los datos presentados en una encuesta realizada por Vera Security muestran que el 61% de los encuestados cree que el cumplimiento de las normativas impulsa la necesidad de cifrado, no la protección de los datos de los usuarios.

Esto aumenta aún más la desconexión entre encriptación y seguridad.

El informe también cita los despliegues de cifrado orientados al perímetro como una de las principales razones por las que las inversiones en protección de datos cifrados de las organizaciones no están alineadas con la forma en que los empleados y socios comerciales utilizan realmente los datos críticos.

El reto de proteger los datos con cifrado durante todo el ciclo de vida de la empresa

Para los profesionales especializados en seguridad, privacidad y riesgos, la velocidad y la escala con que los datos se mueven hoy en día a través de las organizaciones y sus socios son los factores que más aumentan la necesidad de protección de datos.

Especialmente en el entorno colaborativo actual posterior a la nube, las organizaciones deben invertir en la protección de datos con cifrado durante todo el ciclo de vida empresarial.

El enfoque principal consiste en utilizar la seguridad de archivos con cifrado permanente para proteger los datos durante su vida útil. Así se garantiza el cumplimiento de la legislación y la normativa vigentes. Esta estrategia pretende ofrecer un cifrado potente, un control de acceso en tiempo real y una gestión de políticas definida.

Otra conclusión importante del informe es que casi dos tercios de los entrevistados dependen de sus empleados para seguir las políticas de seguridad. Sólo así se garantiza la protección de los archivos distribuidos.

Sin embargo, al 69% le preocupa mucho la falta de control sobre los documentos enviados fuera de la red o en los que se colabora en la nube. Por último, sólo el 26% tiene capacidad para localizar y revocar el acceso rápidamente.

La encuesta también muestra que sólo el 35% de los encuestados incorpora la protección de datos con cifrado a los procesos de seguridad en general. Mientras tanto, otros citan las dificultades para implantar correctamente la tecnología como motivo de su escasa priorización en la organización.

Una de las principales conclusiones de la investigación es que el cifrado no se considera una “victoria fácil”. También se considera difícil de aplicar y utilizar.

Recomendaciones para dar la vuelta a la tortilla con la criptografía

A pesar de las dificultades para adoptar la protección de datos con cifrado en las empresas, cabe señalar que existen tecnologías de seguridad centradas en los datos que pueden proporcionar seguimiento y control de acceso en tiempo real sin molestar al usuario final. Las recomendaciones son las siguientes:

1. Los equipos informáticos y empresariales deben seguir el flujo de trabajo de la empresa para encontrar lagunas de seguridad

De este modo, estos equipos podrán encontrar exposiciones de datos ocultas. También hay que tener en cuenta que, por lo general, los mecanismos de cifrado son incapaces de seguir el ritmo de los datos y de las nuevas funciones de los usuarios.

Por lo tanto, las organizaciones deben estudiar cómo utilizan realmente los empleados la información sensible para identificar las áreas a las que no llega la protección de datos con cifrado o se desactiva por necesidad.

Sin embargo, un equipo que conozca los datos sensibles de la organización puede ayudar a trazar un mapa para que los informáticos puedan aplicar correctamente el cifrado. Por eso el equipo empresarial debe ser un equipo multidisciplinar en el que participen diversas áreas de la empresa.

infografía sobre la plataforma de protección de datos CipherTrust

2. Invertir en prevención de ataques

Las organizaciones deben evitar el pensamiento reactivo ante los incidentes (“acciones a tomar sólo después del ataque”). Después de todo, en la mayoría de las organizaciones, los empleados bienintencionados cometen errores que superan a las amenazas malintencionadas.

Por este motivo, se aconseja a las empresas que garanticen una visibilidad clara de sus procesos para ayudar a empleados y directivos a contener la exposición accidental de datos y aplicar sus políticas para evitar el robo de datos y la pérdida de privacidad.

La pregunta ahora es cuándo se filtrarán los datos de mi empresa. Teniendo esto en cuenta, queda más claro cómo definir una estrategia adecuada que evite un ataque y garantice que los datos permanezcan protegidos en caso de que se produzca.

3. Alinear la empresa, los socios y las tecnologías para proteger los datos con cifrado.

Las empresas necesitan alinear sus recursos tecnológicos -y esto incluye el cifrado- para hacer frente a la nube, las tecnologías móviles y terceros. La multiplicación de dispositivos móviles y socios comerciales presenta una gran variedad de nuevos lugares por los que deben viajar los datos.

Enrutar el acceso a estos datos a través de la nube y otros servicios centralizados ayuda a los responsables de TI, seguridad y empresa a restaurar la visibilidad y consolidar el control mediante la inclusión de estos datos en plataformas con cifrado incorporado y controles de acceso a los archivos.

La estrategia para afrontar el reto de la protección de datos con cifrado debe ser asertiva

Por último, las principales razones aducidas por los entrevistados en la encuesta para adoptar el cifrado fueron:

  • Los datos no se toman suficientemente en serio (40%);
  • La aplicación de una política de cifrado de todos los datos se considera muy difícil (18%);
  • No es fácil saber dónde se almacenan los datos (17%);
  • No se han comprobado las aplicaciones internas para garantizar que los datos están protegidos de acuerdo con la política (13%);
  • Los administradores no son capaces de configurar correctamente los controles de cifrado (12%).

Con este telón de fondo, podemos ver que tenemos un gran reto por delante. Las empresas no pueden dejar la carga de la seguridad de los datos únicamente en manos de los equipos informáticos.

En su lugar, deben concienciar, aplicar y probar adecuadamente una estrategia asertiva de protección de datos con cifrado.

Y para estos objetivos de seguridad, invertir en tecnología es esencial.

A la hora de planificar las necesidades de codificación, trace los flujos de información entre todas las aplicaciones y las tablas que almacenan la información pertinente. A continuación, aplica la protección de datos con cifrado para su almacenamiento y transmisión. Y no olvides tampoco el control de acceso a los datos.

Por último, para proteger aún más los datos de la organización, tenga cuidado con los documentos o aplicaciones compartidos entre usuarios. Son fáciles de acceder y compartir, pero pueden poner en peligro la información confidencial.

Los controles de acceso basados en el cifrado garantizan de nuevo que sólo los usuarios autorizados puedan acceder a determinados datos. Siga y supervise el uso de los datos para asegurarse de que los controles de acceso son eficaces.

Lea más sobre protección de datos y privacidad en nuestro blog y descubra cómo aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de Eval.

Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Aplicaciones de comunicación con cifrado y uso de datos

Si le preocupan la seguridad y la privacidad de los datos, es posible que haya oído hablar del cifrado para aplicaciones de comunicación, aunque sólo sea superficialmente.

Es más, es posible que su interés por el tema haya surgido a raíz de la noticia de una filtración o un robo.

Se trata de una realidad que ha crecido en los últimos años. Cada vez nos preocupamos más por nuestra información y la tecnología tiene un impacto directo en nuestras rutinas.

¿Quién iba a pensar, por ejemplo, que el teléfono móvil llegaría a ser tan importante para nosotros? Pero no por su funcionalidad original, hacer y recibir llamadas, ya que las apps de mensajería prácticamente han condenado las llamadas telefónicas.

¿Tiene idea de cuántos mensajes se han recibido y enviado en las últimas horas a través de las principales herramientas de este tipo? ¿Y cuántos han sustituido una conexión?

Miles de mensajes diarios

Los brasileños envían miles de mensajes cada día a amigos, familiares, compañeros de trabajo y otros. En el mundo se envían cada día una media de 55.000 millones de mensajes a través de WhatsApp.

Incluso servicios como WhatsApp se han convertido en estratégicos para las empresas. Consideradas herramientas de venta, las aplicaciones de mensajería ayudan a muchos empresarios a impulsar la economía.

Debido a esta importancia, queremos que los mensajes queden restringidos únicamente a las partes interesadas. Suelen ser conversaciones privadas en las que se tratan asuntos personales y estratégicos.

Dada la frecuencia con la que todos utilizamos estas herramientas, cada vez es más importante proteger la privacidad y la información personal.

Una forma de hacerlo es utilizar el cifrado para las aplicaciones de comunicación.

Definición de criptografía

Antes de analizar quién adopta el cifrado para las aplicaciones de comunicación de extremo a extremo, conviene recordar el concepto básico de la mensajería segura.

Los sistemas de seguridad para las comunicaciones existen desde hace siglos. Básicamente, se trata de hacer llegar un mensaje o información a un destino sin que ninguna persona no autorizada pueda leerlo.

En la práctica, con la ayuda de Internet, enviamos a diario muchos datos privados a otros ordenadores o servidores.

La encriptación toma tus datos y los codifica, haciendo imposible que alguien que los intercepte pueda leerlos o entenderlos.

Cuando llegan al destinatario, los datos vuelven a su forma original para que puedan ser leídos y comprendidos.

Los datos sin cifrar se denominan texto sin formato y los cifrados, texto cifrado.

La forma en que un dispositivo toma los datos y los cifra se denomina algoritmo de cifrado. Se utiliza con una clave criptográfica, de modo que sólo la persona que tenga la clave correcta puede descifrarlo.

Por ejemplo, si quisiéramos cifrar el mensaje “¡Buenos días!” y enviárselo a otra persona, tendríamos que utilizar un algoritmo de cifrado, que lo cifraría en algo como “SZKKB YRIGSWZB”. Así, alguien que utilice la misma tecnología podría abrirlo y leerlo.

De punta a punta

El cifrado de extremo a extremo es asimétrico. Protege los datos garantizando que sólo puedan leerlos dos personas: el remitente y el destinatario.

Esto significa que nadie más puede leer los datos, como piratas informáticos, gobiernos, empresas o servidores. Así, cuando un usuario envía un mensaje a otro, aunque haya sido interceptado, no puede ser leído.

Si el mensaje pasa por el servidor de WhatsApp, por ejemplo, no podrá leerlo. Si el servicio quisiera facilitar estos datos a terceros, no podría hacerlo.

Esto es lo que ocurre cuando el cifrado de las aplicaciones de comunicación es de extremo a extremo. Para obtener más información sobre cómo se cifran los mensajes de WhatsApp, así como los algoritmos utilizados, haga clic aquí.

Elcifrado para aplicaciones de comunicación es una norma

En los últimos años se ha generalizado el uso de la encriptación en las aplicaciones de comunicación. Sin embargo, aún no ha sido adoptado por todos los fabricantes.

De hecho, la encriptación no es obligatoria en todas las situaciones, pero en algunas seguro que la utilizas, como cuando compras artículos por Internet e introduces los datos de tu tarjeta.

En momentos así, la encriptación ocurre sin que te des cuenta. En la vida cotidiana, puedes optar por la encriptación de las aplicaciones de comunicación para tener la tranquilidad de saber que absolutamente nadie más puede acceder a tus mensajes o llamadas.

La encriptación de extremo a extremo impide que personas no autorizadas accedan a tus datos y preserva tu privacidad.

 

Qué aplicaciones utilizar

Hay tantas opciones en el mercado que es difícil decir cuál es la mejor. En su lugar, enumeraremos las más populares que utilizan el cifrado para las aplicaciones de comunicación por defecto.

Cifrado en WhatsApp

WhatsApp cuenta ya con más de 1.500 millones de usuarios e integra el protocolo de cifrado en sus conversaciones. Esto significa que los mensajes de WhatsApp están cifrados de extremo a extremo por defecto.

Dispone de chat, llamadas de grupo, compartición de archivos, archivado, compartición de ubicaciones, retransmisiones y mucho más.

La popularidad de la aplicación también juega a tu favor, ya que probablemente no necesitarás convencer a otras personas para que la descarguen.

WhatsApp es gratuito y no tiene publicidad. Sin embargo, es propiedad de Facebook, que admite abiertamente que recopila muchos datos sobre ti con fines de marketing.

Cifrado en Facebook Messenger

Según un Informe de la BBCFacebook Messenger también utiliza el cifrado, pero de forma un poco diferente al cifrado utilizado en WhatsApp, en el que el mensaje se cifra desde el remitente hasta el servidor, que abre el mensaje y lo cifra de vuelta al remitente de extremo a extremo, el mismo protocolo de señalización utilizado por WhatsApp.

Pero ya hay planes para implantar en Facebook Messenger el mismo cifrado de extremo a extremo que se utiliza en WhatsApp. En última instancia, esto significa que tus mensajes no pueden ser vistos por el equipo de la red social.

Facebook Messenger también utiliza el cifrado, pero de forma un poco diferente al cifrado utilizado en Whatsapp, en el que el mensaje se cifra desde el remitente hasta el servidor, que abre el mensaje y lo cifra de vuelta al remitente. de extremo a extremo, el mismo protocolo de señalización utilizado por WhatsApp.

Pero ya hay planes para implantar en Facebook Messenger el mismo cifrado de extremo a extremo que se utiliza en WhatsApp. Esto significa que tus mensajes no pueden ser vistos por el equipo de la red social.

Facebook Messenger funciona como la mayoría de las demás aplicaciones, con chat y llamadas en grupo, intercambio de archivos, uso compartido de la ubicación y videollamadas. También es muy fácil de usar, con pegatinas, GIF e incluso juegos.

Sin embargo, la aplicación es propiedad de Facebook, lo que significa que sigue contribuyendo a los datos recopilados sobre ti y otros miles de millones de usuarios.

Cifrado en Telegram

Telegram fue una de las primeras aplicaciones del mercado. El cifrado de extremo a extremo no está activo por defecto: tienes que asegurarte de que el modo secreto está activo para que nadie más pueda acceder a tus mensajes.

La aplicación cuenta con funciones como chat en grupo, envío de archivos y fotos -también cifrados sólo en modo secreto-, mensajes perdidos, funciones de archivo y llamadas de voz y vídeo.

Cuando el modo secreto está activo, los mensajes también pueden autodestruirse en todos los dispositivos de un chat y existe la opción de autodestruir tu cuenta en un tiempo determinado.

Telegram es gratuito y no tiene publicidad. Todos los datos están encriptados y se almacenan en servidores, excepto los mensajes de chat secretos.

Cifrado en iMessage y FaceTime

Apple ha introducido el cifrado de extremo a extremo para todos tus mensajes en iMessage, la aplicación por defecto en los dispositivos iOS, y todas las llamadas y vídeos de FaceTime.

iMessage y FaceTime están disponibles tanto en dispositivos móviles iOS como en ordenadores Mac.

Ambas aplicaciones cubren una serie de funcionalidades básicas, como mensajería, localización o intercambio de archivos, y llamadas de voz y vídeo. Los mensajes de iMessage se guardan en iCloud, pero puedes desactivarlo en los ajustes.

Asegúrese de leer las políticas de privacidad de datos de todas las aplicaciones que utilice. Asegúrate de que te sientes cómodo con ellos antes de confiar en la herramienta elegida.

Sobre a Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Criptografía y gestión de claves – Conceptos importantes

El uso de la criptografía y la gestión de claves, así como los servicios criptográficos, son vitales para proteger los datos en reposo o en soportes, una realidad para las empresas y los usuarios de servicios como el almacenamiento en la nube, la mensajería y muchos otros.

Sin embargo, a los responsables de estos servicios se les presentan muchas opciones de mecanismos criptográficos y, en consecuencia, hay que elegir entre muchas opciones.

Las decisiones inadecuadas pueden dar lugar a beneficios escasos o nulos, creando una falsa sensación de seguridad. Criptografía, gestión de claves y servicios criptográficos - Ciclo de vida

Por ejemplo: cifrar una base de datos y guardar la clave criptográfica en un archivo del servidor.

En este artículo pretendemos abordar algunos aspectos relevantes para la seguridad de la información relacionados con las claves criptográficas. Esto mostrará la importancia de su correcta gestión para la programación de servicios criptográficos.

Para facilitar la comprensión, dividiremos el artículo en tres partes. Empezando por los fundamentos de la criptografía, la gestión de claves y los servicios criptográficos.

Conceptos básicos de cifrado de datos

La criptografía es un conjunto de principios utilizados para garantizar la seguridad de la información.

Para ello, utiliza técnicas que transforman una información (cifrado) en otra (criptograma) que sólo pueden leer quienes conocen el secreto (clave secreta).

Al mantener este secreto a salvo, impedimos que personas no autorizadas accedan a la información original (descifrar).

Secreto

La seguridad de los servicios criptográficos se basa en el secreto de la clave criptográfica, que permite cifrar y descifrar, y no en el método de transformación de la información, es decir, el algoritmo utilizado, que debe ser público.

Claves simétricas y asimétricas

En criptografía y gestión de claves hay dos tipos básicos de algoritmos: simétricos y asimétricos. Los primeros utilizan una sola clave para cifrar y descifrar los datos, mientras que los segundos adoptan un par de claves, una para el cifrado y otra para el descifrado.

El siguiente diagrama muestra el uso de una clave simétrica para cifrar un mensaje. Podemos ver que la clave utilizada por John es la misma adoptada por Alice.

Criptografía y gestión de claves y servicios criptográficos - Claves simétricas y asimétricas.
Figura 2 – Algoritmo de clave simétrica

El siguiente diagrama muestra el uso de una clave asimétrica. La clave utilizada por Alice para cifrar es la clave pública de John, y éste utiliza su clave privada para descifrar.

Criptografía, gestión de claves y servicios criptográficos - Algoritmo de clave asimétrica
Figura 3 – Algoritmo de clave asimétrica

Un punto interesante sobre este tipo de algoritmo es que después de cifrar con la clave pública, sólo la clave privada puede descifrar.

Ejemplos de uso de estos algoritmos son una base de datos que utiliza el algoritmo AES (clave simétrica) para cifrar cierta información de la base de datos y la firma digital de documentos mediante el algoritmo RSA (clave asimétrica).

También nos gustaría destacar que el secreto en estos dos tipos de algoritmos reside en proteger la clave simétrica y la clave privada (en el caso de las claves asimétricas).

Por último, otro aspecto es que estos algoritmos son complementarios y sirven de base para programar servicios criptográficos.

Resumen criptográfico y firma digital

En lo que respecta a la criptografía y la gestión de claves, un compendio criptográfico es un valor que representa información. Se genera utilizando un algoritmo, como SHA256, para analizar los datos bit a bit y crea un valor que no puede falsificarse en la práctica.

Criptografía, gestión de claves y servicios criptográficos - Resumen criptográfico
Figura 4 – Resumen criptográfico

Sin embargo, el resumen criptográfico no puede utilizarse por sí solo, ya que aunque no puede falsificarse, sí puede sustituirse.

Así, para ser utilizado en la práctica, el resumen criptográfico se cifra con la clave privada (asimétrica), generando una firma digital.

De este modo, cualquiera que tenga la clave pública puede generar el resumen criptográfico y compararlo con el de la firma digital.

A continuación, puede comprobar si los datos son válidos. Acciones fundamentales en criptografía y gestión de claves.

Criptografía, gestión de claves y servicios criptográficos - Firma digital
Figura 5 – Firma digital

Tomemos como ejemplo SHA256 con RSA. Utiliza el algoritmo de resumen SHA256 y el algoritmo de cifrado RSA para generar la firma digital. Sin embargo, esto sigue sin ser suficiente, ya que no tenemos forma de identificar a quién pertenece una clave pública concreta.

Esto requiere un nuevo elemento: el certificado digital.

El certificado digital consiste básicamente en información textual que identifica a una entidad (persona, empresa o servidor), una clave pública y un propósito de uso. Tiene una firma digital.

Es importante tener en cuenta que el certificado digital debe estar firmado por un tercero de confianza (autoridad de certificación digital).

Así que introdujimos el concepto de relación de confianza. Según él, si confiamos en la entidad A y ésta confía en la entidad B, entonces nosotros también confiamos en B.

Criptografía, gestión de claves y servicios criptográficos - Relación de confianza
Figura 6 – Relación de confianza

Con esto concluyen los conceptos básicos de la criptografía. En la siguiente sección, hablaremos de los servicios criptográficos que pueden crearse a partir de ellos.

Servicios criptográficos

Como parte del ciclo de vida de la criptografía y la gestión de claves, se utilizan mecanismos criptográficos básicos como el cifrado simétrico y el resumen criptográfico para respaldar los servicios de confidencialidad, integridad, autorización e irrecuperabilidad o no repudio.

Esto significa que un mecanismo criptográfico puede utilizarse para dar soporte a varios servicios. También es importante que los servicios criptográficos se utilicen conjuntamente para garantizar la seguridad.

A continuación describiremos brevemente los servicios criptográficos básicos:

Confidencialidad

Este servicio garantiza la confidencialidad de los datos mediante el cifrado y la gestión de claves. También garantiza que la información no pueda ser vista por terceros y que sólo tengan acceso a ella las personas autorizadas. Fundamentos de la criptografía y la gestión de claves.

Algunos ejemplos son el cifrado de archivos, sistemas de archivos y bases de datos con claves simétricas. También tenemos información cifrada con la clave pública del certificado, de modo que sólo pueden abrir la información quienes tengan la clave privada correspondiente.

Integridad

El servicio de integridad debe garantizar que una determinada información no se modifica de forma no autorizada tras su creación, durante su transmisión o almacenamiento.

Tanto si el cambio es accidental como intencionado, la inserción, eliminación o sustitución de datos debe detectarse. Mecanismos criptográficos como el resumen criptográfico, también conocido como hash, y la firma digital proporcionan el soporte para este servicio.

Autenticación

El servicio de autenticación verifica la identidad de un usuario o sistema que solicita autorización para acceder a la información.

La firma digital es un mecanismo criptográfico generalmente utilizado para dar soporte a este servicio, ya que la identificación de la persona ya ha sido validada antes de la emisión del certificado digital, bien por una Autoridad de Certificación ICP-Brasil de confianza o por otra en la que confíe la organización, como una Autoridad de Certificación Interna.

En las Autoridades Certificadoras ICP-Brasil, es en el proceso de emisión del certificado digital que la persona necesita asistir a una validación presencial, con documentos originales que comprueben la identidad del solicitante.

 
Irretractabilidad

El servicio de irretractabilidad proporciona los medios para garantizar que quien haya creado la información no pueda negar su autenticidad.

En este sentido, está vinculada a la firma digital, en la que el propietario de la clave privada no puede negar que la ha tenido para un fin determinado.

Con esto concluye la descripción de los servicios criptográficos. En la siguiente sección, presentaremos los principales factores a tener en cuenta en la gestión de claves: criptografía y gestión de claves.

Autorización

Además, tras la autenticación, es posible utilizar la información del usuario autenticado en el sistema para definir la autorización de la información. El servicio de autorización proporciona aprobación o permiso para la ejecución de una actividad.

A modo de ejemplo, el servicio de autorización puede emplearse para definir los permisos de uso de una clave criptográfica que, en consecuencia, permitiría acceder a una determinada información.

Gestión de claves criptográficas

Las claves criptográficas son la base de la criptografía y la gestión de claves, y en ellas reside la seguridad de los datos cifrados. Las brechas pueden llevar a comprometer las claves y, en consecuencia, a la filtración de información sensible.

El aumento del uso de la encriptación para la protección de datos, debido principalmente a las normativas gubernamentales, hace que las empresas tengan que lidiar con múltiples soluciones de encriptación.

Debido a la diversidad de proveedores, las organizaciones también necesitan definir diversos procedimientos para gestionar las claves criptográficas, y éstos no siempre son adecuados.

La gestión de claves criptográficas consiste en almacenar, proteger, organizar y garantizar el uso adecuado de las claves criptográficas, gestionar su ciclo de vida y mantener copias de seguridad de forma segura y coherente.

A la hora de gestionar las claves, debemos tener en cuenta algunos puntos, que describiremos a continuación:

Almacenamiento seguro de llaves

Las claves deben almacenarse de forma segura, es decir, cifradas y con acceso controlado.

El cifrado debe realizarse preferentemente mediante claves (KEK) protegidas en hardware criptográfico.

Identificación de las llaves

Debe ser posible identificar una llave, su tipo, su finalidad, quién está autorizado a utilizarla y el periodo de uso.

Autenticación y autorización de usuarios

El uso de claves criptográficas sólo debe permitirse una vez identificado el usuario.

Por lo tanto, para gestionar correctamente las claves, el sistema debe proporcionar mecanismos de autenticación y autorización o permitir la integración con los sistemas existentes, como Active Directory de Microsoft.

Ciclo de vida de las claves criptográficas

El ciclo de vida de las claves criptográficas debe controlarse para que se utilicen correctamente durante su periodo de validez, es decir, que sólo las personas o sistemas autorizados puedan utilizarlas durante un periodo de tiempo predefinido y con mecanismos seguros para que no se vean comprometidas.

Describiremos el ciclo de vida de las claves, según la recomendación del NIST.

El ciclo de vida de una clave comienza con su generación y termina con su destrucción, pasando por uno o varios de los estados que se describen a continuación:

  • Generación: momento en que se crea la clave y aún no está lista para su uso;
  • Preactivación: la clave se ha generado, pero aún no está lista para su uso porque se está a la espera del periodo de uso o de la emisión de un certificado;
  • Activada: la llave está disponible para su uso;
  • Suspendido: el uso de la clave se suspende temporalmente. En este estado, ya no puede realizar operaciones de cifrado o firma, pero puede utilizarse para la recuperación de datos o la verificación de firmas realizadas previamente.
  • Inactivada: la clave ya no puede utilizarse para el cifrado o la firma digital, pero se conserva para procesar los datos cifrados o firmados antes de la inactivación.
  • Comprometida: indica que la clave ha visto afectada su seguridad y ya no puede utilizarse en operaciones criptográficas (cifrado y gestión de claves). En algunos casos, como las claves simétricas, puede utilizarse para recuperar los datos cifrados para cifrarlos posteriormente con otra clave.
  • Destruida: este estado indica que una clave ya no es necesaria. La destrucción de la clave es la etapa final y puede lograrse debido al fin del ciclo de uso de la clave o al compromiso de su seguridad.

Copia de seguridad de claves criptográficas

La función principal de las copias de seguridad es garantizar la recuperación de las claves y, en consecuencia, de los datos cifrados en caso de pérdida o fallo.

Al igual que las llaves, que deben guardarse de forma segura durante su uso, las copias de seguridad también deben protegerse.

Pueden almacenarse en archivos cifrados o en equipos criptográficos adecuados para este fin, que deben guardarse en lugares seguros.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel. Eval, la seguridad es un valor.

Categorías
Protección de datos

Cifrado de datos para pagos y registros financieros

Hoy en día, enormes cantidades de datos electrónicos personales y financieros forman parte de nuestras rutinas. Además, los flujos de moneda digital en los ecosistemas de pago también están presentes en la vida cotidiana de todos. Al fin y al cabo, cada día se procesan miles de millones de transacciones. De ahí la necesidad de invertir en el cifrado de datos para el pago.

De hecho, la encriptación de última generación se ha vuelto tan vital para nuestras transacciones financieras e información personal.

Para un sistema financiero en línea seguro, hay que invertir en la encriptación de los datos de pago

Como ya sabrá, el ecosistema de pagos en línea es el principal objetivo de los ciberdelincuentes. El cifrado de datos es, por tanto, necesario para mantener la integridad de las transacciones interbancarias y las plataformas de venta por Internet.

Quizá lo que aún no sepa es el impacto del robo de datos personales. El acceso ilegal a información confidencial genera miles de millones de dólares cada año.

Por defecto, la infraestructura de pagos es un objetivo muy popular para los piratas informáticos. Sin embargo, este escenario cambia con los ataques a redes sociales u otros sitios que tienen muchos usuarios. Al fin y al cabo, a menudo almacenan información personal.

Normalmente, cuando un consumidor introduce los datos de su tarjeta de crédito o débito para realizar una compra, éstos permanecen abiertos al salir del terminal del comercio. Estos datos no están protegidos hasta que se cifran en una pasarela de la plataforma de tratamiento.

Se trata de un modelo de seguridad que pone en peligro los datos del titular de la tarjeta. Al fin y al cabo, pueden caer en manos de ciberdelincuentes que utilizan métodos como el malware de red. También pone en peligro todo el ecosistema de pagos.

En caso de que se produzca una violación de datos, los comerciantes se enfrentan a repercusiones financieras y de reputación ante los consumidores y el propio mercado.

Así, el cifrado simétrico de los registros y datos financieros es uno de los principales recursos para garantizar un sistema en línea seguro. Especialmente cuando se aplica de extremo a extremo en un proceso de pago o en el tráfico de datos personales o confidenciales.

Recientemente se produjo una enorme filtración de datos, en la que se robaron datos de aproximadamente 800 millones de cuentas de correo electrónico. Si desea comprobar si sus datos de correo electrónico también han sido robados, consulte en: https://haveibeenpwned.com.

La seguridad puede mejorarse mediante el cifrado de datos, pero debe ser una prioridad

Las soluciones tecnológicas son fundamentales para proteger el sistema de pagos. Sin embargo, la colaboración de la industria es también un componente integral de la lucha colectiva contra la ciberdelincuencia.

Las organizaciones deben dar prioridad a la seguridad por varias razones:

  • La facilidad para comprar y utilizar servicios en Internet ha generado un gran tráfico de transacciones, compuesto principalmente por datos personales y de pago;

  • Todavía falta el cifrado de datos para el pago cuando se almacena información importante en la nube;

  • El considerable aumento de las aplicaciones móviles desarrolladas e implantadas en la nube ha creado oportunidades de negocio, pero muchas organizaciones aún están aprendiendo la necesidad de proteger los dispositivos contra las vulnerabilidades de seguridad;

  • Muchas organizaciones siguen estableciendo asociaciones con proveedores de servicios sin invertir en políticas y procesos de seguridad para proteger a los usuarios y sus datos personales y de pago.

El resultado de este escenario es un enorme aumento de los incidentes de seguridad y el robo de datos, con las consiguientes implicaciones financieras, normativas, jurídicas, operativas y de compromiso de la marca.

Infografía híbrida HSM

 

Cifrado de datos para pagos: la solución está al alcance de todos

A pesar del riesgo de ataques virtuales y robo de datos, la solución está disponible para todas las empresas que forman parte del entorno financiero.

Las empresas deben ser proactivas a la hora de reducir las amenazas a la seguridad mientras aceleran su camino hacia la transformación digital. Por eso necesitan adoptar plataformas flexibles, escalables y dinámicas para gestionar los productos y servicios disponibles en Internet.

Los responsables de la toma de decisiones -no sólo los profesionales de TI, sino especialmente los ejecutivos- también deben comprender y comprometerse a compartir la responsabilidad de la seguridad de la información.

La encriptación de los registros financieros puede ayudar a proteger los procesos de pago

La tokenización y el cifrado de datos para el pago son ejemplos de tecnologías de seguridad sólidas que desempeñan un papel importante a la hora de limitar los actuales ataques virtuales y robos de información que tienen lugar en el mercado digital.

La tecnología de tokenización, por ejemplo, sustituye la información sensible -como el número de una tarjeta de crédito- por un valor sin sentido o “token” que puede almacenarse en una base de datos. Suele tener el mismo formato para que siga siendo compatible con los sistemas actuales de procesamiento de tarjetas.

El cifrado de datos para el pago va más allá, manteniendo toda la información fuera de los sistemas comerciales. Al fin y al cabo, la cadena de transacciones desde el terminal hasta el banco está totalmente encriptada.

Así, cuando un cliente introduce sus datos de pago, o un empleado pasa una tarjeta de crédito por un terminal, éstos quedan encriptados. Después, sólo pueden abrirse con una llave.

La tokenización y el cifrado de los datos de pago son herramientas valiosas para proteger los datos sensibles de las transacciones con tarjeta. Se trata de soluciones que, aplicadas con eficacia, pueden proporcionar el máximo nivel de confidencialidad en las transacciones financieras y el envío de información personal.

¿Quiere saber más sobre cifrado y protección de datos? Siga nuestra página de LinkedIn y manténgase al día con nosotros aquí en el blog.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Gestión de claves con criptografía, ¿cómo proteger los datos?

En los últimos años, los proveedores del mercado de almacenamiento de datos han empezado a prestar más atención al uso del Protocolo de Interoperabilidad de Gestión de Claves (KMIP) en sus soluciones de integración con gestores de claves de cifrado.

Hay dos razones principales para ello. La necesidad de cumplir la normativa de protección de datos es una razón importante.

Las soluciones de gestión de claves empresariales (EKM) también aportan ventajas a las empresas.

Averigüe cuáles son estos beneficios a lo largo del artículo.

Aplicación de buenas prácticas en seguridad de la información

La definición de lo que es adecuado o suficiente para cumplir las exigencias normativas sobre protección de datos varía mucho de una empresa a otra.

Muchas soluciones ofrecen asistencia interna para la gestión de claves con cifrado. Dependiendo del contexto, esto puede ser suficiente.

Sin embargo, la adopción de este modelo podría poner en peligro la seguridad de los datos. Al fin y al cabo, hay que tener en cuenta que la clave de cifrado encargada de protegerlos está integrada en la propia solución de almacenamiento.

Es más, es habitual encontrar escenarios con diferentes proveedores de soluciones de almacenamiento, en los que cada uno programa sus propios modelos de gestión de claves con cifrado.

Esto puede dar lugar a errores humanos y poner en peligro la disponibilidad de los datos en caso de una operación de cifrado fallida.

El uso de una solución externa de gestión de claves proporciona una adecuada segregación de funciones. También ofrece un modelo normalizado para todos los procesos de encriptación.

Además, estas soluciones suelen ofrecer certificaciones internacionales para la aplicación de algoritmos de cifrado. Esto impide, por ejemplo, el uso de algoritmos o tamaños de clave considerados débiles.

En la web de Owasp puedes encontrar una guía de criptografía muy interesante, en la que se desaconseja el uso de los algoritmos hash MD-5, SHA-0, SHA-1 y el algoritmo de criptografía simétrica DES.

Además, las soluciones de gestión de claves con cifrado pueden acoplarse a equipos diseñados para ofrecer protección con un alto nivel de seguridad.

Por ejemplo, los módulos seguros de hardware(HSM) y la gestión de claves empresariales(EKM). La protección se centraliza así para todos los sistemas de almacenamiento de datos de la organización.

Gestión eficiente de claves con criptografía

Normalmente, las soluciones que ofrecen funciones de cifrado no se preocupan por el ciclo de vida de una clave. Por tanto, ignoran, por ejemplo, la validez, la activación, la desactivación, el intercambio con conservación de procesos ya encriptados y la destrucción.

Utilizar la misma clave de cifrado durante mucho tiempo es inadecuado. Al fin y al cabo, esto pone en peligro la seguridad en caso de fuga de datos.

Una solución de gestión no sólo proporciona los requisitos necesarios para todo el ciclo de vida de la llave. Al fin y al cabo, también presenta estas funciones en una interfaz fácil de usar desde una consola centralizada.

Incluso define perfiles de acceso basados en la integración con una base de datos LDAP (Lightweight Directory Access Protocol).

Flexibilidad de implementación y Gestión de claves con criptografía

La decisión de mantener las aplicaciones en su propia infraestructura o migrar a un centro de datos externo depende de varios factores.

Si la solución de gestión de claves con cifrado está acoplada al sistema de almacenamiento, la decisión de mantenerlo internamente o migrar a la nube debe tenerlo en cuenta.

 

Posibilidad de generar informes de auditoría durante la gestión de claves con cifrado

Para estos casos, es necesario ofrecer información con un alto nivel de confianza y acceso a las claves. De este modo, deberá detallar quién accedió, la hora del suceso y el éxito o fracaso de la operación.

Además, los mecanismos de alerta pueden notificar al personal si surgen problemas con el equipo de gestión de llaves u otros dispositivos que se comunican con el administrador.

Una de las principales ventajas de una solución externa de gestión de claves es su capacidad para mejorar los informes de auditoría.

Intentar demostrar a un auditor de cumplimiento externo que las claves están a salvo, son seguras y tienen fuertes controles de acceso sería mucho más difícil con el almacenamiento nativo, especialmente si hay más de una solución. Esto también requería que todos los sistemas fueran auditados individualmente.

Segregación de perfiles

Los sistemas externos de gestión de claves pueden definir permisos para los administradores y usuarios que utilizarán las claves.

Un ejemplo común de esto es la posibilidad de permitir a un administrador crear una clave, pero no poder utilizarla para cifrar o descifrar utilizando atributos de usuario LDAP o Active Directory (AD).

Normalmente, la criptografía propia de los sistemas no tiene este nivel de granularidad en las funciones administrativas. En consecuencia, el administrador del almacenamiento también es responsable de la clave.

Variedad de sistemas en los que pueden almacenarse datos sensibles

Desde CRMs, Sistemas de Archivos, Máquinas Virtuales, bases de datos estructuradas o no estructuradas, existe la posibilidad de que haya información que necesite ser encriptada para evitar su exposición en caso de una brecha de seguridad.

La gestión de claves cifradas, con capacidad para integrarse con protocolos abiertos, ofrece los recursos necesarios para atender a una amplia gama de entornos.

Existen al menos cuatro perspectivas que pueden abordarse en relación con la ubicación de los datos que deben protegerse: sistema de archivos, sistema operativo, base de datos y memoria.

El esfuerzo para aplicar el cifrado aumenta en este orden y supera la complejidad, teniendo en cuenta la variedad de entornos y sistemas en el flujo de extremo a extremo de los datos que hay que proteger.

Como te habrás dado cuenta, el cifrado nativo no es necesariamente la mejor forma de proteger los datos. Si aún tienes preguntas al respecto, déjalas en los comentarios. Estaremos encantados de responder a sus preguntas.

Sobre a Eval 

Eval lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Las soluciones y servicios de Eval cumplen las normas reglamentarias más exigentes de organismos públicos y privados, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Software de cifrado: ventajas y retos

El uso de programas informáticos de cifrado ha sido uno de los métodos más eficaces para proporcionar seguridad a los datos, especialmente para la protección de extremo a extremo transmitidos entre redes.

Las empresas y los particulares también utilizan el cifrado para proteger los datos confidenciales almacenados en ordenadores, servidores y dispositivos como teléfonos o tabletas.

Si aún tiene dudas sobre el uso eficaz del software de encriptación a la hora de realizar diferentes transacciones por Internet, aproveche este artículo para aclarar todos los puntos.

Los programas informáticos de cifrado se utilizan ampliamente en Internet para proteger a los usuarios

Un ejemplo del uso de software de encriptación es la protección de datos. En resumen, tenemos contraseñas, información de pago y otra información personal que debería considerarse privada y sensible.

Cómo funciona el cifrado

Los datos, normalmente texto sin formato, se cifran mediante un algoritmo y una clave de cifrado. Este proceso genera un texto cifrado que sólo puede verse en su forma original si se descifra con la clave correcta.

La desencriptación es simplemente el proceso inverso de la encriptación, siguiendo los mismos pasos pero invirtiendo el orden de las operaciones. Los programas informáticos de cifrado se dividen básicamente en dos categorías: simétricos y asimétricos.

  • Criptografía simétrica

También conocida como “clave secreta”, sólo se utiliza una clave, también conocida como secreto compartido. Esto se debe a que el sistema que realiza el cifrado debe compartirlo con cualquier entidad que pretenda descifrar los datos cifrados.

El cifrado con clave simétrica suele ser mucho más rápido que el cifrado asimétrico, pero el remitente debe intercambiar con el destinatario la clave utilizada para cifrar los datos antes de poder descifrar el texto cifrado.

  • Criptografía asimétrica

Conocida como criptografía de clave pública, utiliza dos claves diferentes, es decir, un par de claves conocidas como clave pública y clave privada. La clave pública puede compartirse con todo el mundo, mientras que la privada debe mantenerse en secreto.

Ventajas de utilizar programas de encriptación

El principal objetivo de la criptografía es proteger la confidencialidad de los datos digitales almacenados en sistemas informáticos, transmitidos por Internet o cualquier otra red informática.

Muchas empresas y organizaciones recomiendan o exigen encriptar los datos confidenciales para evitar que personas no autorizadas puedan acceder a ellos.

En la práctica, el ejemplo más conocido es la norma de seguridad de datos utilizada en el sector de las tarjetas de pago. Obliga a cifrar los datos de las tarjetas de los clientes cuando se transmiten por redes públicas.

Los algoritmos de cifrado desempeñan un papel clave para garantizar la seguridad de los sistemas informáticos y las comunicaciones. Al fin y al cabo, pueden proporcionar no sólo confidencialidad, sino también elementos que se consideran clave para la seguridad de los datos:

Muchos protocolos de Internet definen mecanismos para cifrar los datos que pasan de un sistema a otro, lo que se conoce como datos en tránsito.

DPoD HSM en la nube frente a HSM On Prem TCO WP

La criptografía se utiliza en las aplicaciones de comunicación

Algunas aplicaciones utilizan el cifrado de extremo a extremo (E2EE) para garantizar que los datos que pasan entre dos partes no puedan ser vistos por un atacante capaz de interceptar el canal de comunicación.

El uso de un circuito de comunicación cifrado, como el que ofrece Transport Layer Security (TLS), entre el cliente web y el software del servidor web no siempre es suficiente para garantizar la seguridad.

Normalmente, el contenido real que se transmite es cifrado por el software antes de pasarlo a un cliente web y descifrado sólo por el destinatario.

Entre las aplicaciones de mensajería que ofrecen E2EE se encuentran WhatsApp, de Facebook, y Signal, de Open Whisper Systems. Los usuarios de Facebook Messenger también pueden recibir mensajes E2EE con la opción “Conversaciones secretas”.

Retos criptográficos actuales

Para cualquier clave de cifrado actual, el método de ataque más básico es la fuerza bruta. En otras palabras, los hackers hacen varios intentos seguidos para encontrar la clave correcta.

La longitud de la clave determina el número de claves posibles, de ahí la viabilidad de este tipo de ataque. Hay dos elementos importantes que muestran la solidez del cifrado utilizado. Son los algoritmos utilizados y el tamaño de la clave.

Al fin y al cabo, a medida que aumenta el tamaño de la clave, también se requieren mayores recursos para intentar descifrarla.

Hoy en día, los atacantes también intentan descifrar una clave objetivo mediante criptoanálisis. Es decir, el proceso que intenta encontrar algún punto débil en la clave que pueda ser explotado con menos complejidad que un ataque de fuerza bruta.

Recientemente, las agencias de seguridad(como el FBI ) han criticado a las empresas tecnológicas que ofrecen cifrado de extremo a extremo. Se alegó que este tipo de cifrado impide a las autoridades policiales acceder a los datos y las comunicaciones, incluso con una orden judicial.

El Departamento de Justicia de Estados Unidos ha hecho pública la necesidad de una “encriptación responsable”. Es decir, las empresas tecnológicas pueden divulgarla por orden judicial.

Próximos pasos

La gestión de claves es uno de los mayores retos de la estrategia de uso de programas informáticos de cifrado. Al fin y al cabo, las claves para descifrar el texto cifrado deben almacenarse en algún lugar del entorno. Sin embargo, los atacantes suelen tener una buena idea de dónde buscar.

Por eso, cuando una organización necesita acceder a datos cifrados, suele introducir claves de cifrado en procedimientos almacenados del sistema de gestión de bases de datos. En estos casos, la protección puede ser insuficiente.

Los próximos pasos para mejorar el uso de la criptografía consisten en el reto de desarrollar un plan de seguridad de la información capaz de definir estructuras de almacenamiento de claves más fiables, que es uno de los eslabones más débiles en la aplicación de la criptografía corporativa.

Las políticas y métodos de seguridad deben buscar las mejores prácticas para reducir los intentos maliciosos de romper y utilizar claves criptográficas e invalidar el uso de software de cifrado.

Ahora ya sabes un poco más sobre el software de encriptación. Manténgase siempre al día, suscríbase a nuestro boletín y esté al tanto de las novedades y tecnologías de Eval. Siga nuestro contenido en el blog y también en nuestro perfil de Linkedin.

Acerca de EVAL

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.