Etiqueta: seguridad de los datos

Suites de cifrado y su importancia en la seguridad de los datos

Autor de la entrada Por Marcelo Tiziano
Fecha de la entrada 16 de junio de 2023

En el panorama digital actual, la seguridad de los datos ha trascendido la necesidad para convertirse en una obligación.

Cada día se realizan millones de transacciones en Internet, cada una de las cuales requiere un alto nivel de ciberseguridad en las empresas para proteger la información valiosa.

En este contexto, las Suites de Cifrado han surgido como elementos cruciales para construir un entorno digital seguro. Constituyen la columna vertebral de muchas operaciones de seguridad de datos en Internet, garantizando que la información se mueva con seguridad y eficacia.

Este artículo pretende explorar la complejidad de las Suites de Cifrado, desentrañando su naturaleza, su funcionamiento y la importancia que tienen en la seguridad de los datos en línea.

¿Qué son las Suites de Cifrado?

Las suites de cifrado son el conjunto de algoritmos utilizados en combinación para establecer una conexión segura, que incluyen:

Un algoritmo de clave de sesión y su tamaño de clave:
Es el algoritmo de cifrado simétrico utilizado para cifrar los datos transmitidos en la sesión, como AES de 128 bits, por ejemplo.
Un algoritmo de clave pública y su tamaño de clave:
Es el algoritmo de cifrado asimétrico utilizado para cifrar la clave de sesión, como RSA de 2048 bits, por ejemplo.
Un algoritmo hash: Se utiliza para garantizar la integridad de los datos, asegurando que no se alteren en el intercambio de información. Un ejemplo de algoritmo hash utilizado es SHA.
Un algoritmo de intercambio de claves: Es el método por el que se intercambia la clave de sesión. Los ejemplos más comunes son RSA o Diffie-Hellman.

Como resultado, tenemos una constante que indica qué algoritmos se utilizaron en una sesión determinada, como “TLS_RSA_WITH_AES_256_CBC_SHA”, que utiliza el protocolo TLS, con el algoritmo de cifrado asimétrico RSA, AES CBC 256 como clave de sesión y SHA para garantizar la integridad de los datos.

Otro ejemplo es“TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384“, que utiliza ECDHE para el intercambio de claves, ECDSA para la autenticación, AES con 256 bits en modo GCM para el cifrado y SHA384 para la función hash.

Ahora que lo entendemos, examinemos cómo funcionan las Suites de Cifrado junto con HTTPS/TLS.

Otro ejemplo es
“TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384”
que utiliza ECDHE para el intercambio de claves, ECDSA para la autenticación, AES con 256 bits en modo GCM para el cifrado y SHA384 para la función hash.

Una vez entendido esto, veamos ahora cómo funcionan conjuntamente con HTTPS/TLS.

¿Cómo funciona la tecnología?

Las Suites de Cifrado son el motor de la seguridad de una conexión HTTPS, aunque su funcionamiento pueda parecer un poco complejo. En el corazón de esta operación está el proceso de saludo SSL/TLS.

Profundicemos un poco más en el concepto para entender cómo funcionan las Suites de Cifrado.

Cuando se inicia una conexión entre un cliente (por ejemplo, un navegador) y un servidor, se desencadena un proceso de enlace SSL/TLS, que es una serie de pasos que se llevan a cabo para establecer una conexión segura entre el cliente y el servidor. Aquí es donde entran en juego las Suites de Cifrado.
Durante este apretón de manos, el cliente y el servidor intercambian una lista de las Suites de Cifrado que admiten. Estas listas se comparan para encontrar una Suite de Cifrado que ambas soporten.A continuación, el servidor tiene la responsabilidad de elegir la Suite de Cifrado más segura y eficiente que ambos soporten para utilizarla durante la sesión.
Una vez elegida la Suite de Cifrado, el cliente y el servidor inician el proceso de intercambio de claves, que se rige por el algoritmo de intercambio de claves presente en la Suite de Cifrado elegida.Aquí, es importante señalar que se crea una clave de sesión y que es esta clave la que se utilizará para cifrar y descifrar los datos transmitidos durante la sesión.Además, se define el algoritmo de encriptación que se utilizará para encriptar los datos transmitidos entre el cliente y el servidor, así como la función hash o MAC que se utilizará para garantizar la integridad de los datos.

Al final del apretón de manos, se establece la conexión y los datos pueden intercambiarse de forma segura entre el cliente y el servidor utilizando los algoritmos definidos por la Suite de Cifrado elegida.

Esto garantiza que las comunicaciones estén protegidas contra la interceptación o modificación por parte de terceros malintencionados.

También existen algunas variaciones del protocolo, como SSL, TLS 1.2 y TLS 1.3. Con fines educativos, a continuación se presenta un resumen de los protocolos TLS 1.2 y TLS 1.3 paso a paso:

¿Por qué son importantes las Suites de Cifrado?

Las suites de cifrado desempeñan un papel crucial en la configuración de una conexión HTTPS segura, ya que encapsulan diversas funciones criptográficas, cada una de las cuales desempeña un papel específico en la seguridad e integridad de la conexión.

Durante el apretón de manos SSL, el cliente y el servidor web utilizan cuatro elementos principales, cada uno representado por un algoritmo específico dentro de la Suite de Cifrado:

Algoritmo de intercambio de claves:

Este algoritmo determina cómo se intercambiarán las claves simétricas entre el cliente y el servidor.

Las claves simétricas se utilizan para cifrar y descifrar los datos transmitidos durante la sesión.

Entre los algoritmos de encriptación asimétrica utilizados para el intercambio de claves están:

- RSA:
  Tradicional y muy conocido, RSA se utiliza en el intercambio de claves, en pocas palabras, la clave pública del destinatario se utiliza para cifrar una clave de sesión, que es una clave de algoritmo simétrico, como AES.
- Diffie-Hellman (DH):
  Es uno de los algoritmos más conocidos que se siguen utilizando hoy en día para el intercambio de claves.
- Diffie-Hellman Efímero (DHE):
  Es una variación de DH, en la que se utiliza una nueva clave para cada nueva sesión.
- Curva elíptica Diffie-Hellman (ECDH):
  Es muy similar al DH, pero en lugar de utilizar números primos, utiliza curvas elípticas.
- Curva elíptica Diffie-Hellman efímera (ECDHE):
  Se trata de una variación de ECDH y DHE, en la que se utiliza una nueva clave, con curvas elípticas en este caso, con cada nueva sesión.
Algoritmo de Autenticación o Firma Digital:

Este algoritmo dicta cómo se implementarán la autenticación del servidor y la autenticación del cliente (si es necesaria).

La Autenticación o Firma Digital permite al cliente y al servidor confirmar la identidad del otro, garantizando que se comunican con la entidad correcta.

Los algoritmos de autenticación incluyen RSA, ECDSA y DSA.

Algoritmos de encriptación simétrica utilizados para las claves de sesión:

Este algoritmo se utiliza para encriptar los datos que se transmiten entre el cliente y el servidor durante la sesión.

La encriptación simétrica ayuda a garantizar la confidencialidad de los datos con un coste computacional bajo en comparación con los algoritmos de encriptación asimétrica, haciéndolos ininteligibles para cualquiera que pudiera interceptar la comunicación.

Entre los algoritmos de encriptación simétrica están AES, CHACHA20, Camellia y ARIA.

Función Hash/MAC:

Esta función determina cómo se llevarán a cabo las comprobaciones de integridad de los datos. La integridad de los datos es importante para garantizar que no se han alterado durante la transmisión.

Las funciones Hash/MAC, como SHA-256 y POLY1305, se utilizan para crear un valor de suma de comprobación único para los datos, que puede utilizarse para comprobar si los datos han sido alterados.

Estas funciones criptográficas son necesarias en varios puntos de la conexión para llevar a cabo la autenticación, la generación y el intercambio de claves, y una suma de comprobación para garantizar la integridad.

Para determinar qué algoritmos concretos utilizar, el cliente y el servidor web empiezan por decidir mutuamente la Suite de Cifrado que se utilizará.

En la práctica, las Suites de Cifrado son necesarias debido a la variedad de servidores, sistemas operativos y navegadores.

Es necesario dar cabida a todas estas combinaciones, por lo que las Suites de Cifrado son útiles para garantizar la compatibilidad.

La importancia de las Suites de Cifrado en la seguridad de los datos

En la práctica, las Suites de Cifrado desempeñan un papel vital en la seguridad de los datos en un mundo cada vez más digital.

Como hemos visto a lo largo del artículo, son la columna vertebral de las conexiones seguras en Internet, ya que permiten transmitir información de forma segura entre clientes y servidores.

Las suites de cifrado proporcionan un conjunto de algoritmos que garantizan la autenticación, la privacidad y la integridad de los datos durante la comunicación.

Ayudan a evitar una amplia gama de ataques, desde la interceptación de las comunicaciones hasta la manipulación de los datos transmitidos.

Teniendo en cuenta todo lo que hemos aprendido hasta ahora, hay un sitio web interesante donde se diagnostica qué Suites de Cifrado acepta tu ordenador.

Para más información, visita
https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html.
Como resultado, debería devolver algo como

Como podemos ver, enumeró los protocolos, los algoritmos y alguna información adicional. Sin embargo, elegir las Suites de Cifrado adecuadas para un servidor es una tarea crucial para los administradores.

Comprender la tecnología es el primer paso para garantizar la Seguridad de los Datos

Una elección inadecuada puede provocar conexiones inseguras, o incluso incompatibilidad con algunos clientes.

Por tanto, mantenerse al día de las mejores prácticas para seleccionar Suites de Cifrado es una parte esencial de la gestión de la seguridad de los datos.

¿Y cómo lo haces? ¿Cómo eliges los algoritmos, recordando que tienen que ser aceptados por ambas partes, el cliente y el servidor?

Una forma de aumentar la seguridad de tu ordenador es eliminar algunos algoritmos que ya se sabe que son débiles. Para ello, te recomendamos que leas el artículo de Microsoft en el que te enseñan los comandos que puedes utilizar mediante PowerShell para limitar el uso de algoritmos débiles.

Pulsa aquí para ver cómo desactivar los algoritmos en Windows.

También puedes consultar los algoritmos que ya están aceptados por defecto en Windows.

Haz clic aquí para ver más sobre windows 11
.

Con el avance de la tecnología y la constante evolución de las amenazas a la seguridad, es crucial comprender la importancia de las Suites de Cifrado y cómo funcionan.

Este conocimiento nos permitirá tomar decisiones más informadas para proteger nuestros datos y mantener seguras nuestras comunicaciones en línea.

En resumen, las Suites de Cifrado son algo más que un conjunto de algoritmos, son la primera línea en la batalla continua por la seguridad de los datos en Internet.

Acerca de Eval

Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.

Las soluciones y servicios de Eval cumplen las normas reglamentarias más estrictas para organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Escrito por Arnaldo Miranda, Evaldo. Ai, revisado por Marcelo Tiziano y diseñado por Caio.

Etiquetas cifrado para la protección de datos, encriptación, seguridad de los datos, Suites de Cifrado

Lucha contra los ciberataques: la importancia de la prevención

Autor de la entrada Por Editorial Eval
Fecha de la entrada 14 de diciembre de 2021

A lo largo de 2021, particulares, empresas y gobiernos se han preocupado por combatir los ciberataques.

Mantener nuestros datos a salvo en un mundo en el que todo está en Internet, desde los diarios de viaje hasta la información de las tarjetas de crédito, la protección de datos se ha convertido en uno de los retos más acuciantes de la ciberseguridad.

El ransomware, los ataques de phishing, los ataques de malware y otras amenazas a la ciberseguridad son algunos ejemplos. No es de extrañar que uno de los ámbitos de la informática que más crece sea la lucha contra los ciberataques.

Las organizaciones reconocen cada vez más la necesidad de proteger los datos.

Las empresas en particular están prestando más atención, ya que las violaciones de datos causan grandes daños cada año y exponen grandes cantidades de información personal.

La lucha contra los ciberataques aumenta a medida que la sociedad está cada vez más conectada

Aunque muchos de los ataques que se produjeron en 2021 se debieron al aumento del uso de Internet como consecuencia de la pandemia de coronavirus y blockchain, la amenaza para las empresas sigue siendo importante.

Se calcula que el coste de la lucha contra los ciberataques en todo el mundo alcanzará los 10,5 billones de dólares en 2025, según la organización
Cybersecurity Ventures
especializada en ciberdelincuencia, las amenazas que plantean los ciberdelincuentes no harán sino aumentar a medida que las organizaciones dependan cada vez más de Internet y la tecnología.

Los casos de ransomware han aumentado en 2021 alrededor de un 62% desde 2019, y se considera la principal amenaza de este año. De hecho, las ciberamenazas son cada vez más sofisticadas en esta época y mucho más difíciles de detectar.

La naturaleza de todos los ataques es mucho más peligrosa que un simple robo. Así pues, profundicemos un poco más en este debate mostrando los principales casos de ciberataques que se producirán en 2021.

El oleoducto colonial

Si vamos a hablar de ciberataques que tendrán lugar en 2021, Colonial Pipeline debería estar en la lista.

Considerado el mayor oleoducto de combustible de Estados Unidos, sufrió un ciberataque en mayo de 2021 que interrumpió la distribución de combustible en 12 estados durante unos días. La empresa tuvo que pagar 4,5 millones de dólares como rescate para resolver la situación.

Sistema de abastecimiento de Florida

Un ciberdelincuente intentó envenenar el suministro de agua en Florida y consiguió aumentar la cantidad de hidróxido de sodio hasta un nivel potencialmente peligroso.

Los ciberataques se produjeron al piratear los sistemas informáticos de la planta de tratamiento de aguas de la ciudad de Oldsmar, aumentando brevemente la cantidad de hidróxido de sodio de 100 partes por millón a 11.100 partes por millón. Este escenario es un ejemplo de cómo una invasión de infraestructuras críticas a cualquier nivel pone en peligro la vida de los residentes.

Microsoft Exchange

Un ciberataque masivo ha afectado a millones de clientes de Microsoft en todo el mundo, en el que los ciberdelincuentes explotaron activamente cuatro vulnerabilidades de Día Cero en la solución Exchange Server de Microsoft.

Se cree que al menos nueve agencias gubernamentales, así como más de 60.000 empresas privadas sólo en Estados Unidos, se han visto afectadas por el ataque.

Fabricante de aviones Bombardier

Un popular fabricante canadiense de aviones, Bombardier, sufrió una violación de datos en febrero de 2021. La filtración puso en peligro datos confidenciales de proveedores, clientes y unos 130 empleados ubicados en Costa Rica.

La investigación reveló que una parte no autorizada accedió a los datos aprovechando una vulnerabilidad en una aplicación de transferencia de archivos de terceros.

Ordenadores Acer

El mundialmente conocido gigante informático Acer sufrió un ataque de ransomware y se le pidió que pagara un rescate de 50 millones de dólares, lo que supuso el récord del mayor rescate conocido hasta la fecha.

Se cree que un grupo de ciberdelincuentes llamado Revil es el responsable del ataque. Los delincuentes digitales también anunciaron la brecha en su sitio web y filtraron algunas imágenes de los datos robados.

En Brasil no fue diferente en cuanto a la intensidad de los ciberataques y delitos

En una encuesta realizada por la empresa de seguridad digital Avast, los ciberdelincuentes siguen aprovechándose de la pandemia del Covide-19 explotando los hábitos de la gente creados durante el periodo de bloqueo para propagar estafas.

Siguiendo la tendencia mundial, los ataques de ransomware, malware de criptomoneda, entre otras estafas, fueron frecuentes en Brasil.

En el caso de los dispositivos móviles, el adware y el fleeceware figuran entre las principales amenazas. Según Avast, el crecimiento de los ataques de ransomware en Brasil fue superior a la media mundial.

Combatir los ciberataques es ya hoy una gran preocupación para la mayoría de las empresas brasileñas, ya que muchos de estos ataques se produjeron apenas en 2021, como el ocurrido en Lojas Renner, que paralizó completamente el sistema.

Todavía tuvimos el caso del grupo Fleury, que no pudo realizar pruebas durante varios días, y JBS, que se vio obligada a pagar US$ 11 millones de rescate por el ataque de hackers a su operación en Estados Unidos, todas estas situaciones pusieron el tema aún más en evidencia en Brasil.

Organismos y empresas vinculados al gobierno brasileño también han sido blanco de los ciberdelincuentes. La Seguridad Social, el Ministerio de Trabajo, el Ministerio Público Federal y Petrobras, entre otras organizaciones, también sufrieron ataques.

Ya en 2021, la LGPD ofreció a las empresas la oportunidad de replantearse su forma de combatir la ciberdelincuencia.

La Ley General de Protección de Datos (LGPD) entró en vigor en septiembre de 2020. El objetivo general de la nueva legislación es establecer un marco normativo para la protección de los datos personales, facilitando a todos los ciudadanos brasileños la comprensión del uso que se hace de sus datos y, en caso necesario, la presentación de una reclamación sobre su tratamiento.

La finalidad de la LGPD puede resumirse en tres puntos clave:

Reforzar los derechos de las personas;
Desarrollar la capacidad de los agentes implicados en el tratamiento de datos;
Aumentar la credibilidad de la normativa mediante la cooperación entre las autoridades de protección de datos.

Si algo consiguió la LGPD durante 2021 fue concienciar sobre la protección de datos y la privacidad. En la práctica, las empresas no pueden esconder los incidentes bajo la alfombra por el riesgo de multas basadas en los ingresos.

La ley de protección de datos también ha dado a las empresas más visibilidad sobre los datos que recopilan. El principio básico de la LGPD es que las empresas sepan qué datos tienen y se aseguren de que los tratan de forma correcta y segura.

Las empresas que cumplen la LGPD disponen ahora de los elementos básicos que necesitan para elaborar un buen programa de seguridad de la información, porque si no sabes lo que tienes, no sabes lo que tienes que proteger.

La Ley de Protección de Datos y Privacidad también ha cambiado la ecuación financiera para las organizaciones en lo que respecta al riesgo de privacidad. Esto ha animado a las empresas a pensar de forma holística sobre los riesgos y a invertir en la mejora de los controles y la gobernanza de la privacidad.

Invertir en 2022 y más allá. La solución CipherTrust permite luchar contra la delincuencia digital

Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.

Para hacer frente a la complejidad del lugar donde se almacenan los datos, CipherTrust Data Security Platform ofrece sólidas capacidades para proteger y controlar el acceso a datos confidenciales en bases de datos, archivos y contenedores. Las tecnologías específicas incluyen:

Cifrado transparente CipherTrust

Cifre datos en entornos locales, en la nube, de bases de datos, de archivos y de Big Data con controles de acceso exhaustivos y un registro de auditoría de acceso a datos detallado que puede evitar los ataques más maliciosos.

Protección de bases de datos CipherTrust

Proporciona un cifrado transparente a nivel de columna de los datos estructurados y confidenciales que residen en bases de datos, como tarjetas de crédito, números de la seguridad social, números de identificación nacional, contraseñas y direcciones de correo electrónico.

Protección de datos de aplicaciones CipherTrust

Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.

Tokenización CipherTrust

Ofrece servicios de tokenización de datos a nivel de aplicación en dos cómodas soluciones que proporcionan flexibilidad al cliente: Token sin Vault con enmascaramiento dinámico de datos basado en políticas y Tokenización en Vault.

Transformación de datos por lotes de CipherTrust

La solución de CipherTrust diseña productos y soluciones de protección de datos contra ciberataques para satisfacer una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza.

Administrador de CipherTrust

Centraliza las claves, las políticas de gestión y el acceso a los datos para todos los productos CipherTrust Data Security Platform y está disponible en formatos físicos y virtuales conformes con FIPS 140-2 Nivel 3.

Gestor de claves en la nube de CipherTrust

Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.

Servidor KMIP de CipherTrust

Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.

Gestor de claves TDE de CipherTrust

Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.

La cartera de productos de protección de datos que componen la solución CipherTrust Data Security Platform permite a las empresas proteger los datos en reposo y en movimiento en todo el ecosistema de TI y garantiza que las claves de esa información estén siempre protegidas y sólo bajo su control.

Simplifica la seguridad de los datos frente a los ciberataques, mejora la eficacia operativa y acelera el cumplimiento de las normativas. Independientemente de dónde residan sus datos.

La plataforma CipherTrust ofrece una amplia gama de productos y soluciones probados y líderes del mercado para garantizar la lucha contra los ciberataques.

Estos productos pueden implantarse en centros de datos o en proveedores de servicios en la nube (CSP) o proveedores de servicios gestionados (MSP). Además, también es posible contar con el servicio en la nube gestionado por Thales, empresa líder en el segmento de la seguridad.

Cartera de herramientas de lucha contra la ciberdelincuencia garantizada

Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su empresa puede:

Reforzar la seguridad y el cumplimiento de la normativa

CipherTrust diseña sus productos y soluciones de protección de datos contra ciberataques para satisfacer una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza.

Además, estos productos también cumplen la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), la Ley General de Protección de Datos (LGPD) y otros requisitos de conformidad.

Optimiza la eficacia del equipo y los recursos frente a incidentes de seguridad

La plataforma de seguridad de datos CipherTrust es líder del sector y ofrece un amplio soporte para casos de uso de seguridad de datos.

Con productos diseñados para trabajar juntos, un único hilo conductor para la asistencia global y un historial probado de protección contra las amenazas en evolución, esta plataforma también cuenta con el mayor ecosistema de asociaciones de seguridad de datos del sector.

La solución CipherTrust Data Security Platform se desarrolló centrándose en la facilidad de uso, con API para la automatización y la gestión receptiva.

Con esta solución, sus equipos pueden desplegar, asegurar y supervisar rápidamente la protección de su empresa contra los ciberataques.

Además, se dispone de servicios profesionales y socios para ayudar en la implantación y formación del personal, garantizando implantaciones rápidas y fiables.

De este modo, puede reducir el tiempo que necesita su personal para estas actividades.

Reduce el coste total de propiedad

La plataforma de seguridad de datos CipherTrust ofrece un amplio conjunto de productos y soluciones de seguridad de datos para proteger contra los ciberataques.

Esta cartera puede ampliarse fácilmente para adaptarse a nuevos casos de uso y tiene un historial probado de protección de tecnologías tanto nuevas como tradicionales.

Con la plataforma de seguridad de datos de CipherTrust, las empresas pueden preparar sus inversiones para combatir los ciberataques al tiempo que reducen los costes operativos y los gastos de capital.

Acerca de Eval

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas ciberataques, lgpd, protección de datos, ransomware, seguridad de los datos

Protección de datos

Software de cifrado: ventajas y retos

Autor de la entrada Por Editorial Eval
Fecha de la entrada 22 de agosto de 2018

El uso de programas informáticos de cifrado ha sido uno de los métodos más eficaces para proporcionar seguridad a los datos, especialmente para la protección de extremo a extremo transmitidos entre redes.

Las empresas y los particulares también utilizan el cifrado para proteger los datos confidenciales almacenados en ordenadores, servidores y dispositivos como teléfonos o tabletas.

Si aún tiene dudas sobre el uso eficaz del software de encriptación a la hora de realizar diferentes transacciones por Internet, aproveche este artículo para aclarar todos los puntos.

Los programas informáticos de cifrado se utilizan ampliamente en Internet para proteger a los usuarios

Un ejemplo del uso de software de encriptación es la protección de datos. En resumen, tenemos contraseñas, información de pago y otra información personal que debería considerarse privada y sensible.

Cómo funciona el cifrado

Los datos, normalmente texto sin formato, se cifran mediante un algoritmo y una clave de cifrado. Este proceso genera un texto cifrado que sólo puede verse en su forma original si se descifra con la clave correcta.

La desencriptación es simplemente el proceso inverso de la encriptación, siguiendo los mismos pasos pero invirtiendo el orden de las operaciones. Los programas informáticos de cifrado se dividen básicamente en dos categorías: simétricos y asimétricos.

Criptografía simétrica

También conocida como “clave secreta”, sólo se utiliza una clave, también conocida como secreto compartido. Esto se debe a que el sistema que realiza el cifrado debe compartirlo con cualquier entidad que pretenda descifrar los datos cifrados.

El cifrado con clave simétrica suele ser mucho más rápido que el cifrado asimétrico, pero el remitente debe intercambiar con el destinatario la clave utilizada para cifrar los datos antes de poder descifrar el texto cifrado.

Criptografía asimétrica

Conocida como criptografía de clave pública, utiliza dos claves diferentes, es decir, un par de claves conocidas como clave pública y clave privada. La clave pública puede compartirse con todo el mundo, mientras que la privada debe mantenerse en secreto.

Ventajas de utilizar programas de encriptación

El principal objetivo de la criptografía es proteger la confidencialidad de los datos digitales almacenados en sistemas informáticos, transmitidos por Internet o cualquier otra red informática.

Muchas empresas y organizaciones recomiendan o exigen encriptar los datos confidenciales para evitar que personas no autorizadas puedan acceder a ellos.

En la práctica, el ejemplo más conocido es la norma de seguridad de datos utilizada en el sector de las tarjetas de pago. Obliga a cifrar los datos de las tarjetas de los clientes cuando se transmiten por redes públicas.

Los algoritmos de cifrado desempeñan un papel clave para garantizar la seguridad de los sistemas informáticos y las comunicaciones. Al fin y al cabo, pueden proporcionar no sólo confidencialidad, sino también elementos que se consideran clave para la seguridad de los datos:

Autenticación: se puede verificar el origen del mensaje;
Integridad: prueba de que el contenido de un mensaje no ha sido alterado desde su envío;
No repudio: el emisor de un mensaje no puede negar su envío.

Muchos protocolos de Internet definen mecanismos para cifrar los datos que pasan de un sistema a otro, lo que se conoce como datos en tránsito.

La criptografía se utiliza en las aplicaciones de comunicación

Algunas aplicaciones utilizan el cifrado de extremo a extremo (E2EE) para garantizar que los datos que pasan entre dos partes no puedan ser vistos por un atacante capaz de interceptar el canal de comunicación.

El uso de un circuito de comunicación cifrado, como el que ofrece Transport Layer Security (TLS), entre el cliente web y el software del servidor web no siempre es suficiente para garantizar la seguridad.

Normalmente, el contenido real que se transmite es cifrado por el software antes de pasarlo a un cliente web y descifrado sólo por el destinatario.

Entre las aplicaciones de mensajería que ofrecen E2EE se encuentran WhatsApp, de Facebook, y Signal, de Open Whisper Systems. Los usuarios de Facebook Messenger también pueden recibir mensajes E2EE con la opción “Conversaciones secretas”.

Retos criptográficos actuales

Para cualquier clave de cifrado actual, el método de ataque más básico es la fuerza bruta. En otras palabras, los hackers hacen varios intentos seguidos para encontrar la clave correcta.

La longitud de la clave determina el número de claves posibles, de ahí la viabilidad de este tipo de ataque. Hay dos elementos importantes que muestran la solidez del cifrado utilizado. Son los algoritmos utilizados y el tamaño de la clave.

Al fin y al cabo, a medida que aumenta el tamaño de la clave, también se requieren mayores recursos para intentar descifrarla.

Hoy en día, los atacantes también intentan descifrar una clave objetivo mediante criptoanálisis. Es decir, el proceso que intenta encontrar algún punto débil en la clave que pueda ser explotado con menos complejidad que un ataque de fuerza bruta.

Recientemente, las agencias de seguridad(como el FBI ) han criticado a las empresas tecnológicas que ofrecen cifrado de extremo a extremo. Se alegó que este tipo de cifrado impide a las autoridades policiales acceder a los datos y las comunicaciones, incluso con una orden judicial.

El Departamento de Justicia de Estados Unidos ha hecho pública la necesidad de una “encriptación responsable”. Es decir, las empresas tecnológicas pueden divulgarla por orden judicial.

Próximos pasos

La gestión de claves es uno de los mayores retos de la estrategia de uso de programas informáticos de cifrado. Al fin y al cabo, las claves para descifrar el texto cifrado deben almacenarse en algún lugar del entorno. Sin embargo, los atacantes suelen tener una buena idea de dónde buscar.

Por eso, cuando una organización necesita acceder a datos cifrados, suele introducir claves de cifrado en procedimientos almacenados del sistema de gestión de bases de datos. En estos casos, la protección puede ser insuficiente.

Los próximos pasos para mejorar el uso de la criptografía consisten en el reto de desarrollar un plan de seguridad de la información capaz de definir estructuras de almacenamiento de claves más fiables, que es uno de los eslabones más débiles en la aplicación de la criptografía corporativa.

Las políticas y métodos de seguridad deben buscar las mejores prácticas para reducir los intentos maliciosos de romper y utilizar claves criptográficas e invalidar el uso de software de cifrado.

Ahora ya sabes un poco más sobre el software de encriptación. Manténgase siempre al día, suscríbase a nuestro boletín y esté al tanto de las novedades y tecnologías de Eval. Siga nuestro contenido en el blog y también en nuestro perfil de Linkedin.

Acerca de EVAL

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Etiquetas encriptación de datos, protección de datos, seguridad de los datos

Posts recentes

Comentários

Arquivos

Categorias

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CÓDIGO POSTAL: 05440-000

Contacte con

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97

¿Qué son las Suites de Cifrado?

¿Cómo funciona la tecnología?

¿Por qué son importantes las Suites de Cifrado?

La importancia de las Suites de Cifrado en la seguridad de los datos

Comprender la tecnología es el primer paso para garantizar la Seguridad de los Datos

Acerca de Eval

La lucha contra los ciberataques aumenta a medida que la sociedad está cada vez más conectada

El oleoducto colonial

Sistema de abastecimiento de Florida

Microsoft Exchange

Fabricante de aviones Bombardier

Ordenadores Acer

En Brasil no fue diferente en cuanto a la intensidad de los ciberataques y delitos

Ya en 2021, la LGPD ofreció a las empresas la oportunidad de replantearse su forma de combatir la ciberdelincuencia.

Invertir en 2022 y más allá. La solución CipherTrust permite luchar contra la delincuencia digital

Cifrado transparente CipherTrust

Protección de bases de datos CipherTrust

Protección de datos de aplicaciones CipherTrust

Tokenización CipherTrust

Transformación de datos por lotes de CipherTrust

Administrador de CipherTrust

Gestor de claves en la nube de CipherTrust

Servidor KMIP de CipherTrust

Gestor de claves TDE de CipherTrust

Cartera de herramientas de lucha contra la ciberdelincuencia garantizada

Reforzar la seguridad y el cumplimiento de la normativa

Optimiza la eficacia del equipo y los recursos frente a incidentes de seguridad

Reduce el coste total de propiedad

Acerca de Eval

Los programas informáticos de cifrado se utilizan ampliamente en Internet para proteger a los usuarios

Cómo funciona el cifrado

Ventajas de utilizar programas de encriptación

La criptografía se utiliza en las aplicaciones de comunicación

Retos criptográficos actuales

Próximos pasos

Acerca de EVAL

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,Sumarezinho, São Paulo - SP, CÓDIGO POSTAL: 05440-000

Contacte con

(11) 3670 - 3825(11) 3865 - 1124 [email protected]

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CÓDIGO POSTAL: 05440-000

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]