Cuando el cifrado de datos no es suficiente

Es justo decir que a lo largo de estos últimos meses, las técnicas de cifrado de datos se han puesto de moda. Ante las continuas fallas de seguridad de gran alcance e impacto es posible oír comentarios como "si tan sólo la información hubiese sido encriptada...". Pero el problema no es tan sencillo, ya sea desde una perspectiva de seguridad o de privacidad.

Desde una perspectiva de privacidad, la motivación es "no dejes ver la información a quien no lo necesita". Desde una perspectiva de seguridad, el objetivo es "no permitas que alguien viole tu privacidad y haga mal uso de la información obtenida". Ambos enfoques se encuentran estrechamente relacionados, y donde sea que hablemos de seguridad o privacidad, realmente nos referimos a las dos.

El cifrado logra resolver –y muy bien- un pequeño conjunto de problemas:

• • El acceso físico no autorizado, pérdida o robo de los dispositivos móviles incluyendo computadoras portátiles, unidades USB y otros medios de comunicación. Este es un caso de uso excelente para el cifrado, puesto que la relación costo/beneficio es sesgada hacia el beneficio.

• Hacer copias de seguridad y manejo de información que está constantemente en movimiento. Éste es otro excelente escenario para aplicar cifrado: los backups se desplazan geográficamente desde un emplazamiento a otro y ante el menor descuido pueden caer en las manos erróneas.

Los problemas comienzan cuando se intenta aplicar los mismos principios a datos en servidores sin pensar correctamente en lo que se está haciendo. Veamos entonces en qué casos el cifrado no es suficiente.

Cifrar no es de mucha ayuda cuando el acceso lógico al sistema se obtiene a través de otros medios -como ser una contraseña adivinada o crackeada; a través de un ataque al nivel de aplicación, tal como inyección SQL; un ataque al nivel de usuario, como phishing. Recordemos que los datos cifrados aún deben mostrarse al usuario, por lo que si un atacante tiene la capacidad de convertirse en el usuario, la complejidad del problema aumenta exponencialmente. ¿Cómo se evita eso? Tal vez con una doble autenticación (2FA).

Tampoco logra hacer la diferencia frente a ataques internos. Estos son difíciles de predecir y requieren de enredados planes de reacción. Una estricta segregación de funciones, controles de dos personas (two-man rule), monitoreo de flujos de datos y análisis de los mismos constituyen alternativas de solución. Pero, ¿cuántas compañías cuentan con los recursos para hacer frente a estos gastos?

Junto con el cifrado existen otros innumerables factores a considerar. ¿Qué ocurre con la transmisión de datos en la red? ¿Está cifrada? ¿Se almacena en un recurso compartido de archivos, tal vez? ¿En un servidor de correo electrónico? ¿Se está preparado para llevar a cabo todos los análisis de flujo de procesos para asegurarse de que todas las vías de datos están protegidas? Si un atacante vulnerase la red aún sin alcanzar la base de datos cifrada, ¿podría simplemente espiar el tráfico de red desde su lugar? Aquí es donde conceptos como la seguridad y privacidad desde el diseño entran en juego para anticipar las amenazas y contrarrestarlas tempranamente en el ciclo de vida de una aplicación. Es claramente mucho más difícil hacer esto para un sistema heredado.

Entonces, se vuelve necesario mantener la perspectiva correcta cuando se trata de cifrado. A continuación se expone un breve checklist con algunos aspectos a contemplar.

Privacidad

Minimización de datos — ¿Se ha seguido el principio de minimización de datos y retenido sólo aquellos que resultan necesarios para el funcionamiento de la organización, desechándolos de manera correcta una vez que su vida útil ha caducado?

Control de Acceso — ¿Se cuenta con un sólido programa de acceso de control de usuarios para que sólo aquellas personas que necesitan los datos tengan acceso a ellos?

Seguridad

Administración de vulnerabilidades — ¿Se escanean activamente los sistemas, del mismo modo en que procedería un atacante, para detectar y reparar vulnerabilidades y asegurar la mayor protección posible? ¿Se mantiene actualizado un inventario de hardware y software con este propósito?

Protección de datos — ¿Se implementan controles frente a potenciales fugas de datos y sistemas HIDS (Host-based Intrusion Detection System) para prevenir la ocurrencia de ataques?

Privacidad y Seguridad

Segregación de servicios — ¿Se hallan aquellos servicios sensibles aislados tanto física como lógicamente de otros servicios a fin de aplicar de manera discriminada rigurosos métodos de control?

Monitoreo de flujos de información — ¿Se generan y monitorean los instrumentos necesarios que, al momento de una brecha, faciliten su rápida identificación y la aplicación de las medidas requeridas para subsanarla?

Entrenamiento y concientización — ¿Es el personal correcta y frecuentemente preparado para enfrentar los avanzados peligros de la Ingeniería Social? ¿Se han desarrollado políticas de contratación? ¿Son éstas bien comunicadas?

En definitiva, sin un programa consistente de privacidad y seguridad para empezar, el cifrado es casi tan bueno como nada. Puede ser un control efectivo, pero se vuelve trivial ante la carencia de un cuidadoso estudio sobre las limitaciones existentes y posibles vectores de ataque, y la conjunta utilización de otras herramientas de mitigación.