Cifrado: pocos lo entienden, y muchos quieren mantenerlo a una distancia segura. Sin embargo, el problema comienza cuando a los analistas y los coordinadores de TI de toda Latinoamérica no se les exige tener una calificación al respecto cuando aplican para un puesto.
Pero, ¿qué es el cifrado? Una de las definiciones de diccionario señala que el cifrado es un conjunto de técnicas y de principios utilizados para cifrar escritura y hacerla incomprensible para aquellos que no tienen acceso a las convenciones combinadas.
Para ejemplificar este entendimiento, podemos usar los ejercicios que muchos de nuestros niños hacen en la escuela. A finales de este mes, seguí uno de los ejercicios de mi hija en su clase de lengua extranjera en la escuela primaria, que incluía varios elementos, cada uno con muchas letras mezcladas que formaban una palabra que había que descifrar y que había sido parte del proceso de aprendizaje en la clase anterior.
En el mundo del Big Data, en el que millones de datos son almacenados por empresas de todo el mundo, esa técnica de “mezcla de datos” se conoce como tokenización. La diferencia con lo que vi en el ejercicio de mi hija es que la tokenización se realiza con un método o una regla criptográfica, para transformar los datos originales en datos tokenizados. Además, los dígitos originales, en el caso de la palabra que se va a descifrar, no estarán necesariamente presentes en los datos tokenizados dentro de un sistema corporativo, como fue el caso en el ejercicio de mi hija. En un proceso de tokenización, los datos originales se cambian siguiendo esta regla, pero el formato, es decir, el número de dígitos de datos, no se cambia. Esta es una técnica altamente recomendada para manejar y almacenar números de tarjetas de crédito, contraseñas e identidades, como pasaportes y licencias de conducir.
Otra técnica incluso más compleja, que se requiere para una gran cantidad de información, convierte una secuencia de datos en un código reducido en comparación con los datos originales, es decir, el formato también cambiará. Esta complejidad adicional nos lleva al mundo de los datos cifrados.
Datos cifrados, más fáciles de implementar
Ningún ejecutivo que trabaje con Big Data o que pueda ser considerado responsable de la integridad de esos datos en una empresa, independientemente de si es miembro de la Junta Directiva, debe entender técnicamente cómo funcionan estos algoritmos criptográficos, pero sí debe comprender los conceptos que acabo de presentar para comprender
mejor los riesgos de no utilizar estas técnicas y los beneficios que se obtienen cuando se implementan correctamente utilizando las mejores prácticas de protección de datos.
Los datos ‘tokenizados’ (cifrados) son más fáciles de implementar y no requieren ningún cambio en su base de datos, lo cual es extremadamente importante en el ámbito de la tecnología de la información de su empresa. Dado que el formato de los datos no cambia, la base de datos tampoco necesita cambiarse, lo que evita la necesidad de tiempo adicional y de profesionales más calificados que deberían utilizarse de manera muy optimizada.
Sin embargo, los datos cifrados requieren un conocimiento más profundo y profesionales más calificados para que los impactos en el rendimiento al almacenar y especialmente descifrar los datos para permitir su lectura por aquellos a los que se les concede acceso se minimicen, dado que la latencia, o el tiempo adicional, siempre ocurrirán en un proceso criptográfico. La evaluación y las pruebas adecuadas se deben realizar al diagnosticar qué datos, cuándo, cómo y dónde se deben cifrar. El cifrado puede ocurrir en muchos entornos, como bases de datos, aplicaciones o archivos.
Para un diagnóstico correcto, es necesario un profesional (o quizás más de uno) con experiencia en algoritmos criptográficos y con un conocimiento más profundo del tema. Sin embargo, sabemos que hay una falta de profesionales de ciberseguridad en el mundo, y cuando se trata de cifrado, no solo hay una escasez de profesionales, sino que también las ofertas de trabajo para puestos de seguridad de la información disponibles en LinkedIn, al menos en América Latina a fines de marzo, en su mayoría no requerían ningún tipo de experiencia ni de conocimientos de criptografía, y ni siquiera lo mencionaban como algo que preferentemente se debía tener. Estas posiciones son ofrecidas por compañías de una amplia gama de industrias, tales como Seguros, Aeroespacial, Bancos, Telecomunicaciones y Materiales de Construcción.
Eso muestra que el mercado latinoamericano debe ser ‘evangelizado’ de manera urgente.
¿Y por qué la criptografía es tan importante?
Podría enumerar muchas razones asociadas con los conceptos criptográficos presentados al principio de este artículo, además de mencionar a la criptografía como una de las 14 políticas clave para las colaboraciones público-privadas recomendadas por el Foro Económico Mundial en su guía sobre seguridad cibernética presentada este año en Davos, pero restringiré mi respuesta a datos concretos y relevantes de un informe consolidado preparado por Gemalto semestralmente llamado Índice de Nivel de Filtraciones y que acaba de hacerse público con el análisis anual de los datos de 2017.
Una vez más, vemos un indicador que se ha repetido muchos años desde la consolidación de las filtraciones de datos en todo el mundo: en menos del 3% de las filtraciones, los datos estaban cifrados y, por lo tanto, no fueron expuestos.
Así, en más del 95% de los casos, el daño a la imagen, la reputación, además de las pérdidas financieras y la caída del stock no pudieron evitarse ni mitigarse. Es por eso que la evangelización en criptografía en nuestro mercado es un tema urgente. Si en la mayoría de las filtraciones los datos confidenciales estuvieran cifrados y cumplieran con las buenas prácticas, los estafadores no tendrían acceso a los datos y, por lo tanto, no podrían monetizarlos.
Además, en un supuesto intento de obtener los datos cifrados, los estafadores tendrían que invertir tiempo, recursos y dinero, lo que haría que el fraude no fuera rentable. Incluso si lograran descifrar los códigos del algoritmo criptográfico, con pocas posibilidades contra los algoritmos robustos que pueden utilizarse, el fraude ya no sería rentable para los ciberdelincuentes.
Ejemplos de aquí y allá
La aplicación MyFitnessPal de Under Armour fue hackeada en marzo pasado y se filtraron usuarios y correos electrónicos de 150 millones de cuentas, además de contraseñas tokenizadas, y esa fue quizás la mayor ventaja de esa filtración. La mayoría de las contraseñas estaban tokenizadas con un método fuerte y robusto, y, por lo tanto, protegidas, y aparentemente, una parte más pequeña de las contraseñas usaba un método más débil que se podía descifrar fácilmente. En este caso, podemos observar algunas buenas prácticas, tales como:
- Identificar datos confidenciales (contraseñas).
- Cifrar esos mismos datos confidenciales con mecanismos robustos.
En la semana siguiente, un centro de negocios de Helsinki sufrió una filtración similar que expuso información de 130,000 ciudadanos finlandeses, incluidas las contraseñas que se almacenaron sin indexación y en formato de texto.
América Latina no es una excepción. Las filtraciones están comenzando a extenderse por toda la región y, siguiendo una tendencia en los últimos años, ya no son intentos restringidos de obtener credenciales financieras, sino grandes volúmenes de información que pueden intercambiarse en el mercado gris. Y como muchas empresas y varias industrias están experimentando actualmente una transformación digital donde el Big Data es uno de los pilares estratégicos, los altos ejecutivos también están empezando a tomar conciencia de la prioridad que se debe dar a la ciberseguridad.
Sin embargo, muchos ejecutivos con los que hablo a diario en la región me dicen que la seguridad de su Big Data es manejada por su proveedor de servicios en la nube, y si hay una filtración, será responsabilidad del proveedor. Sin embargo, olvidan que antes que al público, sus clientes, el mercado y sus inversores, una filtración afectará inicialmente a su negocio y sus acciones. Si hay pérdidas financieras, inicialmente se impondrán únicamente sobre la compañía que sufrió la filtración. La responsabilidad del proveedor dependerá de las condiciones contractuales, el alcance acordado entre las partes e, incluso con una transferencia total de penalizaciones al proveedor de servicios en la nube, en lo cual particularmente no creo en la mayoría de los casos, su empresa seguirá siendo la más afectada antes que las diferentes partes interesadas mencionadas.
Por lo tanto, la visión de que su proveedor es responsable es “engañosa” porque usted espera que sus datos estén seguros en la nube sin siquiera discutir el cifrado con el proveedor, ya que no existe una cultura en torno a esa técnica en nuestros países. E incluso si esta discusión ha tenido lugar, la decisión más frecuente de mantener las claves en el mismo entorno donde se encuentran los datos infringe una de las mejores prácticas de protección de datos:
- Verificar si los algoritmos criptográficos utilizados en sus datos están certificados por organismos internacionales.
- Mantener sus claves criptográficas en un entorno completamente segregado de donde almacena su información cifrada, ya sea que esté en manos de terceros o en sus propios sistemas, archivos o bases de datos.
Esta buena práctica se ha expandido felizmente por todo el mundo, aunque muy tímidamente en América Latina, y tiene un nombre: BYOK (traiga sus propias claves) en analogía a BYOD (traiga su propio dispositivo), utilizado en las telecomunicaciones desde hace algunos años.
La situación en México
En última instancia, tenemos muchos indicadores positivos, y el uso y el interés por el BYOK es uno de ellos, pero todavía hay un largo camino por recorrer en la región. En una encuesta reciente a 1,293 CEO de todo el mundo, la firma PwC mostró que las amenazas cibernéticas se encuentran entre las cinco principales preocupaciones de los CEO. Sin embargo, al presentar la segmentación de esta investigación por región y analizar el resultado en América Latina, este tema no se encuentra entre las 10 preocupaciones principales de los CEO, lo que demuestra mi visión basada en las conversaciones que tuve con muchos ejecutivos de la región.
En otra encuesta llevada a cabo por el Instituto Ponemon, vemos que aunque el cifrado de datos ha sido cada vez más representativo en empresas de todo el mundo, a pesar de la tendencia creciente presentada por el Instituto, dos países de la región que figuran en el informe –Brasil y México– se encuentran entre aquellos de menor adopción de una estrategia de cifrado en sus políticas corporativas de ciberseguridad.
En resumen: somos responsables de promover una estrategia que sea apropiada para la región y proporcionar un conocimiento más amplio de las mejores prácticas de protección de datos, incluidos el cifrado de datos y la administración optimizada y centralizada de las claves criptográficas.
____________
El autor de este artículo, Sergio Muniz, es Director de Ventas para Empresa y Ciberseguridad en América Latina de Gemalto.