Encriptar

En criptografía, cifrar o encriptar es el proceso de codificar un mensaje o información de modo tal que solo los individuos autorizados sean capaces de acceder a esta, y aquellos que no estén autorizados no puedan hacerlo.

Cifrado asimétrico

En los esquemas de cifrado con clave pública, la clave de cifrado está publicada, de modo que cualquiera pueda usarla para crear mensajes cifrados. Solo la parte receptora tiene acceso a la clave de descifrado que permite leer el mensaje. El cifrado de clave pública fue descrito por primera vez en un documento secreto de 1973. Antes de ese momento, todos los esquemas de cifrado eran de clave simétrica (también conocida como “clave privada”).

Cifrado simétrico

En los esquemas de clave simétrica, las claves de cifrado y descifrado son la misma. Las partes que se comunican deben tener la misma clave para lograr una comunicación segura.

Cifrado Triple DES

El Triple DES se diseñó para reemplazar al algoritmo Data Encryption Standard (o DES; En español: “estándar para cifrado de datos”), el cual los hackers aprendieron a descifrar muy pronto. En una época, el Triple DES fue el estándar recomendado y el algoritmo simétrico más ampliamente utilizado en el sector.

El Triple DES utiliza tres claves individuales de 56 bits cada una. La longitud total de la clave llega a los 168 bits, pero los expertos afirman que lo más probable es que la fuerza de la clave sea equivalente a los 112 bits.

Si bien se está abandonando progresivamente, el Triple DES aún representa una solución de cifrado por hardware bastante fiable para servicios financieros y otros sectores.

Cifrado RSA

El RSA es un algoritmo de cifrado de clave pública y el estándar para el cifrado de datos que se envían por internet. También es uno de los métodos que se emplean en los programas PGP y GPG.

A diferencia del Triple DES, el RSA se considera un algoritmo de cifrado asimétrico porque utiliza un par de claves. Se usa la clave pública para cifrar el mensaje y una clave privada para descifrarlo. A los atacantes les tomaría una cantidad considerable tanto de tiempo como de poder de cómputo lograr descifrar este código de cifrado.

Advanced Encryption Standards (AES)

El Advanced Encryption Standard (o AES; en español: “estándar de encriptación avanzado”) es un algoritmo considerado como fiable por el gobierno de los EE. UU. y muchas otras organizaciones, y se le utiliza como estándar.

Si bien es extremadamente eficiente en su forma de 128 bits, el cifrado AES también utiliza claves de 192 y de 256 bits para cifrado de alto rendimiento.

Al AES se le considera capaz de resistir cualquier ataque, exceptuando ataques de fuerza bruta, que procuran descifrar los mensajes utilizando todas las combinaciones posibles en la cifra de 128, 192 o 256 bits. Sin embargo, los expertos en seguridad opinan que el AES se convertirá eventualmente en el estándar de cifrado de datos en el sector privado.

1. Conocer las leyes: cuando se trata de proteger la información personal identificable, las organizaciones deben cumplir con gran cantidad de regulaciones de privacidad que se superponen entre sí. Las principales seis regulaciones que afectan a muchas organizaciones son: FERPA, HIPAA, HITECH, COPPA, PCI DSS y las leyes estatales de notificación de violaciones de datos.
2. Evaluar los datos: una regla de seguridad contemplada en la HIPAA no requiere específicamente del uso del cifrado, pero sí indica que las entidades deben realizar una evaluación de riesgos de datos e implementar el cifrado si esta evaluación concluye que el cifrado constituiría una protección “razonable y apropiada”. Si una organización decide no cifrar su información médica electrónica protegida (ePHI), entonces debe documentar y justificar esta decisión y después implementar una “medida alternativa equivalente”.
3. Determinar el nivel de cifrado necesario u obligatorio: el Departamento de Salud y Servicios Humanos (HHS, del inglés “Health and Human Services”) se basa en los dictámenes del Instituto Nacional de Estándares y Tecnología (NIST, del inglés “National Institute of Standards and Technology”) para determinar las prácticas recomendadas de nivel de encriptación. Tanto el HHS como el NIST han redactado una extensa documentación acerca de cómo cumplir la Regla de Seguridad de la HIPAA. La Publicación Especial 800-111 del NIST adopta un enfoque general hacia el cifrado en dispositivos de los usuarios. En pocas palabras, indica que el cifrado debe emplearse si existe cualquier riesgo, por improbable que sea. El FIPS 140-2, que incorpora el AES en sus protocolos, es una opción ideal. El FIPS 140-2 ayuda a las entidades educativas a garantizar que la PII “se vuelva inútil, ilegible o indescifrable para individuos no autorizados”. Un dispositivo que cumpla con los requisitos del FIPS 140-2 tiene una función de borrado criptográfico que “aprovecha el cifrado de los datos objetivo permitiendo la esterilización de la clave de cifrado de los datos objetivo, dejando solo el texto de la cifra en el medio, lo que esteriliza definitivamente los datos”.
4. Tener presente las transferencias de datos sensibles y el acceso remoto: el cifrado debe llegar más allá de los equipos portátiles y las unidades de respaldo. Las comunicaciones o envíos de datos por internet precisan de Seguridad de Capa de Transporte (TLS), un protocolo para la transmisión de datos por una red, así como de cifrado AES. Cuando un empleado acede a la red local de una institución, una conexión VPN segura es esencial para el tratamiento de datos ePHI. Además, antes de colocar un montón de archivos de los estudiantes en un dispositivo físico externo para su transferencia entre sistemas u oficinas, el dispositivo debe estar cifrado y cumplir con los requisitos del FIPS 140-2 para evitar potenciales robos de datos.
5. Tener presente la letra pequeña: desafortunadamente, muchas instituciones educativas no cumplen con la debida diligencia en la revisión de las políticas de privacidad y seguridad de datos de terceros, y terminan por autorizar inadvertidamente prácticas de recolección y minería de datos que los padres/estudiantes consideran inaceptables o que infringen lo estipulado en la FERPA. El cumplimiento de las regulaciones implica mucho más que simplemente proteger las estaciones de trabajo de una oficina con contraseñas. Precisa del uso de la encriptación para proteger los “datos en reposo” al estar almacenados en sistemas escolares o dispositivos multimedia extraíbles. Recuerde que los datos inactivos que se encuentran fuera del firewall o cortafuegos de la institución (o “a la intemperie”) son la fuente principal de violaciones a la seguridad.