Webinar | Encriptación Efectiva

¿Estás protegiendo los datos sensibles de tu organización?

El miércoles 30 de agosto realizamos un webinar junto a Symantec para hablar sobre estrategias de Encriptación y soluciones de cifrado recomendadas para diferentes dispositivos y aplicaciones.

El webinar estuvo a cargo de Raúl Bazan (Support Service Manager de NextVision) y Patricio Villacura (Territory Sales Engineer de Symantec).

Raúl explicó los motivos por los cuales una organización necesita proteger su información:

  • Evitar fugas de datos
  • Cumplir con normativas y legislaciones

Patricio mostró estadísticas actuales y afirmó que el 50% de las fugas de datos podrían ser prevenidas con una estrategia de encriptación de datos.

El webinar contó con más de 70 inscriptos y los asistentes pudieron realizar consultas en vivo y conocer las últimas novedades en materia de cifrado.

Reviví el webinar:

Te interesaría que tratemos un tema en particular en nuestros próximos webinars? Escribinos a marketing@nextvision.com y contanos.

Todo sobre encriptación de datos para empresas

La encriptación o cifrado de información sensible es de suma importancia para preservar la seguridad de datos que forman parte del core operativo de una empresa. Una fuga de datos puede implicar pérdidas económicas, comprometer la reputación de la empresa y poner en riesgo su permanencia en el mercado, por lo que proteger la información a través de sistemas de cifrado es esencial.

En esta nota, te ofrecemos una guía en la que te explicamos qué es la encriptación de datos desde sus orígenes, y porqué es tan importante manejar un protocolo de cifrado adecuado para garantizar la seguridad de tus datos.

¿Qué es la encriptación?

La encriptación (traducción de la palabra en inglés encryption), también conocida como criptografía, es la acción de proteger información y documentos con técnicas que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. A pesar de ser un aspecto inherentemente a la informática, el cifrado de información (y la necesidad de proteger data de ojos extraños) se remonta a los inicios de la escritura.

A lo largo de la historia, distintas culturas han creado sus propios sistemas de encriptación que eran empleados especialmente para enviar mensajes en tiempos de guerra, pero que sentaron las bases de la encriptación que conocemos hoy en día. Veamos algunos de los sistemas más conocidos.

Métodos de encriptación famosos

Escítala (Esparta, siglo V a.C)

Los guerreros espartanos enviaban mensajes codificados enrollando una cinta de cuero en una vara, llamada escítala, para luego escribir en forma longitudinal, para luego desenrollar la cinta y terminar con un conjunto de letras sin sentido que, en teoría, solo podía descifrarse enrollando la cinta de nuevo en una vara con el mismo diámetro que la original. A pesar de que es un método rudimentario en el que cuadrando las letras, sin necesidad de una escítala, se puede descifrar el mensaje, era efectivo para su tiempo ya que poca gente sabía leer.

Cifrado de Polybios (Grecia, siglo a.C)

Creado por el historiador Polybios, este sistema usa el principio de sustitución colocando las letras en una tabla y, en los encabezados de las filas y las columnas se asignan números que sustituyen las letras que conforman el mensaje original: se encripta el mensaje buscando los números que corresponden a cada letra en el cuadrante que se encuentren en la tabla. Para descifrar el mensaje, es necesario separar el código en pares e ir buscando los cruces de cada par de números en la tabla.

El Cifrado de Polybios es conocido por el método de comunicación cifrada más usado por prisioneros nihilistas de la Rusia zarista.

Cifrado César (siglo I, a.C)

Este sistema, nombrado así por el famoso dictador romano, es también un cifrado por sustitución en la que la letra a ser encriptada es sustituida por la letra que le siga 3 posiciones más adelante en el alfabeto. Es un método muy sencillo que el mismo Julio César usaba para comunicarse con los generales de su ejército durante sus campañas militares.

Máquina Enigma

La máquina Enigma, utilizada por los nazis para encriptar sus comunicaciones, era un dispositivo electromecánico inventado por Arthur Scherbius, que se componía de unas teclas que representaban las letras del alfabeto, y que al tipear el mensaje activaban el mecanismo electrónico que hacía mover los rotores conectados al teclado que iluminaba las letras que conformaban el mensaje cifrado.

Aunque a simple vista parece un mecanismo sencillo, la máquina Enigma tenía la particularidad de que uno de sus rotores giraba un veintiseisavo más de vuelta cada vez que el usuario tecleaba, por lo que la posición de las conexiones cambiaba con cada pulsación de las teclas y daba como resultado una encriptación polialfabética que siempre variaba, lo que hizo tan complicado para los aliados hallar la clave que pudiera descifrar los mensajes cifrados con Enigma. Además, para hacerla más robusta, la máquina contaba con la capacidad de intercambiar los cilindros y las conexiones, permitiendo usar 105.456 alfabetos y una cantidad enorme de posibilidades de cifrado.

Los mensajes de Enigma, luego de varios años, fueron descifrados en 1942 por un grupo de criptoanalistas liderados por Alan Turing y Joan Clarke. Se estima que el descifrado del código Enigma le ahorró al mundo 4 años más de guerra.

La encriptación moderna

Algoritmos

Las soluciones de encriptación como las conocemos en la actualidad se originaron en 1970, con la aparición del algoritmo DES (Data Encryption Standard), desarrollado por el gobierno estadounidense. El DES se basaba en el cifrado de sustitución por bloques, que consta de transformar un texto de una longitud de bits fija en un texto cifrado de igual longitud, que era de 56 bits, lo que se convirtió en su principal desventaja, ya que al tener un código tan corto podía ser descifrado en 24 horas.

Unos años más tarde, sustituyó DES por el Advanced Encryption Standard (AES) un sistema por bloques con claves mucho más seguras, que usan un estándar de 128 bits, pero que pueden llegar a ser de hasta 256 bits. Actualmente AES se mantiene como uno de los sistemas de cifrado más populares en Internet.

Otro de los algoritmos que actualmente se utilizan es el RSA (Las siglas de Rivest, Shamir y Adleman, sus desarrolladores), que es el que usa el cifrado asimétrico y, a diferencia del algoritmo DES utiliza 2 claves, una pública y otra privada que conserva el propietario del archivo. Actualmente el RSA es el algoritmo de encriptación más usado en en sistemas de autenticación online.

Sistemas de encriptación

Actualmente, existen 3 sistemas de encriptación afianzados en el mundo digital para la protección de datos, veamos en detalles cuáles son y cómo funcionan:

Encriptación simétrica

Este sistema usa la misma clave para cifrar y descifrar la información entre el emisor y receptor, quiénes se ponen de acuerdo sobre la clave a utilizar de antemano. El sistema simétrico es el más inseguro, ya que en la comunicación de la clave entre los involucrados es fácil de interceptar; además, cómo la seguridad de un sistema de cifrado debe colocarse en la fuerza de la clave, esta podría ser demasiado larga, lo que lo hace poco práctico.

Encriptación asimétrica

También conocida como encriptación de clave pública, utiliza 2 claves diferentes entre el emisor y receptor, una pública que es transmitida a todos los que necesiten enviar información cifrada, y otra privada que es secreta. Ambas claves se generan simultáneamente y están vinculadas, pero la relación entre ellas debe ser lo suficientemente compleja para que no sea posible obtener la privada a partir de la pública. Este sistema La usa como base el algoritmo RSA.

De acuerdo al portal Redes Zone, las claves cumplen estas funciones:

  • Encriptar la información.
  • Asegurar la integridad del mensaje cifrado.
  • Certificar la autenticidad del emisor.

Si bien la distribución de las claves es más segura porque la privada no es revelada, su principal desventaja recae en la lentitud del proceso, por varios factores que incluyen:

  • Tiempo de procesamiento para obtener un par de claves y un mensaje de la misma longitud.
  • Las claves deben ser 5 veces o más largas que las usadas en el cifrado simétrico.
  • El mensaje cifrado es más largo que el original.

Encriptación híbrida

Uno lo mejor de los sistemas encriptación anteriores y solventa los problemas de seguridad y lentitud del cifrado de los datos. La encriptación híbrida funciona de la siguiente manera:

  • Se genera una clave privada y una pública (desde el receptor)
  • Se encripta el archivo al mismo tiempo en el que se generan las claves.
  • El receptor envía su clave pública.
  • Se encripta el archivo con la clave pública recibida.
  • Se envía el archivo cifrado de forma síncrona y la clave de forma asíncrona.

Además de solventar los problemas que presentan la encriptación simétrica y asimétrica, el sistema híbrido es especialmente útil cuando se tiene que enviar información cifrada a varios destinatarios simultáneamente.

¿Por qué es importante encriptar la información?

En el mundo actual, la información es poder y dinero, y los cibercriminales lo saben: es por ello que la fuga de datos es uno de los principales ciberataques del que son víctimas las empresas, y el que más dinero les cuesta: según un estudio patrocinado por IBM, una fuga de datos puede llegar a costarle a una empresa grande 4 millones de dólares en promedio. El caso de las Pymes es más preocupante, ya que suelen ser las víctimas predilectas de este tipo de ataques (hasta un 90%), principalmente porque no suelen tener cuidado en el manejo y preservación de sus datos, llegando a perder un promedio de 36 mil dólares por ataque, de acuerdo al estudio realizado por First Data.

A las pérdidas económicas se le suma el deterioro de la reputación ante los ojos del público. Esto es especialmente perjudicial cuando la empresa usa información personal de sus clientes para operar. Un caso en los que una fuga de datos significó una mayor pérdida de credibilidad que de dinero fue el del sitio web de citas Ashley Madison, en el que se filtró la información personal de más de 37 millones de usuarios y fue expuesta en Internet. Si bien el ataque se produjo en 2015, las consecuencias para la compañía persisten hasta hoy: en julio de 2017 Ruby Corp., casa matriz del portal, accedió a pagar una multa de 11,2 millones de dólares para poner fin a los litigios en su contra; además, ha perdido más del tercio de sus ganancias desde que se dió a conocer la fuga.

Para evitar este tipo de situaciones que pueden significar costos inesperados o la quiebra de un negocio, la mejor apuesta es invertir en una solución de encriptación para los datos sensibles de tu empresa.

El sistema de encriptación: ¿Pago o gratuito?

Ya que hemos explicado porqué es importante encriptar la información valiosa que tu empresa maneja, te estarás preguntando qué tipo de solución es la más conveniente. Si bien sabrás que existen infinidad de herramientas gratuitas en Internet que cifran documentos, éstas no son las más adecuadas para un entorno corporativo. Aquí te explicamos las razones por las que una solución de encriptación con licencia es la mejor opción para las empresas:

Múltiples niveles de seguridad

Los softwares de encriptación pagos hacen uso de los algoritmos de cifrado más avanzados y seguros, como el AES; además, hacen uso de claves de hasta 256 bits, tamaño que se considera ideal por su seguridad y su desempeño al momento de la comunicación. Por último, la gran mayoría de las soluciones sin licencia emplean encriptación simétrica o asimétrica; en cambio, las herramientas pagas utilizan la encriptación híbrida que, como mencionamos antes, es la más segura y rápida.

Administración centralizada

Con las herramientas pagas cuentas con una interfaz de administración centralizada en la que podés:

  • Definir grupos de encriptación con clave privada.
  • Usar containers separados de llave para uso específico.
  • Sincronizar en grupos AD.
  • Establecer la fecha de vencimiento de una clave específica para mayor control.
  • Hacer uso de mecanismos de recuperación de claves.

Cumplimiento de normativas

Hay industrias, como la bancaria, que tienen unos estándares de seguridad en el manejo de la información que deben cumplirse para poder operar. Es fundamental que las empresas cuenten con sistemas de encriptación robustos que garanticen el cifrado de la información según a los estándares nacionales e internacionales.

Además de estas ventajas, la inversión para adquirir una solución de encriptación paga es mínima, si se compara con los problemas que puede evitar: dependiendo del tamaño de la organización y su industria, los costos pueden ir desde los 232 hasta los 331 dólares por año, según los resultados de un estudio realizado por el Ponemon Institute. Aunado a esto, siempre podrás acudir al desarrollador de la herramienta ante cualquier inconveniente.

¿Qué buscar en una solución de encriptación?

Ahora que ya sabés porque adquirir una solución de encriptación paga es la mejor opción para preservar la información de tu empresa, es momento de buscar el software que mejor se adapte a las necesidades de tu empresa. Te damos algunos puntos clave que debes tomar en cuenta a la hora de seleccionar un sistema de encriptación que cumpla su trabajo sin afectar la productividad del usuario final:

Flexibilidad

Si tenés una empresa en pleno proceso de crecimiento, lo más probable es que la cantidad de información sensible que debas almacenar y la cantidad de formatos en los que manejes tus archivos incremente, por lo que al momento de buscar una solución de encriptación, debes buscar una que tenga capacidad para generar y almacenar múltiples claves.

Versatilidad

En el entorno empresarial de hoy, pensar en cifrar archivos solamente en los equipos que los empleados usan durante su jornada en las oficinas no es lo más conveniente. Hoy en día el trabajo se traslada más allá de las paredes de la sede de la empresa, por lo que adquirir una solución que se puede trasladar a archivos alojados en la nube, y estaciones de trabajo como dispositivos USB, discos extraíbles y notebooks, es la mejor opción para proteger la información a donde quiera que vayan los colaboradores.

Administración centralizada

Una solución adecuada para empresas debe dar la posibilidad de administrar de forma centralizada las políticas y claves de protección de datos. Este control va más allá de la administración y distribución de claves: también es importante contar con la capacidad de saber qué usuario ha hecho una determinada acción dentro de su sistema, y aplicar restricciones de accesos de acuerdo a los roles desempeñados.

Reporting

El control de la solución de encriptación ideal va más allá de la administración centralizada, debe proporcionar una visión del estado del cifrado actual, de todos los usuarios y dispositivos que hacen vida en la organización, desde la consola del administrador. Esto permitirá optimizar la protección de los datos conforme tu empresa vaya creciendo y evolucionando.

Ya que conocés de qué trata la encriptación y su importancia para el funcionamiento adecuado y seguro de una empresa, te invitamos a comunicarte con nosotros: tenemos la solución de encriptación que se adapta a tus necesidades.

Opinión | 2015 año del cifrado

Queremos compartir una visión muy interesante sobre la situación y los próximos pasos en materia de cifrado, con la pluma de un especialista.

NextVision posee una amplia experiencia en soluciones de cifrado de datos a nivel corporativo, y entre las soluciones más destacadas se encuentra Symantec Encryption en sus distintas versiones: Endpoint Encryption, Endpoint Encryption Device Control, Endpoint Encryption Full Disk Edition, Endpoint Encryption Removable Storage Edition


¿Por qué 2015 será el año del cifrado?

Por Andrew Crocker y Jeremy Gillula, Electronic Frontier Foundation (@AGCrocker)

Durante una visita a Silicon Valley, el presidente Obama se describió a sí mismo como “un firme creyente en el strong encryption“. Algunos lo han criticado por equivocar el concepto, pero como nos consideramos “fuertes creyentes”, vamos a aceptar su declaración. Obama no es el único; todo el mundo habla del cifrado, desde activistas e ingenieros, hasta los organismos públicos encargados de la seguridad cibernética.

En el pasado, el uso del cifrado para proteger archivos y la comunicación solía ser solo posible para usuarios técnicamente sofisticados. Llevó un tiempo que la industria de la tecnología y la comunidad de código abierto mejoren sus esfuerzos para cumplir con la convocatoria de un cifrado generalizado y utilizable, pero hoy las piezas están en su lugar para que el 2015 sea el punto de inflexión.

Hace poco, Apple y Google anunciaron que las nuevas versiones de iOS y Android cifrarían el almacenamiento local de los dispositivos móviles de forma predeterminada, y que el 2015 será el año en el que este cambio realmente se afiance.

Si un teléfono móvil está ejecutando iOS 8 o Android Lollipop 5.0, las fotos, los mails y toda la información almacenada en el dispositivo está segura de forma automática contra quien quiera investigarlo en el caso que lo encuentre. Pero lo que es aún más importante, es que ni las propias empresas pueden descifrar estos dispositivos, un punto esencial para la protección contra hackers, ya que poseen conocimiento y herramientas para explorar los móviles de otras maneras.

Claro que la protección de estos sistemas operativos actualizados se basa en la adopción del usuario, ya sea mediante la actualización de un dispositivo antiguo o mediante la compra de uno nuevo con el nuevo sistema operativo preinstalado, o a traves de politicas corporativas frente el BYOD (“bring your own device”).

Sin embargo, basados en tendencias de adopción pasadas, una mayoría de usuarios de teléfonos celulares serán finalmente quienes ejecuten uno de estos dos sistemas operativos a finales de 2015. Tal como escribió la Corte Suprema de USA el año pasado, los teléfonos celulares “ocupan un lugar dominante en la vida moderna”. El mundo es MUY diferente cuando la mayoría de esos teléfonos están encriptados por defecto/de forma predeterminada.

Hay dos desarrollos más que involucran al cifrado y que podrían no ser la noticia de este año, pero son igual de importantes como las iniciativas de Apple y Google, si no más.

En primer lugar, el protocolo HTTP/2, diseñado para reemplazar al viejo/antiguo protocolo HTTP (Hyper-Text Transfer Protocol), que desde hace casi dos décadas ha especificado cómo los navegadores y servidores web se comunican entre sí. HTTP/2 ofrece varias mejoras modernas en comparación al protocolo que fue diseñado cuando el dial-up era el que dominaba el mercado, incluyendo la compresión, las transferencias de datos multiplexados, y la capacidad de los servidores para empujar preventivamente el contenido a los navegadores.

Originalmente, el protocolo HTTP/2 fue también diseñado para operar exclusivamente a través de conexiones cifradas, con la esperanza de que esto lograría el cifrado de toda la web. Desafortunadamente, ese requisito se diluyó durante el proceso de elaboración de normas, y el cifrado se consideró opcional.

A pesar de esto, Mozilla y Google han prometido que sus navegadores sólo soportarán conexiones encriptadas/cifradas HTTP/2, lo que significa que si los operadores de sitios web quieren sacar ventaja de todas las mejoras de rendimiento que el protocolo HTTP/2 tiene para ofrecer, tendrán que usar el cifrado para lograrlo o de lo contrario se arriesgarán a perder una gran parte de su público. El resultado neto será sin duda alguna mayor tráfico web cifrado de forma predeterminada.

Pero como todo administrador de sistemas puede asegurar, la creación de un sitio web que soporte correctamente el cifrado puede ser una gran molestia. Esto ocurre porque para ofrecer conexiones seguras, los sitios web deben configurar correctamente “certificados” firmados por terceros de confianza/terceras partes confiables, o Autoridades Certificantes. La obtención de un certificado puede ser complicada y costosa, y este es uno de los mayores problemas para el uso predeterminado de HTTPS (y HTTP/2 cifrados) por los sitios web.

Por supuesto que habrá otros desarrollos a lo largo de este año de cifrado.

Por último, seríamos acusados de ingenuos si no reconociéramos que a pesar del apoyo ostensible del presidente Obama, otros funcionarios y organismos de  seguridad aún continúan pidiendo por un “debate” sobre el equilibrio entre el cifrado y el acceso legal. Estamos seguros de que a la luz de los avances técnicos como los que hemos descripto, todo será cada vez más interesante.

Cryptolocker: cómo prevenir los ataques de este malware

En la actualidad el mundo corporativo asiste a una amenaza causada por el malware llamado “Cryptolocker/Ransomware”. Cuando se ejecuta encripta el disco rígido y dispositivos conectados a la PC, muestra distintos mensajes según la variante utilizada para el ataque, asustando al usuario e incitando a pagar un rescate para recuperar la información.

Este tipo de malware no puede considerarse un virus, porque no se propaga de una PC a otra, se instala manualmente mediante el engaño al usuario, y se camufla dentro de un programa que se hace atractivo al usuario. Las variantes del instalador cambian en la medida que los antivirus los incorporan en las listas de definiciones. Muchas veces mediante información falsa, indicando que llego un mail cifrado y para leerlo es necesario instalar tal aplicación, o para ver un video es necesario instalar un codecs. También simulan ser por ejemplo actualizaciones de Windows o de Adobe Fash.  Por este motivo el “Tip” fundamental para evitar ser infectado es la concientización, que el usuario esté al tanto de como funciona y actúa esta amenaza.

Para evitar el engaño, debemos tomar ciertas medidas de precaución con emails no solicitados o de remitentes no conocidos.

9 recomendaciones:

  • Realizar análisis programados semanales con el antivirus y mantener actualizadas las definiciones. Nuevas versiones del Malware son generadas constantemente para evitar ser detectadas.
  • No mantener conectados a la PC/notebook dispositivos usb tipo Pendrive o discos rígidos externos, así evitamos que también sean encriptados.
  • No ejecutar archivos adjuntos sin previamente consultar al área de sistemas.
  • Leer atentamente los mensajes de la PC antes de dar OK, aquí es donde validamos la instalación del malware.
  • Mantener actualizados los programas instalados en los equipos, principalmente el sistema operativo y antivirus.
  • No acceder a sitios o páginas de internet a través de URLs que se encuentren contenidas en correos electrónicos.
  • Establecer canales de comunicación seguros como redes privadas virtuales (VPN).
  • Utilizar un navegador de internet actualizado.
  • Instalar todas las actualizaciones de Java, Adobe Flash, y otras librerías de Internet, en el mismo momento en que se produce la actualización.