Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

El cifrado como protección

Las violaciones de datos se han convertido en parte de nuestras noticias diarias. Solo tenemos que mencionar Anthem, Sony, Staples, UPS, Kmart, Target, Neiman Marcus, eBay, Home Depot, Apple iCloud, J.P. Morgan Chase y la mayoría de nosotros sabremos que esos nombres de empresas también están asociados a ciberataques ampliamente publicados.

encriptación_1_1

Recientemente, saltó la noticia sobre el Superfish un adware man in the middle SSL que puede producir certificados autofirmados.

La mayoría de nosotros sabemos cómo comprobar si un billete de un dólar es auténtico o falso, pero ¿sabemos cómo comprobar si un sitio web con su certificado es falso?

La capacidad de reconocer una conexión web segura es extremadamente importante, ya que los casos de fraude en línea han aumentado sustancialmente de año en año.

Una de las cosas básicas que cualquier usuario puede hacer es comprobar el icono del candado en la barra de estado del navegador y entender el certificado presentado. Cuando se observan los certificados de los sitios web en los que más solemos confiar y que más utilizamos, como Google, Yahoo, PayPal, etc., se puede ver la cadena de confianza de un mínimo de dos o tres autoridades. Es importante comprobar quién ha emitido el certificado.

Los certificados los emite una autoridad, y la pregunta es: ¿confiaría usted en la autoridad que emitió el certificado?

Una de las principales funciones de la raíz, la autoridad superior, es emitir certificados en cadena a las autoridades de certificación subordinadas, lo que establece el primer eslabón de la cadena de confianza. A continuación, existe un vínculo de confianza entre el certificado de entidad final y la CA subordinada. En el caso de un certificado SSL , el certificado de entidad final representa el vínculo entre el propietario de un sitio web y el nombre de dominio del sitio web. El certificado SSL se instala en el servidor Web junto con el certificado de cadena. Cuando un usuario navega al sitio web protegido por el certificado SSL , el navegador inicia la verificación del certificado y sigue la cadena de confianza hasta la raíz incrustada.

Técnicamente no es difícil crear un certificado SSL , pero lo difícil es que debe estar firmado por una entidad autorizada, que es uno de los conjuntos de certificados raíz de confianza.

Pertenecen a las distintas autoridades de certificación y están protegidos por una autenticación criptográfica sólida. Por tanto, el truco no está en crear el certificado, sino en conseguir que alguien confíe en él. Por este motivo, la CA raíz es la parte más importante y vulnerable de un despliegue de infraestructura de clave pública (PKI). No es sorprendente que las CA se hayan convertido en el foco de ataques dirigidos.

Dado que un certificado falso no está firmado por autoridades de certificación de confianza, ninguno será considerado válido por el navegador web convencional software; sin embargo, una cantidad cada vez mayor del tráfico bancario en línea se origina ahora desde aplicaciones y otros navegadores distintos de software que pueden no comprobar adecuadamente la validez de los certificados SSL . Por lo tanto, es necesario proteger cualquier dispositivo que acceda al tráfico de la red y la implantación de una PKI profesional es la respuesta.

La ciberdelincuencia es esencialmente una forma de que los piratas informáticos muestren sus habilidades, descifrando el código incluso cuando la tecnología progresa y aparentemente se fortalece. Por ello, la encriptación de los datos es el método de protección principalmente elegido, tal y como ha adoptado el sector financiero estadounidense este año. La seguridad digital se ha convertido en un problema de tal envergadura que Estados Unidos está adoptando tarjetas con chip y terminales de punto de venta conformes a la norma Europay, MasterCard, Visa.

A partir de octubre de 2015, un emisor de tarjetas o un comerciante que no admita EMV asumirá la responsabilidad por el fraude resultante de transacciones con tarjetas de banda magnética comprometidas. Al parecer, ya se ha producido un cambio importante en la forma de pensar: el futuro estará en la encriptación. ¿Por qué un chip es más seguro que la banda magnética?

En primer lugar, la forma más obvia en que el chip le protege es eliminando la clonación. Por ejemplo, si está pagando su comida en un restaurante y utiliza su tarjeta de banda magnética, normalmente entrega su tarjeta al camarero después de que éste le traiga la cuenta. A continuación, suele procesar su transacción en la caja registradora, lo que significa que su tarjeta desaparece de su vista durante varios minutos, tiempo de sobra para clonarla si alguien del personal del restaurante es un ladrón. Con una tarjeta con chip, se necesita un TPV portátil, o el cliente se dirige a la caja registradora, teniendo la tarjeta a la vista todo el tiempo.

En segundo lugar, las tarjetas con chip son la norma en la mayor parte del mundo porque no sólo son más difíciles de clonar, ya que los datos de las tarjetas con chip cambian constantemente, lo que las hace extremadamente difíciles de aislar y extraer y falsificar que sus predecesoras de banda magnética, sino también porque las tarjetas con chip son diferentes principalmente porque tienen un sofisticado cifrado incorporado directamente en el chip. Cuando, en lugar de pasar la tarjeta por el lector, la pasas por el lector, la tarjeta habla con el terminal de pago en un lenguaje secreto para asegurarse de que eres tú quien paga.

Aparentemente, la encriptación funciona. Los sistemas criptográficos fuertes correctamente implementados son una de las pocas cosas en las que puedes confiar, especialmente en las transacciones de pago y también en la protección del resto de tus datos almacenados y enviados.

Entonces, ¿qué tipo de cifrado queremos elegir? Para cualquier cifrado, el método de ataque más básico es la fuerza bruta: probar cada clave hasta encontrar la correcta. La longitud de la clave determina el número de claves posibles y, por tanto, la viabilidad de este tipo de ataque. La fuerza del cifrado está directamente ligada al tamaño de la clave. Cualquier algoritmo realista se considera "suficientemente fuerte" si tardará más en descifrar el material de lo que vale la información con los recursos disponibles en ese momento. Por ejemplo, si la información incluye mis planes para cenar mañana, es probable que mi algoritmo de cifrado sólo necesite retrasar a un atacante 24 horas, momento en el cual, el evento habrá terminado.

Dado que tenemos que tener en cuenta la asequibilidad de los avances en capacidad informática con el tiempo que pueden reducir el esfuerzo para atacar con éxito el método del algoritmo, la regla general segura para la mayoría de las empresas es que quieres que cualquier cifrado que utilices siga siendo fuerte dentro de 20 años.

Independientemente de si necesitamos cumplir varias leyes federales y estatales de EE.UU., por ejemplo, sobre privacidad de datos, o si queremos evitar grandes pérdidas financieras, reconocer la gran necesidad de una protección de cifrado adecuada es primordial. Microsoft ofrece a los usuarios cifrado de disco integrado en determinadas ediciones de Windows y existen muchos otros productos excelentes para resolver sus necesidades de cifrado.

Si una empresa se preocupa por la integridad de sus datos y sistemas, debe implantar una PKI con un conjunto adecuado de controles y equilibrios o utilizar un servicio de terceros en el que pueda confiar. De lo contrario, la organización quedará expuesta y será cada vez más vulnerable.

La CA Raíz es la parte superior de la jerarquía de certificados. Dado que contiene las claves que se utilizarán para toda la infraestructura de certificados, estas claves deben estar protegidas. Si un atacante consiguiera acceder a estas claves, toda la infraestructura de certificados se vería comprometida.

Por lo tanto, es primordial que la CA raíz se instale en un servidor autónomo sin tarjeta de red o con la tarjeta de red desactivada. Los certificados de la CA raíz deben transportarse utilizando medios de eliminación. Dado que la CA raíz no está conectada a la red, esto ayuda a proteger los certificados de la CA raíz frente a ataques.

Además, para lograr la máxima seguridad, las claves de CA raíz pueden protegerse mediante un módulo de seguridad Hardware (HSM) y almacenarse en una caja fuerte después de que todas las partes implicadas hayan completado y firmado la ceremonia de la clave raíz.

Durante los compromisos de PKI con CSS, elegimos el cifrado adecuado para su tipo de negocio. Por ejemplo, SHA es un algoritmo hash popular utilizado por la mayoría de los certificados de SSL . Como la potencia de cálculo ha aumentado la viabilidad de romper el hash SHA1, CSS utiliza y recomienda utilizar sólo SHA 256 a partir de ahora. Elegimos módulos de seguridad de hardware que cumplen con el Estándar Federal de Procesamiento de Información como FIPS 140 Nivel 2 y Nivel 3.

Nuestra solución de despliegue de PKI se ofrece a las empresas como un servicio que les permitirá despreocuparse a la hora de cifrar y proteger sus datos. En este servicio incluimos nuestro producto exclusivo denominado Sistema de Gestión de Certificados (CMS), que es el producto líder para la emisión y gestión de certificados en todos los dispositivos y servicios. CMS utiliza un servicio Validated SCEP™ (VSCEP) que ha recibido una patente para la emisión de certificados PKI de alta seguridad y utiliza un cifrado a nivel de columna dentro de la base de datos MS SQL que desempeña un papel esencial en la seguridad de sus datos.