¿Solución o problema? Las dos caras de la encriptación
La encriptación no siempre es el remedio; a veces, incluso puede suponer un serio riesgo en forma de nuevas vulnerabilidades. Lo dicen responsables de firmas como BM Internet Security Systems, Juniper, nCipher y algunas otras especializadas en seguridad, que han advertido en un panel de expertos celebrado recientemente en Estados Unidos que la encriptación de datos también abre la puerta a nuevos riesgos, como ataques –deliberados o accidentales– sobre la infraestructura de gestión de claves.
Son cada vez más las organizaciones que deciden encriptar los datos almacenados en sus sistemas para evitar las consecuencias negativas de posibles pérdidas o robos de información. Al fin y al cabo, se supone que la encriptación representa una de las alternativas más fiables de securización de datos. Sin embargo, no es lo mismo cifrar los datos en tránsito –a lo que ya están acostumbradas muchas empresas desde hace tiempo– que los almacenados, práctica que sólo ahora están poniendo en marcha las organizaciones, principalmente por motivos de cumplimiento normativo.
“Muchas organizaciones son nuevas en lo que respecta a encriptación. Su única experiencia con esta técnica generalmente se ha restringido a SSL, pero en este caso sólo se trata de una sesión. Cuando se aplica a datos en reposo y, por ejemplo, se encripta un laptop, si se pierde la clave, se pierden los datos. Una situación de este tipo podría considerarse de alguna manera como un ataque de denegación de servicio autoinfligido”, argumenta Richard Moulds, vicepresidente ejecutivo de estrategia de producto de nCipher.
Por otra parte, es cierto que la encriptación interesa a las empresas, pero también –y mucho– a los delincuentes. Como advierte Anton Grashion, estratega europeo para seguridad de Juniper, “si el despliegue de las alternativas de cifrado se extiende lo suficiente entre las organizaciones, se abrirá una gran oportunidad para empezar atacar las infraestructuras de claves. Se trata de una nueva clase de ataque DoS. Si el hacker puede revocar una clave y después demandar un rescate por ella, surge una nueva y lucrativa forma de delinquir”.
Otro riesgo relacionado con la encriptación es que un uso indiscriminado de esta tecnología podría acabar dañando la capacidad de la empresa para compartir y utilizar los datos críticos de negocio incluso en contextos legítimos, según Joshua Corman, estratega principal de seguridad para IBM ISS. “Me parece temible la idea de que todos intentemos ocultar la totalidad de nuestros datos. Hoy las empresas son negocios fuertemente basados en la información, por lo que entorpeciendo su flujo se estará dificultando la colaboración y la toma de decisiones”. En definitiva, y por paradójico que parezca, a veces, el resultado de implementar ciertas tecnologías de seguridad es realmente un incremento neto del riesgo. ¿Qué hacer? La consulta a los expertos podría ser una buena manera de acercarse al problema.
Son cada vez más las organizaciones que deciden encriptar los datos almacenados en sus sistemas para evitar las consecuencias negativas de posibles pérdidas o robos de información. Al fin y al cabo, se supone que la encriptación representa una de las alternativas más fiables de securización de datos. Sin embargo, no es lo mismo cifrar los datos en tránsito –a lo que ya están acostumbradas muchas empresas desde hace tiempo– que los almacenados, práctica que sólo ahora están poniendo en marcha las organizaciones, principalmente por motivos de cumplimiento normativo.
“Muchas organizaciones son nuevas en lo que respecta a encriptación. Su única experiencia con esta técnica generalmente se ha restringido a SSL, pero en este caso sólo se trata de una sesión. Cuando se aplica a datos en reposo y, por ejemplo, se encripta un laptop, si se pierde la clave, se pierden los datos. Una situación de este tipo podría considerarse de alguna manera como un ataque de denegación de servicio autoinfligido”, argumenta Richard Moulds, vicepresidente ejecutivo de estrategia de producto de nCipher.
Por otra parte, es cierto que la encriptación interesa a las empresas, pero también –y mucho– a los delincuentes. Como advierte Anton Grashion, estratega europeo para seguridad de Juniper, “si el despliegue de las alternativas de cifrado se extiende lo suficiente entre las organizaciones, se abrirá una gran oportunidad para empezar atacar las infraestructuras de claves. Se trata de una nueva clase de ataque DoS. Si el hacker puede revocar una clave y después demandar un rescate por ella, surge una nueva y lucrativa forma de delinquir”.
Otro riesgo relacionado con la encriptación es que un uso indiscriminado de esta tecnología podría acabar dañando la capacidad de la empresa para compartir y utilizar los datos críticos de negocio incluso en contextos legítimos, según Joshua Corman, estratega principal de seguridad para IBM ISS. “Me parece temible la idea de que todos intentemos ocultar la totalidad de nuestros datos. Hoy las empresas son negocios fuertemente basados en la información, por lo que entorpeciendo su flujo se estará dificultando la colaboración y la toma de decisiones”. En definitiva, y por paradójico que parezca, a veces, el resultado de implementar ciertas tecnologías de seguridad es realmente un incremento neto del riesgo. ¿Qué hacer? La consulta a los expertos podría ser una buena manera de acercarse al problema.
