En un mundo cada vez más digitalizado, una de las principales brechas de seguridad en las empresas contempla la exposición de datos personales e información financiera de los clientes. Uno de los controles más relevantes para reducir este riesgo de fuga de información es la criptografía, que permite proteger la data confidencial al volverla ilegible para los hackers.
La criptografía es el proceso de ocultar o codificar un mensaje para que solo pueda ser leído y procesado por la persona a la que estaba destinado. Se trata de un arte utilizado durante miles de años para proteger información valiosa y que, aún hoy, se emplea en tarjetas bancarias, contraseñas de computadoras y transacciones de comercio electrónico.
Esta práctica de ciberseguridad hoy combina varias disciplinas, como la informática, la ingeniería y las matemáticas, para crear códigos complejos que ocultan el verdadero significado del mensaje. Las técnicas modernas incluyen algoritmos que permiten cifrar y descifrar data, como sucede con las claves de 128 y 256 bits. Además, los cifrados modernos como el estándar de cifrado avanzado (AES, por sus siglas en inglés), se consideran prácticamente irrompibles.
La implementación de la criptografía en el interior de las empresas es importante porque facilita los siguientes controles de seguridad:
Confidencialidad. Se garantiza la confidencialidad al cifrar los mensajes mediante un algoritmo con una clave solo conocida por el remitente y el destinatario. El ejemplo más famoso es la aplicación de mensajería WhatsApp, que cifra todas las conversaciones para evitar que sean pirateadas o interceptadas.
Autenticación. Estos sistemas y técnicas incluyen mecanismos que permiten al destinatario cerciorarse de que la información recibida es auténtica y que fue enviada por una persona de confianza.
Integridad. La criptografía garantiza que la información almacenada o en tránsito entre el remitente y el destinatario no sufra ninguna alteración. Las firmas digitales, por ejemplo, detectan falsificaciones en la distribución de software y durante las transacciones financieras.
No repudio. Los mensajes desencriptados y procesados por el destinatario evitan que el remitente luego intente negar sus intenciones cuando generó y transmitió esta información. El caso más notorio son las firmas digitales, pues garantizan que los mensajes, contratos o documentos elaborados no sean fraudulentos.
Existen muchas herramientas y técnicas de encriptación disponibles para las empresas. Algunas de las más esenciales son:
Criptografía de clave secreta. También conocida como cifrado simétrico, emplea una sola clave para cifrar y descifrar el mensaje.
Criptografía de clave pública. También llamada criptografía asimétrica, usa funciones matemáticas para generar códigos difíciles de descifrar que garanticen una comunicación segura a través de un canal no tan seguro.
Algoritmo de cifrado de flujo. Funcionan en un solo byte y modifican de manera constante la clave mediante mecanismos de retroalimentación.
Algoritmo de cifrado de bloques. Consiste en el cifrado de un solo bloque de datos, sin formato, y de tamaño fijo a la vez.
Función hash. Se toma una clave y se le asigna un valor específico, denominado hash. El destinatario del mensaje empleará este mismo valor para descifrarlo.
Si una empresa quiere implementar alguna de estas herramientas, uno de los factores más relevantes a considerar es el alcance, es decir, qué tipos de datos se desea proteger. Aquí podemos definir las famosas joyas de la corona, que son los datos más críticos para la empresa. ¿Has empleado alguno de estos sistemas o mecanismos en tu organización? Cuéntanos tu experiencia.
Referencia
Gianncarlo Gustavo Gómez Morales
Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.
El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?
La auditoría de ciberseguridad revisa las políticas de una empresa para enfrentar ciberataques. ¡Conoce las mejores prácticas aquí!