La criptografía ha sido durante mucho tiempo una herramienta vital para los estados y las empresas, que buscan transmitir información sin traicionar su contenido a observadores externos. Pero ahora, se está generalizando, con el cifrado de correo electrónico, las redes privadas virtuales, los administradores de contraseñas y muchas otras herramientas de privacidad que se están convirtiendo en una parte vibrante del panorama de TI.
Si deseas mejorar tu seguridad personal en línea, o estás buscando herramientas de privacidad en una capacidad profesional, agregar criptografía es una excelente manera de disuadirlos. A los ciberatacantes y fisgones de hoy en día les encanta aprovecharse de conexiones y cuentas poco seguras.
Sin embargo, la criptografía no es sinónimo de inmunidad total, cualquier sistema de cifrado tiene vulnerabilidades. En este artículo, veremos algunas de las debilidades más importantes, ayudándote a encontrar herramientas que sean lo más fuertes posible. Pero antes una introducción rápida a la criptografía.
¿Qué es la criptografía? Lo más básico
Fundamentalmente, la criptografía es el estudio de códigos y encriptación (del latín «crypto», que significa «oculto»).
En el mundo moderno, esto generalmente significa usar formas de codificación digital para convertir documentos legibles en datos codificados, lo que no tiene sentido para los observadores externos. Pero cuando llega a su destino, estos datos se pueden decodificar de forma segura, lo que garantiza una transmisión de información segura.
Existen varias formas de codificar datos, siendo los más comunes los sistemas simétricos o basados en claves públicas.
En el cifrado simétrico, la misma «clave» se usa para codificar datos en ambos extremos de una transmisión. En la clave pública (o encriptación «asimétrica«), el remitente y el destinatario de los datos tienen claves privadas, pero se debe enviar una clave pública con datos para que se realice el descifrado.
Si el cifrado simétrico utiliza una sola operación, el cifrado de clave pública es una versión «doble», que agrega protección adicional. Esto hace que los sistemas asimétricos como PGP (Pretty Good Privacy) sean una opción de acceso para la mayoría de las herramientas de cifrado del consumidor.
Ahora que tenemos esos elementos básicos, vamos a ver algunas vulnerabilidades importantes que afectan a diversas formas de criptografía y qué tan graves pueden ser.
Cuatro vulnerabilidades criptográficas clave que los usuarios deben tener en cuenta
1- Tamaño de las claves
La longitud de las claves públicas y privadas puede ser un determinante importante de cuán fáciles son de descifrar (o «fuerza bruta»). Con teclas más cortas, obviamente hay menos combinaciones posibles, lo que significa que se requiere menos potencia informática para adivinar el resultado correcto.
Debido a esto, las longitudes de las claves han tendido a aumentar en los últimos años, con claves de 256 bits que ahora representan el estándar de oro. Sin embargo, las claves de 128 bits todavía se usan comúnmente y tienden a considerarse seguras. Cualquier cosa por debajo de ese nivel es simplemente insuficiente en el contexto de seguridad actual y es relativamente fácil de descifrar.
2- Vida de las claves
La duración del uso de las claves públicas y privadas también puede ser un factor importante en las vulnerabilidades de la criptografía. Al igual que la longitud de la clave, las razones para esto son bastante claras. Cuanto más tiempo se use una clave para encriptar datos, más tiempo tendrán los atacantes para decodificarlos y explotarlos. Es por eso que las buenas VPN y los servicios de cifrado de correo electrónico actualizan sus claves regularmente.
Cambiar las claves tiene un costo para aquellos que desean cifrar datos confidenciales, y la vida de las claves de unos pocos meses son comunes en poco tiempo en las bases de datos comerciales. A pesar de esto, una buena regla a seguir es que a medida que aumenta la sensibilidad de la información, la longitud de la clave debería disminuir, minimizando la posibilidad de que sus datos se abran.
4- Seguridad de clave pública
En nuestra definición rápida de los diversos tipos de cifrado, notamos que el cifrado asimétrico requiere el uso de una «clave pública», que se proporciona a ambos usuarios, y complementa sus claves privadas. Esto se suma a la seguridad del proceso de cifrado, pero también presenta una nueva vulnerabilidad: la transmisión de clave pública.
Si los servidores corporativos centrales u otros terceros proporcionan claves públicas, están potencialmente expuestas cuando se transmiten al remitente de la información cifrada. Y el proceso real de generación de clave pública también podría quedar expuesto si se lleva a cabo en sistemas no seguros. Esto hace que sea aconsejable agregar protección VPN sobre los sistemas de transmisión encriptados.
4- Seguridad de clave privada
Las claves privadas también son potencialmente vulnerables al robo, no solo al pirateo de la fuerza bruta. De hecho, cuando se producen fugas de datos de servidores encriptados, la falla a menudo radica en la traición de una clave privada, lo que permite a los atacantes maliciosos acceder a bases de datos restringidas.
Gran parte del tiempo, la solución a esta vulnerabilidad radica en la gestión y la capacitación. Las claves privadas deben limitarse solo a los usuarios autorizados, y esos usuarios deben tomar medidas para proteger sus dispositivos, agregando otro conjunto de defensas contra los intentos de piratería.
Las medidas técnicas también pueden reducir el riesgo de robo de clave privada. Por ejemplo, los escáneres de malware pueden contrarrestar los troyanos diseñados para robar las claves privadas de los certificados digitales. Si esto sucede, los atacantes pueden hacerse pasar por actores digitales legítimos, un método que permitió que el virus StuxNet se propagara de manera tan efectiva.
Esas debilidades se aplican a casi todos los sistemas de cifrado estándar, pero ¿qué tan malos pueden ser y qué pueden hacer los atacantes con un cifrado mal calibrado? Concluyamos observando los métodos utilizados por los ciberatacantes y cómo se relacionan con las debilidades que ya hemos analizado.
Cómo aprovechan los ciber-atacantes la mala seguridad de la criptografía
Los ataques más comunes y más crudos son los ataques de «fuerza bruta«. Como ya hemos mencionado, estos ataques implican tratar de usar tantas permutaciones como sea posible para adivinar cifras. Eventualmente, y esto es inevitable para los sistemas de cifrado simétrico, los atacantes encontrarán una coincidencia que les permitirá anular la criptografía y obtener acceso a datos confidenciales.
Los ataques de fuerza bruta pueden funcionar contra cifrados primitivos (por debajo de 128 bits). Cuando no tienen éxito, los atacantes pueden usar el «análisis de frecuencia». Esto busca analizar flujos de datos cifrados y descifrar temas comunes, que pueden conectarse a tablas de cifrado. Esto requiere inteligencia artificial compleja y mucha potencia informática, pero puede tener éxito si se le da suficiente tiempo y habilidad.
Sin embargo, los ataques de criptografía más exitosos no dependen en absoluto de una informática sofisticada. Apuntan al punto más débil de cualquier sistema encriptado: las personas que lo usan.
La mala seguridad de la clave privada puede conducir a la exposición de bases de datos de clientes corporativos completos. El uso de redes no seguras para enviar claves públicas puede volver obsoletos los sistemas asimétricos. Y a veces, el cifrado se usa de manera desigual o imprudente, con personas no autorizadas que obtienen acceso a información confidencial.
En el futuro, el cifrado AES de 256 bits se verá comprometido y descifrado, y pasaremos a cifrados más complejos. Los ingenieros lucharán para protegerse y descifrar el cifrado. Pero si bien las personas siguen siendo las mismas, siempre habrá vulnerabilidades, y la necesidad de ser proactivos para abordarlas.
Aurtor Olivia Scott, Marketing Manager VPNpro.com