Una descripción de la encriptación: cómo, por qué y cuándo de la criptografía

La lista de sitios que almacenan su contraseña sin cifrar es asombrosa. La violación de datos de Ashley Madison de la memoria reciente es un excelente ejemplo de mal manejo de información confidencial, donde más de 300 GB de datos de usuario se vieron comprometidos en texto sin formato. Tampoco es el único ejemplo, con sitios como Britannica recientemente acusados ​​de almacenamiento de contraseña de texto sin formato.


En esta guía sobre encriptación, vamos a abordar por qué la información confidencial necesita ser encriptada en tránsito y almacenada para que pueda protegerse contra las malas prácticas de seguridad. Le daremos una definición básica de encriptación, repasaremos las diferentes formas en que ocurre y también le daremos algunos usos..

Esperamos que al final de esta guía comprenda la necesidad de cifrar los datos confidenciales y las aplicaciones del mundo real. Si bien la criptografía es un tema denso y complejo, hemos tratado de hacerlo lo más simple posible para el propósito de esta guía.

¿Qué es el cifrado??

El cifrado es un concepto simple de comprender. Esencialmente, es una forma de codificar una información para que solo el destinatario pueda acceder a ella. La información se codifica utilizando un cifrado, como AES, y se comparte una clave entre las partes que permite al destinatario descifrarla..

El cifrado convierte el texto sin formato en texto cifrado, lo que hace que la información sea ilegible. Para garantizar que solo el destinatario previsto pueda descifrar esos datos, se comparte una clave de cifrado que permite que dos máquinas acuerden que el origen y el destino de los datos son los deseados. Hablaremos más sobre las claves de cifrado en la siguiente sección..

La criptografía, el término más amplio para pasar información de forma segura, no es nueva. Los antiguos griegos a menudo usaban cifras para codificar los mensajes, generalmente reorganizando las letras de cada palabra o aplicando una regla simple. El cifrado Ceaser es un buen ejemplo. Los mismos métodos se aplican al cifrado digital, pero los cifrados son más complejos..

En el mundo digital, el cifrado se utiliza como un medio para proteger la información personal, como las contraseñas y el tráfico de Internet, como veremos en una sección posterior. Si tiene una cuenta en línea en cualquier lugar, es probable que su información esté encriptada. Si bien no ha participado activamente en el proceso, aún ha recibido el beneficio.

El cifrado protege contra la intercepción y el robo de sus datos. Los datos codificados solo se pueden descifrar con la clave de cifrado, a la que el atacante no debería tener acceso. Hay dos tipos principales de encriptación que tienen diferentes funciones..

Tipos de cifrado

Hay más de una forma de cifrar texto plano: el límite parece ser la imaginación humana. Echemos un vistazo a algunos de los tipos más comunes..

Clave privada / cifrado simétrico

El cifrado simétrico usa la misma clave para cifrar y descifrar los datos. Eso significa que la clave de cifrado se comparte entre las partes antes de que los datos se cifren o descifren. El cifrado simétrico sería como tener una caja fuerte donde almacenar sus datos. Usted y cualquier otra persona que pueda acceder a esos datos necesitarán la combinación para abrir la caja fuerte..

Cifrado simétrico

Este cifrado se utiliza principalmente para proteger los datos en reposo. Un buen ejemplo de esto es el almacenamiento en la nube, donde el cifrado ocurre mientras los datos aún están almacenados, y solo se descifra cuando un usuario autorizado accede a él.

El proceso básico funciona así: un usuario solicita acceso a datos cifrados. El contenedor de almacenamiento devuelve una clave de cifrado al administrador de claves. El administrador de claves verifica la legitimidad de cada parte y luego abre una conexión segura entre ellas..

Ahora que se abre la conexión segura, la clave de cifrado se comparte entre las partes. Una vez hecho esto, la información cifrada se descifra y se envía como texto sin formato a la parte solicitante..

Hay muchos pasos cuando se trata de cifrado simétrico, lo que lo hace más aplicable a los datos en reposo. El cifrado asimétrico es mejor para los datos en movimiento, ya que permite a los usuarios cifrar activamente paquetes de datos sin compartir una clave entre ellos..

Clave pública / cifrado asimétrico

El cifrado asimétrico se basa en un par de claves pública / privada en lugar de una clave privada compartida entre las partes. Comienza con el cifrado de sus datos, que utiliza una clave pública. Como su nombre lo indica, la clave pública se pone a disposición de cualquier persona que la necesite..

Cifrado asimétrico

Este tipo de encriptación se usa para datos en movimiento. Un ejemplo sería conectarse a Internet a través de una red privada virtual, como veremos en una sección posterior. Se utiliza una clave de sesión simétrica para cifrar los datos, y luego se utiliza una clave pública para cifrar la clave simétrica. Una vez que se reciben los datos cifrados, la clave privada se utiliza para descifrar la clave que luego se utiliza para convertir el texto cifrado.

Primero, el remitente y el destinatario verifican los certificados del otro. El remitente solicita la clave pública del destinatario, que luego se comparte. Una clave simétrica efímera, que solo se usa para una sesión, cifra el texto sin formato en texto cifrado.

Luego, la clave pública cifra la clave simétrica.

Los datos cifrados se envían al destinatario. La clave simétrica se descifra utilizando la clave privada que coincide con la clave pública compartida con el remitente. Ahora que el destinatario puede ver la clave simétrica, puede convertir el texto cifrado de nuevo a texto sin formato.

Todavía hay una clave simétrica, pero no es necesario compartirla entre las partes antes de que se realice el cifrado. Los datos se cifran con una clave simétrica no compartida, y esa clave se cifra utilizando el par de claves pública / privada.

Almacenar datos cifrados

Hay un defecto inherente con cualquier cifrado; está destinado a ser descifrado. Si un atacante tiene acceso a la clave de descifrado, su información se revela de inmediato. Almacenar contraseñas en un servidor, incluso en forma cifrada, no es seguro. Asumiendo que su contraseña y método de encriptación son débiles, se puede descifrar fácilmente (consulte nuestra guía sobre cómo crear una contraseña segura para evitar esto).

La intención del cifrado es el descifrado por la parte destinataria. Debido a eso, no es una práctica común o una buena práctica almacenar contraseñas cifradas en un servidor. No es necesario conocer el valor de los datos cifrados, por lo que no hay razón para permitir que dichos datos se almacenen. El cifrado es para tránsito, no para almacenamiento.

Ha golpeado

Un método más seguro es almacenar un hash de contraseña en un servidor. El hash es un proceso en el que se puede calcular un valor a partir del texto utilizando un algoritmo. Los hashes son mejores porque no se pueden invertir en ingeniería. Puede generar un hash a partir de una contraseña, pero no puede generar una contraseña a partir de un hash.

Hash de contraseña

Lamentablemente, esto no resuelve todos los problemas. Un atacante aún puede usar el hash para que la fuerza bruta ataque su contraseña. Si un atacante logra robar una tabla de valores hash de contraseñas, puede usar un ataque de diccionario para descubrir esas contraseñas a través de un proceso de prueba y error.

Una vez que el atacante descubre con qué algoritmo se cifraron las contraseñas, puede usar un software que generará posibles contraseñas usando palabras comunes en el diccionario. Las contraseñas candidatas se combinan mediante el algoritmo conocido y luego se comparan con las contraseñas de la tabla.

Si hay una coincidencia, el atacante ha descifrado con éxito su contraseña.

Es aún más fácil si está utilizando una contraseña común. Supongamos que hay una violación de datos y su hash de contraseña es robado. La contraseña que usó, por alguna razón terrible, es “contraseña123”. El hash MD5 de esa contraseña es 482C811DA5D5B4BC6D497FFA98491E38. Ese siempre será el hash de esa cadena de texto para ese algoritmo. No puedes aplicar ingeniería inversa a un hash, pero puedes usar ese hash para adivinar la contraseña. Sin embargo, esto todavía se considera más seguro para almacenar datos que no es necesario revelar. 482C811DA5D5B4BC6D497FFA98491E38 no puede pasar por el algoritmo para escupir “contraseña123” en el otro extremo.

Sal

Nuestro hacker teórico ha descubierto que 482C811DA5D5B4BC6D497FFA98491E38 es el hash para “contraseña123”. Peor aún, han encontrado 50 coincidencias con ese hash en la base de datos, lo que significa que 50 cuentas están comprometidas por el precio de una..

Ahí es donde entra la sal. Una sal son datos agregados a una contraseña antes de que se mezclen. No hay una regla establecida para lo que debería ser una sal; quienquiera que esté usando su contraseña puede determinar eso. Digamos, por ejemplo, que crea una cuenta y el sitio web que la creó con su contraseña antes de descifrarla..

Para esa cuenta, la sal es agregar un número aleatorio más su primera y última inicial a su contraseña, en función de la información de la cuenta que ingresó al registrarse. Ahora, “contraseña123” se convierte, por ejemplo, en “contraseña1239jr”.

La salazón no elimina el problema de los ataques de fuerza bruta, pero disminuye significativamente la posibilidad de que un ataque tenga éxito. Incluso los usuarios con contraseñas idénticas no tendrán el mismo resultado hash, lo que significa que el atacante tiene que descubrir no solo el algoritmo hash sino también el método de salazón.

Usos para el cifrado

El cifrado es importante, y lo ha sido durante siglos. En la era digital, esto no podría ser más cierto. Una sola pieza de datos confidenciales podría exponerlo al delito cibernético, incluido el robo de identidad y el fraude. Existen muchos usos para el cifrado que pueden proteger sus cuentas en línea, archivos confidenciales y tráfico de Internet..

Asegurando sus contraseñas

Las contraseñas son los datos más importantes que desea cifrar, teniendo en cuenta que a menudo es la clave que desbloquea innumerables otros datos sobre usted. Un administrador de contraseñas le permite usar una contraseña segura y única en cada una de sus cuentas en línea, lo que aumenta exponencialmente su seguridad.

tablero de instrumentos de identidad del tablero

Como discutimos en la sección de hashing anterior, se puede revelar un hash de contraseña a través de un ataque de fuerza bruta. Sin embargo, estos ataques se aprovechan de contraseñas débiles, no fuertes. Un ataque similar, mientras es capaz de descubrir “contraseña123”, tendría dificultades para generar “ZTG $ iS% 8a2zF” como contraseña candidata.

El ejemplo anterior se generó con la extensión del navegador LastPass. Puede generar una contraseña de 12 caracteres, como con nuestro ejemplo anterior, pero también cualquier combinación de hasta 99 caracteres. También es el mejor administrador de contraseñas gratuito del mercado, sobre el que puede leer en nuestra revisión de LastPass.

Los administradores de contraseñas almacenan datos de contraseña en una bóveda encriptada a la que solo usted tiene acceso. Esa bóveda está protegida con una contraseña maestra de la que solo usted tiene conocimiento. Los mejores administradores de contraseñas también tienen medidas de seguridad para proteger su contraseña maestra.

Dashlane, por ejemplo, utiliza un modelo de conocimiento cero, lo que significa que ni su contraseña maestra ni ninguno de sus valores hash se almacenan. Su contraseña maestra se cifra con AES-256 en su dispositivo local después de la salazón y se envía a través de 200,000 rondas de hash SHA2.

Como el hashing es una calle de un solo sentido, esto hace que su contraseña maestra sea mucho más difícil de descifrar. Una contraseña maestra alfanumérica de al menos ocho caracteres tardaría aproximadamente 45,000 años en descifrar usando el hash SHA2. Si usa el algoritmo de hash Argon2 más moderno, que ofrece Dashlane, tomaría solo siete millones de años.

Dashlane también tiene mucho que ofrecer fuera de la seguridad, incluido un sólido conjunto de funciones y una interfaz fácil de usar. Puede obtener más información al respecto en nuestra revisión de Dashlane.

Ocultar su tráfico de Internet

La mayoría del tráfico de Internet está encriptado. Si aterriza en un sitio que tiene un certificado SSL, se está conectando a ese sitio a través de una conexión cifrada. Sin embargo, está encriptado del mundo exterior, no de su ISP. Además, esta forma de encriptación tiene vulnerabilidades conocidas que pueden llevarse a cabo fácilmente, como puede leer en nuestra guía SSL vs. TLS.

Ahí es donde entra una red privada virtual. Además de ocultar su dirección IP y anonimizar su tráfico, una VPN también cifrará su conexión a Internet. Eso significa que su ISP, o cualquier persona que pueda romper su túnel seguro, no podrá detectar lo que está haciendo en línea.

ExpressVPN-Speed-Test

Esto tiene ventajas para la seguridad, como la ocultación de datos personales que está transfiriendo a través de Internet, pero también para la privacidad. Su ISP no podrá espiar lo que está haciendo, ya sea descargando un par de películas o de otra manera (lo que debe hacer con nuestra mejor VPN para torrents).

Los mejores proveedores de VPN también usan métodos de primer nivel. ExpressVPN, por ejemplo, cifra su tráfico con AES-256 con el protocolo OpenVPN. Puede obtener más información sobre los protocolos en nuestra guía de seguridad de VPN y sobre ExpressVPN en nuestra revisión de ExpressVPN.

Si no le interesa ese servicio, NordVPN (lea nuestra revisión de NordVPN) es una excelente alternativa. Es una de las mejores opciones en nuestras revisiones de VPN.

Almacenar sus datos

Como señalamos en nuestra guía sobre cómo cifrar sus datos para el almacenamiento en la nube, el cifrado administrado en la nube causa algunos problemas. En particular, los servicios que cifran sus datos en sus servidores también administran la clave de cifrado, lo que lo hace más vulnerable de lo que necesita ser.

Enlace de archivo compartido de Sync.com

Ahí es donde entra en juego el almacenamiento en la nube de conocimiento cero. Al igual que con los administradores de contraseñas que usan este modelo, su contraseña, cifrada o no, no se almacena en los servidores del proveedor. En la mayoría de los casos, también administra la clave de cifrado, lo que significa que si una agencia gubernamental llamara, todo lo que el proveedor podría darles es un paquete de texto cifrado.

El conocimiento cero no significa inherentemente más seguro; la seguridad del almacenamiento en la nube es más complicada que eso. Sin embargo, los mejores servicios en la nube de conocimiento cero son una apuesta segura, especialmente porque muchos de ellos comparten un lugar en nuestra guía de almacenamiento seguro en la nube.

El ganador de ambas guías, así como nuestra comparación de proveedores de almacenamiento en la nube, es Sync.com. Obtuvo una calificación de 100 por ciento en seguridad en nuestra revisión de Sync.com por su modelo de conocimiento cero y cifrado AES-256 de primer nivel.

Hay algunos otros proveedores que tienen excelentes puntajes de seguridad, como pCloud, como puede leer en nuestra revisión de pCloud. Si desea comparar precios, los mejores proveedores en nuestras revisiones de almacenamiento en la nube son un buen lugar para comenzar.

Pensamientos finales

El cifrado es parte del uso de internet. Su información confidencial es necesaria para realizar operaciones bancarias, acceder a registros médicos e incluso comprar en línea. Esperamos que esta guía le haya dado una mejor comprensión de cómo se manejan sus datos para que pueda tomar una decisión informada sobre las organizaciones que deja mantener..

Siempre que se maneje adecuadamente, el cifrado es una de las mejores cosas para la seguridad cibernética. Los administradores de contraseñas, las VPN y los proveedores de almacenamiento seguro en la nube aseguran que esté protegido contra el almacenamiento apresurado de contraseñas, los ISP progresivos y los datos no seguros.

¿Te sientes más seguro en el cifrado? Háganos saber en los comentarios a continuación y, como siempre, gracias por leer.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map