Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

Cifrado de datos, ¿solución o problema para la seguridad?

12/12/2016 - David Marchal
Las amenazas cibernéticas están elevando la necesidad de mejorar la seguridad mediante cifrado, una técnica que además es obligatoria para adaptarse a la nueva normativa europea de protección de datos. Lo malo es que los ciberdelincuentes también la utilizan para sus ataques.

El 25 de mayo de 2018 comenzará a ser de obligatoria aplicación para todas las organizaciones españolas el nuevo Reglamento General de Protección de Datos (RGPD) de la UE. Eso supondrá para ellas asumir una serie de procedimientos, entre los que se encuentra el cifrado de la información. Exactamente, en su considerando 83 se indica que los mecanismos de cifrado son una medida que deben tener en cuenta los responsables de los tratamientos de datos para mitigar los riesgos a los que puedan verse expuestos los datos personales, o cuando se contempla la posibilidad del cifrado de los datos personales con relación a la seguridad de los tratamientos de esos datos.

En palabras de Carlos Ferro, director general de Symantec Iberia, "si las compañías quieren acatar completamente los requisitos del RGPD en 2018, deberían implementar todas alguna forma de cifrado, de manera que la información de sus clientes, y otros datos confidenciales, no puedan ser encontrados, leídos y explotados". Y añade: "Eso les evitaría una multa del 4 por ciento de sus ventas globales o de 20 millones de euros; depende de lo que sea mayor", afirma el directivo.

Esta circunstancia, además, aparece expuesta en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la cual establece una serie de obligaciones para el responsable del fichero, con el fin de adoptar las medidas técnicas y organizativas que garanticen la seguridad del tratamiento de los datos personales, entre las que destaca el cifrado de la información. 

Para Arturo Ribagorda, catedrático de la Universidad Carlos III, director del grupo de investigación COSEC (Computer Security Lab) y presidente de la Red de Excelencia Nacional de Investigación en Ciberseguridad (RENIC), están obligadas a utilizar el cifrado "todas aquellas empresas que tratan datos personales que exigen medidas de nivel alto". Además, apunta, el Real Decreto 1720/2007 también impone para el nivel básico un tratamiento de las contraseñas que garantice su confidencialidad e integridad, "lo que nuevamente conduce a las técnicas de cifrado", según el catedrático.Esta afirmación la refuerzan desde la Agencia Española de Protección de Datos (AEPD). En opinión de Andrés Calvo, miembro de la Unidad de Evaluación y Estudios Tecnológicos de este organismo, "siempre que exista un riesgo para la información deberían utilizarse mecanismos de cifrado, a fin de mitigar o paliar dichos riesgos, en especial cuando se trata de datos especialmente protegidos". En este sentido, Calvo pone sobre la mesa dos ejemplos muy claros. Uno es cuando los datos se transportan en dispositivos móviles, para evitar el riesgo de acceso no autorizado a la información por pérdida o robo del terminal; y dos, en los casos en los que los datos personales viajen por redes de terceros, como las de un proveedor de telecomunicaciones. Precisamente, si echamos mano del informe 2016 Global Encryption Trends Study, presentado recientemente por Thales e-Security, el cumplimiento normativo es uno de los factores principales por los que las empresas confían en las técnicas de cifrado. De hecho, el 61 por ciento de los consultados identifica este factor como el principal para desplegar esa estrategia. El siguiente en la escala, con un 50 por ciento, es la salvaguarda de la propiedad intelectual. Finalmente, entre los criterios menos importantes aparece uno que llama la atención por su posición: evitar la mala reputación que sobreviene tras una fuga de datos (8 por ciento).

Claro está que el uso extensivo varía considerablemente en función del sector que se analiza. Los más sometidos a regulaciones, como finanzas y salud, tienen tasas más altas de implantación; mientras que la fabricación y el consumo acaparan las más bajas. Con todo, establece este informe, la tendencia de los últimos cuatro años sugiere un incremento generalizado, con especial relevancia en la Administación pública, el comercio minorista y el sector de las TI.En cualquier caso, y según se encarga de recordar María Campos, directora de Intel Security para España y Portugal, "cifrar siempre es conveniente, aunque no haya ninguna ley que obligue a ello; ya que es de utilidad, pues refuerza la seguridad, genera confianza y evita situaciones comprometidas". De hecho, para Campos, esta tecnología "es la barrera defensiva definitiva", pues representa "el último obstáculo en caso de una intrusión", y "hace que sea muy difícil el acceso a la información protegida bajo el cifrado", puntualiza.

Ventajas importantes

Tanto es así que todos los expertos consultados reconocen los beneficios que estas técnicas pueden llegar a representar para las organizaciones. Sin ir más lejos, Raúl Núñez, ingeniero preventa especializado en Ciberseguridad y Network Defense de Trend Micro Iberia, manifiesta que la principal ventaja es "evitar que esos datos sean legibles fuera del dispositivo donde se cifraron", además de "garantizar la disponibilidad, la integridad y la confidencialidad de la información de la empresa", manifiesta.

Por su parte, David Sánchez, responsable de servicio técnico de Eset España, añade un matiz adicional: "Saber que los datos tienen una capa más de seguridad hoy en día es muy importante, ya que, en el caso de que la barrera de protección del acceso a los datos se rompa, si están cifrados, podemos evitar que su contenido sea público", argumenta. Y más importante es aún si esos datos tienen que salir de la empresa por correo electrónico o por un medio extraíble.

Queda camino por recorrer

A pesar de las ventajas que suponen estas tecnologías en términos de seguridad de la información y los condicionantes legales que existen, lo cierto es que la implantación de la técnicas de cifrado tiene que seguir progresando, porque, según Campos, de Intel Security, todavía hay muchas empresas que no cifran "por medio o desconocimiento". Claro que, eso sí, no se conoce el número exacto de compañías que echan mano de estas técnicas. "Es muy difícil obtener ese dato. Los que no tienen sistemas de cifrado no lo cuentan, y los que lo tienen no lo quieren decir… Tengamos en cuenta que esa información puede desvelar el estado de la seguridad y, tanto por ley como por prevención, no se desvela", reconoce Sánchez, de Eset.

Sin embargo, para el catedrático Arturo Ribagorda, su uso todavía no está muy extendido: "Exceptuando las comunicaciones cliente-servidor, en las que hay intercambio de información sensible, y fuera del uso obligado por las disposiciones legales comentadas, las técnicas de cifrado son aún escasamente empleadas, aunque en los últimos años se observa una creciente adopción de las mismas". 

Así, de hecho, lo confirma el estudio de Thales e-Security. Para el 37 por ciento de los encuestados, sus organizaciones disponen de planes de cifrado consistentes, y tan solo el 15 por ciento reconoce no tenerlos. Por comparación, diez años antes los porcentajes eran justo los inversos. Y lo mismo sucede en cuanto al gasto dedicado a la codificación de los datos, medido sobre el total del destinado a la seguridad de las TI, el cual ha pasado del 9 por ciento en 2005 al 18 por ciento en 2015, según este estudio. 

Ahora bien, no conviene cifrar los datos de cualquier manera, sino que ha de hacerse de la forma correcta. Esto, a juicio de Campos, de Intel Security, implica dos cosas. Por un lado, "que el sistema de cifrado que se va a emplear no esté comprometido, es decir, que no se conozca forma de romperlo"; y por otro, "que se cuente con un sistema de gestión de claves, en particular, y con un procedimiento de administración de material criptográfico, en general", afirma la directiva.

Así también se pone de manifiesto en el segundo Informe sobre la necesidad legal de cifrar información y datos personales, llevado a cabo por el despacho de abogados Abanlex, en colaboración con las empresas Securízame y Sophos. Según este documento, "cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una inmensa cantidad de empresas". Y agrega: "Únicamente son válidos los sistemas de cifrado que garantizan que la información no sea inteligible ni manipularle por terceros", asegura. 

Para acceder al reportaje completo pincha este enlace

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual