PDF de programación - OUCH 2014 - Cifrado

OUCH! | Agosto 2014

En esta edición...
• ¿Qué es el cifrado?
• Cifrado en reposo
• Cifrado en movimiento

Cifrado

¿Qué es el cifrado?
Es posible que hayas escuchado el término “cifrado”
y cómo debes utilizarlo para protegerte y proteger
tu información. Sin embargo, el concepto de cifrado
puede parecer confuso y es necesario aclarar que
no te protege de todo, tiene sus limitaciones. En este
boletín explicamos en términos muy sencillos lo que es
el cifrado, por qué debes utilizarlo y cómo implementarlo
correctamente.

Editor Invitado
(@CCrowMontance;
Christopher Crowley
+ChrisCrowley) es un consultor que reside
en Washington, DC. Es el instructor principal
del curso Seguridad en Dispositivos Móviles
del Instituto SANS y Hacking Ético (SEC575),
además es autor del curso Gestión de Equipo de
Respuesta a Incidentes (MGT535).

Generalmente tenemos una gran cantidad de información sensible en nuestros dispositivos, como documentos
financieros, imágenes, correo electrónico o registros médicos. Si alguno de estos dispositivos es robado o se llegara
a extraviar, quien tenga posesión del equipo puede acceder a toda esa información sensible. Además, es posible
realizar transacciones sensibles en línea, tales como compras o banca electrónica. Si un atacante cibernético llegara
a supervisar tus actividades en línea, podría robar toda tu información personal, como tu cuenta financiera o números
de tarjetas de crédito. El cifrado te protege en estas situaciones asegurando que personas no autorizadas no puedan
modificar tu información o acceder a ella.

Cuando la información no se encuentra cifrada, se le llama texto claro. Esto significa que cualquiera puede leerla
fácilmente o acceder a ella. El cifrado convierte esta información a un formato no legible llamado texto cifrado.
El cifrado funciona mediante el uso de operaciones matemáticas complejas y una llave única para convertir la
información en texto cifrado. La llave es la que bloquea o desbloquea la información, al igual que una llave puede
bloquear o desbloquear una puerta. Un ejemplo común de una llave es una contraseña, sólo las personas que tienen
esa contraseña pueden descifrar y acceder a dicha información. Para proteger tu información cifrada necesitas
proteger tu llave. En general el cifrado trabaja de dos formas, puedes cifrar los datos en reposo (por ejemplo, los
datos almacenados en tu computadora portátil) y en movimiento (por ejemplo, la transmisión de información en línea).

Cifrado en reposo
El objetivo principal de cifrar información en tu equipo es protegerla en caso de robo o pérdida del dispositivo
que la almacena. Hace 15 años esto no era un problema, ya que la mayoría de las computadoras eran grandes

tremenda de

la

débil como tu llave lo sea.

equipos estorbosos y difíciles de mover. Hoy muchas
computadoras portátiles pesan sólo algunos kilos y los
dispositivos móviles algunos gramos. Estos dispositivos
son extremadamente poderosos y almacenan una
cantidad
información, sin embargo
son muy fáciles de perder. Otros dispositivos como
las memorias flash o los discos compactos pueden
almacenar información sensible. Una técnica común
para cifrar
información almacenada en estos
dispositivos es el cifrado de disco completo. Esto
quiere decir que toda la información almacenada en
el sistema es cifrada automáticamente, no decides
que se cifra y que no. Actualmente, la mayoría de los
sistemas operativos cuentan con herramientas para el
cifrado de disco completo, sólo basta habilitarlas. Por
ejemplo, Mac OS X incluye FileVault, mientras que
algunas versiones de Windows incluyen Bitlocker. Si
tu computadora soporta el cifrado de disco completo
te recomendamos ampliamente que lo habilites. La
mayoría de los teléfonos inteligentes soportan cifrado
de disco completo para sus dispositivos de almacenamiento internos. Por ejemplo, iOS, el sistema operativo para
iPhone y iPad, implementa automáticamente el cifrado de disco completo una vez que se establece una contraseña.
Para saber si tu computadora o dispositivo móvil del trabajo soporta este cifrado pregunta al equipo de soporte o
a tu supervisor. Para tus computadoras personales, contacta al fabricante de tu equipo o revisa la documentación
disponible en Internet.

asegurar tu información pero es tan fuerte o

El cifrado es una poderosa manera de

Cifrado en movimiento
La información también es vulnerable cuando está en movimiento. Si los datos no están cifrados pueden ser capturados
o monitorizados. Por esto debes asegurarte de que cualquier comunicación sensible, como el uso de banca en línea,
el envío de correos y el acceso a redes sociales esté cifrada. La forma más común de cifrado en línea es HTTPS.
Esto significa que todo el tráfico entre tu navegador y el sitio web está cifrado. Revisa que en la URL aparezca https://,
que el navegador muestre un candado o que la barra de la URL se vuelva verde. Estos son signos que indican
que la comunicación está cifrada. Dependiendo del navegador que uses y del sitio web que visites podrías ver los
tres signos al mismo tiempo. Adicionalmente, siempre que te conectes a una red Wi-Fi pública, asegúrate de usar
comunicaciones cifradas tanto como sea posible. Finalmente, tu cliente de correo debe estar configurado para enviar
y recibir mensajes por un canal cifrado. La mayoría de los clientes de correo ofrecen opciones de cifrado, además tu
proveedor de servicio de Internet podría ayudarte a habilitar el cifrado en tu cliente de correo.

CifradoOUCH! | Agosto 2014 Implementar el cifrado adecuadamente
Sin importar qué tipo de cifrado utilices o cómo lo usas, la mayoría de los métodos de cifrado comparten ciertos pasos
para usarlos adecuadamente.

• Tu cifrado es tan fuerte como tu llave. Si alguien adivina o compromete tu llave tendrá acceso a tu información.

Tienes que proteger tu llave.

• Si utilizas un código o contraseña como llave, asegúrate de que sea larga y segura y no la pierdas u olvides.

Si la olvidas no podrás acceder a tu propia información.

• Tu cifrado es tan fuerte como la seguridad en tu computadora. Si tu computadora ha sido comprometida o
está infectada, un atacante podría evadir el cifrado. Así que procura mantener segura tu computadora y tus
dispositivos móviles.

Conoce más
Suscríbete al boletín mensual de conciencia sobre seguridad OUCH!, consulta los archivos OUCH! y aprende más
acerca de las soluciones de seguridad SANS visitando: http://www.securingthehuman.org

Versión en español
UNAM-CERT, Equipo de Respuesta a Incidentes de Seguridad de la Información en México reconocido ante FIRST,
es una referencia en la materia en este país.
Sitio web: http://www.seguridad.unam.mx
Síguelo en Twitter @unamcert

Recursos
Mac OS X Filevault: http://support.apple.com/kb/HT4790?viewlocale=es_ES
Cifrado en iOS: http://support.apple.com/kb/HT4175?viewlocale=es_ES
Cifrado en Android: http://www.elandroidelibre.com/2013/10/como-cifrar-los-datos-de-tu-android-para-que-nadie-acceda-a-ellos.html
Cifrado en Windows: http://windows.microsoft.com/es-es/windows/protect-files-bitlocker-drive-encryption
Seguridad de tu equipo: http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201212_sp.pdf
Gestores de contraseñas:http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201310_sp.pdf

OUCH! es publicado por SANS Securing The Human y distribuido bajo licencia de Creative Commons BY-NC-ND 3.0.
Puedes distribuir este boletín o utilizarlo en tu programa de sensibilización de seguridad siempre y cuando no se modifique su contenido.
Para más información contáctanos en: [email protected]

Consejo editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis

Traducción al español por: Demian García y Félix Hernández

Nota para la edición en español: Los términos cifrado y descifrado son equivalentes al inglés encrypt y decrypt. En español suelen utilizarse

erróneamente las palabras encriptar y desencriptar que en nuestro idioma tienen significados ajenos a la seguridad de la información.

securingthehuman.org/blog

/securethehuman

@securethehuman

securingthehuman.org/gplus

CifradoOUCH! | Agosto 2014