Para quienes se dedican a la seguridad, conversar con otra gente acerca de estos temas muchas veces es parte del oficio. Y aunque estas conversaciones suelen terminar teniendo una longitud que excede el interés real de ambas partes, a menudo pueden ofrecer una visión sensata sobre las prácticas de seguridad y los procesos de pensamiento de los usuarios reales.
Algo que aprendí con estas charlas es que, quizás más que cualquier otro tema de seguridad, lo que parece confundir a mucha gente es el cifrado. Por lo tanto, vamos a explicar brevemente lo que es y para qué sirve.
Lo que no es el cifrado: una poción mágica de seguridad
La mayoría parece pensar que es algo complicado que solo una raza superior de genios matemáticos puede entender por completo
La mayoría de la gente con la que hablo, incluso los que conocen el tema y utilizan el cifrado con regularidad, parece pensar que es algo infinitamente complicado que solo una raza superior de genios matemáticos puede llegar a entender por completo. Y aunque sin duda es una verdadera hazaña crear algoritmos realmente impenetrables, hay una gran cantidad de tipos simples de cifrado que seguro tú mismo alguna vez aplicaste sin siquiera saberlo.
Para explicarlo con palabras sencillas, es el proceso mediante el cual se codifica algo de modo que no resulte fácil de entender para quienes no tienen acceso autorizado.
Observa la palabra "fácil" en esta oración: muchas personas parecen ver el cifrado como una especie de poción mágica de seguridad que automática e inequívocamente hace que nadie pueda ver el contenido, aparte de los usuarios autorizados. Hay una amplia variedad, y muchos tipos son bastante fáciles de descifrar.
Cuando el cifrado es un juego de niños
La mayoría de los niños en algún momento juega con alguna forma muy simple de cifrado: si alguna vez usaste uno de esos anillos secretos de decodificación que venían como premio en las cajas de cereales, o resolviste un criptograma, estabas jugando con esta técnica. Los anillos de decodificación emplean uno de los métodos más simples, también llamado cifrado por rotación o desplazamiento; consiste en rotar o desplazar el alfabeto algunas letras para obtener el código de descifrado.
Según Suetonio, el emperador romano Julio César a veces lo utilizaba de manera que cada letra sin cifrar se desplaza tres letras más adelante; esto es lo que se conoce como cifrado César.
Texto sin formato | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
Texto cifrado | DEFGHIJKLMNOPQRSTUVWXYZABC |
Este es el cifrado César clásico, una "ensalada" César de palabras.
Otro de los cifrados de desplazamiento más populares se conoce como ROT13, que proviene de "rotar 13 lugares".
Texto sin formato | ABCDEFGHIJKLMNOPQRSTUVWXYZ |
Texto cifrado | NOPQRSTUVWXYZABCDEFGHIJKLM |
Como se puede ver, este método desplaza el alfabeto a la mitad, es decir que la misma acción que se utiliza para codificar el mensaje también se puede volver a utilizar para decodificarlo. No es mucho más simple ni más inseguro; en ciertos círculos incluso se utiliza con tanta frecuencia que algunas personas puedan leerlo casi tan fluidamente como el texto sin formato.
Los criptogramas son juegos para decodificar una frase mediante la sustitución de una letra fija por otra. Esto también es bastante sencillo de descifrar, de lo contrario el juego deja de ser divertido. Dado que las letras se pueden utilizar en cualquier orden, no sólo en orden alfabético, su decodificación resulta un poco más compleja que un sistema de cifrado por desplazamiento.
Si alguna vez tuviste un diario secreto de niño, también es posible que hayas creado tu propio sistema. En mi diario de infancia, hice un cifrado utilizando símbolos sin sentido como sustitutos de las letras, de modo que pudiera escribir libremente sin preocuparme por los intrusos (aunque también había escrito la clave en la solapa frontal de ese mismo diario...).
Estos son métodos muy sencillos de cifrado que también son fáciles de deshacer (¡especialmente si dejas la clave a la vista como hice yo!). Pero también hay otros tipos de cifrado que son efectivamente imposibles de deshacer con la capacidad de cálculo limitada de los equipos actuales. Sin embargo, la mayoría son como los que utilizas a diario: se encuentran en algún punto entre estos dos extremos en términos de complejidad, son muy difíciles de descifrar para cualquiera que no sea el adversario más decidido, pero no son tan exhaustivos como para que el proceso lleve toda una vida.
¿Cuándo se utiliza el cifrado?
En términos generales, hay dos circunstancias en las que deberías usar el cifrado: cuando los datos están "en tránsito" o cuando están "en reposo". "En tránsito", en este contexto, es cuando envías información a través de Internet, por correo electrónico, o cuando necesitas almacenarla en otro lugar que no sea tu propio dispositivo. Los datos se consideran "en reposo" cuando se encuentran almacenados en tu dispositivo, ya sea en una parte integrada como un disco rígido, o en un medio extraíble, como una unidad USB.
Al cifrar los datos en tránsito, esencialmente estás haciéndolo para tratar de disuadir a las personas que intentan escuchar tu conversación. Una de las formas más comunes es el cifrado del tráfico de red. Una gran cantidad de sitios web, en particular los sitios financieros, de redes sociales y de correo electrónico, ahora lo utilizan por defecto.
No hay que hacer nada especial para usarlo. Cada vez que ves un ícono de un pequeño candado en la parte superior a la izquierda del nombre de la página, o si usas una dirección web que comienza con HTTPS (en lugar de HTTP), significa que se están cifrando tus datos. La S de HTTPS significa "seguro", es decir que tus datos están cifrados, lo que aumenta la seguridad de su transmisión entre tu equipo y ese sitio web en particular.
Todos los principales sistemas operativos, así como muchas aplicaciones de software populares, te dan la opción de cifrar los archivos o las carpetas de tu dispositivo. Si usas esta opción, deberás elegir una contraseña que te permita (a ti y a cualquier otra persona con la que compartas la contraseña) desbloquear y descifrar esos archivos.
Datos en uso
El cifrado es excelente para resguardar los datos almacenados o en tránsito, pero hay otra situación que se torna un poco polémica: cuando el documento cifrado está en uso. Es decir, cuando ya abriste ese documento protegido y lo estás mirando o editando. Esto incluye cualquier momento en el que el archivo cifrado está abierto, incluso cuando está minimizado o aunque su vista esté cubierta por otra ventana.
Desbloquear el archivo significa que fue descifrado en la memoria del dispositivo. Si, por ejemplo, alguien usó un backdoor para abrir una puerta trasera en el equipo, podría acceder a esos datos, siempre y cuando sigan desbloqueados. Esto no quiere decir que el cifrado deje de ser efectivo: de hecho, el uso extensivo del cifrado limita en gran medida la cantidad de daño que un atacante puede hacer y además reduce la ventana de tiempo en la que el atacante tiene acceso a tus datos descifrados.
Es por eso que a menudo nos escucharás decir que lo mejor son las defensas en varias capas: de esa forma, una tecnología ayuda a reforzar la eficacia de la otra, ya que cada una restringe las oportunidades que tiene el atacante para robar datos.
Sigue leyendo: Preguntas y respuestas sobre el cifrado de la información personal