Blog de Internet Security Auditors

Blog de Internet Security Auditors: Cifrado de datos de carácter personal

Escrito por Internet Security Auditors | Apr 22, 2020 4:00:00 AM
En la Era de la información global compartida y en un mundo cada vez más digitalizado y conectado, el valor de los datos para una organización y para los propietarios de dichos datos es, actualmente, indiscutible.

Tecnologías como el Big Data, el Knowledge Discovery, el machine learning, el datamining y, la tendencia de la sociedad a la contratación, cada vez más frecuente, de servicios digitales, hace que exista una creciente necesidad de proteger la información adecuadamente, incluyendo, el crecimiento exponencial de datos de carácter personal en las redes y, además, es necesario para salvaguardar los derechos y libertades fundamentales de los individuos que los comparten con terceras empresas a cambio de algún bien y/o servicio. Uno de los instrumentos más importantes y con mayor potencial para la protección de datos es el cifrado.

Además, en numerosas ocasiones, la recogida de datos es de vital interés para la realización de estadísticas, investigaciones, análisis de datos de tráfico o geolocalización, blockchain, etc. En principio, para poder hacer uso de los datos de carácter personal para estas finalidades, se debería recoger el consentimiento explícito de los interesados, aunque en determinadas ocasiones, y la tendencia ante este tipo de tratamientos es utilizar técnicas de anonimización o seudonimización como pueden ser, el token o funciones hash; esto último, se tratará en un futuro artículo.

A continuación, se presentan los fundamentos e importancia de utilizar este tipo de técnicas para la protección de los datos de carácter personal.

Cifrado de datos de carácter personal

El uso de técnicas de cifrado o criptográficas o, simplemente, el uso del cifrado es un elemento básico y fundamental en la política de seguridad de la información de cualquier empresa, ya que ofrece altas garantías de la confidencialidad de los datos que protege y, además, reduce el riesgo asociado por llevar acabo un tratamiento de dichos datos.

Aunque en ocasiones, hablar de cifrado, pueda parecer bastante lejano y complejo, sobre todo para organizaciones cuya actividad principal se encuentra lejos de un ambiente puramente técnico y/o tecnológico, es muy importante asimilar su concepto y aprovechar las ventajas que proporciona a la hora de proteger los datos de carácter personal frente a accesos y manipulaciones no autorizadas, además de respaldar la seguridad de los valores de la empresa y otorgar confianza, en materia de seguridad, a los clientes. Muchas empresas no cifran por miedo o por desconocimiento pero, Cifrar no es complicado, el coste es asequible y, los beneficios y ventajas que ofrece son visibles desde el inicio. 

Entonces empecemos por el principio… ¿Qué es el cifrado de datos?

Cifrar los datos se refiere al proceso por el cual una información pasa de estar en un estado legible a un estado ilegible o secreto, a través de un algoritmo de cifrado informático y una o varias claves de cifrado. Por tanto, cuando un dato es cifrado adquiere una serie de propiedades que lo hacen mucho menos vulnerable frente a accesos no autorizados y reduce el riesgo de divulgación de información confidencial, en este caso, de datos de carácter personal.

Un aspecto muy importante a tener en cuenta es que el uso de cifrado no elimina la naturaleza de dato de carácter personal, por lo que la información cifrada no es información anonimizada, y, por tanto, hay que tratarla como tal.

¿Cuándo, cómo y qué datos son necesarios cifrar?

Aplicar el cifrado para proteger absolutamente todos los datos de una empresa, en principio, puede no ser del todo práctico, sobre todo a la hora de abordar las operaciones necesarias llevar a cabo en el día a día, pero entonces ¿Cuándo y qué datos se deben cifrar? Pues se deberían cifrar todos aquellos datos considerados sensibles o de gran valor para dicha empresa y, centrándonos en los datos de carácter personal, en concreto, los que son considerados pertenecientes a categorías especiales, según recoge el RGPD:
  • Origen étnico o racial.
  • Opiniones políticas.
  • Convicciones religiosas o filosóficas.
  • Afiliación sindical.
  • Datos genéticos.
  • Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
  • Datos relativos a la salud.
  • Datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
Cuando se realice un tratamiento o se esté pensando en llevar a cabo un tratamiento de datos contenidos en la lista anterior, se debe pensar en el cifrado como un método de protección de dichos datos. Es importante, tener en cuenta la seguridad al inicio o en el nacimiento de cada tratamiento de datos, lo que se conoce como, seguridad por defecto y desde el principio, ya que no tener en cuenta la seguridad que se debe aplicar al tratamiento desde el comienzo, además de ser obligatorio por el RGPD, puede incurrir en futuros costes no previstos, cambios en las actividades principales del tratamiento, aumento del riesgo de fuga de datos, etc.

Para el resto de datos, lo ideal sería analizar y evaluar el riesgo, pero aunque el riesgo que obtengamos no sea demasiado alto y, por tanto, no sea obligatorio usar el cifrado, una organización podría utilizar esta herramienta de protección siempre que:
  • No impacte de forma grave en el negocio.
  • Quiera ser proactiva en cuanto a la seguridad.
  • Elemento diferencial, en cuanto a la privacidad se refiere, con respecto a la competencia.
Una vez conocemos los datos que debemos cifrar, ¿Cómo aplico el cifrado a los datos?

La Agencia Española de Protección de Datos (AEPD), en su Informe 494/2009, recuerda cuál es la importancia de emplear un cifrado correcto, de manera que sea legal y suficiente:
"La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad sobre datos sensibles de carácter personal, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación".
Además, a lo largo del Reglamento General de Protección de Datos (RGPD), también se contempla y se hace referencia, de forma constante, al uso del cifrado como un elemento básico de seguridad, como por ejemplo, en el considerando 83 “ A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado” o en el artículo 6 “Licitud del Tratamiento”, entre otros.

Por otro lado, se le consultó a la Agencia Española de Protección de Datos si los sistemas de cifrado de ciertas herramientas empleadas de forma masiva en la mayoría de las empresas, como las de compresión de archivos (ZIP) y los sistemas de claves de los PDF, eran suficientes para cumplir la normativa vigente de protección de datos. Ésta, respondió: no son suficientes, debido a que para estos sistemas generales existen vulnerabilidades conocidas y los algoritmos de cifrado de los que hacen uso son manifiestamente vulnerables. Para un uso personal, en ciertos casos, puede ser útil el manejo de estas herramientas generales, pero nunca para un uso profesional.

Entonces hacer uso de un cifrado correcto implica lo siguiente:
  • Que el sistema de cifrado que se emplee no esté comprometido, es decir, que en el momento de utilizarlo no se conozca forma alguna de romperlo.
  • Que se disponga de un sistema de gestión de claves adecuado y robusto, así como de un procedimiento de administración de material criptográfico, en general.
A la hora de seleccionar un método de cifrado, a parte de tener en cuenta los dos puntos anteriores, se deberá tener en cuenta que las opciones disponibles cuentan con distintas características, por lo que será necesario analizar y elegir el sistema de cifrado que más se adecúe al servicio en el que se quiere integrar, es decir, si se va a utilizar para el envío de información a un tercero, si se requiere de cifrado en reposo, si se necesita una baja latencia, por ejemplo, para servicios online o en vivo, consumo de recursos, tiempo de establecimiento, rendimiento, coste, etc.

Si nos centramos en las dos grandes casuísticas dónde pudiera ser necesario el cifrado de datos de carácter personal, debemos tener en cuenta lo siguiente:
  • Transmisión de datos
    • Vía Web:
      • Hacer siempre uso de HTTPS a través de certificados emitidos por una entidad o autoridad confiable (no hacer uso de certificados autofirmados para conexiones públicas) y utilizando protocolos robustos como Transport Layer Security en su versión 1.2 o superior (TLSv1.2) ya que el resto de versiones y protocolos como SSL (en cualquiera de sus versiones) son vulnerables actualmente a ataques como POODLE o BEAST.
    • Vía Correo Electrónico: Hacer uso de criptografía asimétrica o de clave pública. La privacidad se garantiza cifrando desde el cliente de correo los emails con la clave pública del receptor; de este modo, sólo el receptor puede descifrar el contenido haciendo uso de su clave privada. Usando este tipo de criptográfica evitamos el riesgo de compartir una clave simétrica por un canal de comunicación que pudiera ser vulnerable. Ejemplos para correo electrónico de este tipo de criptográfica es el conocido Pretty Good Privacy (PGP) para clientes de correo pesados o Mailvelope para clientes de correo web. Lo importante de utilizar este tipo de soluciones es:
      • Por un lado, seleccionar una clave robusta y un algoritmo de cifrado robusto y recomendado por las buenas prácticas de la industria a través de organizaciones como el NIST.
      • Por otro lado, almacenar la clave secreta o privada en un lugar seguro (almacén de claves criptográficas) y que sea conocida exclusivamente por el propietario de la misma.
      NOTA: Cuando el destinatario del correo electrónico sea un particular, y no sea operativo hacer uso de PGP u otra herramienta similar, se deberán buscar alternativas que permitan enviar los datos sensibles de forma segura y, a la vez práctica, para el fin requerido. Por ejemplo, hacer uso de portales web securizados y, también, como última opción, acudir al cifrado a través de .ZIP seleccionando AES256 y utilizando una contraseña que deberá ser de una longitud 8 o superior y contener caracteres alfanuméricos y caracteres especiales. Importante: nunca se deberá transmitir la información cifrada y la contraseña por el mismo medio, siempre se deberá transmitir la contraseña por un medio distinto, como, por ejemplo, llamada telefónica, SMS, etc.
  • Almacenamiento de datos:
    • Cifrado de dispositivos: Haciendo uso de herramientas como Bitlocker,  VeraCrypt, AESCrypt, TrueCrypt, las cuales permiten un cifrado total o parcial del dispositivo y se basan en criptográfica sólida y robusta.
    • Cifrado a nivel de dato: Para esta casuística dependerá mucho se si los datos son estructurado o no estructurados y dónde residen los datos, por ejemplo, en bases de datos, aplicaciones, archivos, contenedores de almacenamiento. Las soluciones más estandarizadas son las siguientes:
      • Cifrado en bases de datos:  La mayoría de empresas que proporcionan tecnología de bases de datos, permiten configurar un proceso de cifrado nativo en sus bases de datos. Esta opción de seguridad, por lo general, se suele denominar TDE (Transparent Data Encryption). El cifrado de base de datos se puede proporcionar a nivel de archivo o de columna.
        • Cifrado a nivel de columna: En esta solución se elige qué columna o columnas, de qué tabla o tablas se desean cifrar y se aplica el cifrado sobre las columnas elegidas. Cualquier dato que se encuentre dentro de las columnas seleccionadas se cifrará de forma automática.
        • Cifrado a nivel de archivo: Se crea un archivo que contiene el tablespace cifrado y, todos los objetos que se creen o muevan ahí, estarán cifrados.
        Por lo general, el TDE realiza el cifrado y descifrado de datos de entrada y salida en tiempo real sin necesidad de que se produzca ninguna acción por parte del administrador del sistema y/o base de datos, como su nombre indica, la idea es que sea totalmente transparente.
      • Uso de HSMs: Para entornos que requieren mayores niveles de seguridad, los módulos de seguridad hardware (HSM) son la principal solución (también una de las más costosas) en cuanto a la gestión y administración centralizada de claves. Se trata de un procesador criptográfico diseñado para proteger, de forma específica, una clave criptográfica en todo su ciclo de vida. Estos dispositivos, por lo general, cumplen con varias certificaciones de seguridad como, por ejemplo, FIPS (a prueba de manipulación e intrusiones no autorizadas) y las claves se generan y almacenan en su interior.
NOTA: Sea cual sea la solución escogida, para proteger de forma eficaz la confidencialidad e integridad de los datos de una organización, lo importante es elegir una buena clave de cifrado lo suficientemente larga y seleccionar un algoritmo robusto y sin vulnerabilidades conocidas. Que un algoritmo sea robusto, atañe a la característica de fortaleza de un sistema de encriptación que se expresa mediante un valor conocido como “factor de trabajo”. Este factor de trabajo puede ser medido en tiempo computacional o coste económico de los recursos necesarios para romper el cifrado. Cuando el facto de trabajo es lo suficientemente alto, se considera que ese sistema de cifrado es robusto o invulnerable.

Para conocer qué algoritmos se consideran robustos (hay que recordar que el factor de trabajo solamente es válido para un periodo de tiempo determinado, ya que se debe tener en cuenta cómo avanza la tecnología y la capacidad de procesamiento) se puede recurrir a organismos oficiales como el NIST ( National Institute of Standards and Technology) que se encarga, entre otras cosas, de catalogar los algoritmos y sus longitudes de clave en la publicación NIST Special Publication 800-57.

A día de hoy, alguno de los algoritmos considerados robustos, son los siguientes:

Algoritmo Longitud de la clave
AES 128 bits,192 bits, 256 bits
TDES/TDEA 112 bits y/o superior
RSA 2048 bits y/o superior
ECC (Elliptic Curve Cryptography) 224 bits y/o superior
DH (Diffie–Hellman) 2048/224 bits y/o superior

Como conclusión, en caso de que el cifrado no se realice de forma correcta y los datos de carácter personal quedaran expuestos a terceras partes no autorizadas, sea cual sea el tratamiento que estas partes hagan de los mismos, se estaría incurriendo en una cesión o comunicación pública de datos de carácter personal, definida en la LOPD como “toda revelación de datos realizada a una persona distinta del interesado” sin consentimiento alguno por parte de los interesados y, por tanto, susceptible de sanción por parte de la autoridad de control pertinente, en este caso la AEPD. Por lo tanto, es muy importante dedicar los esfuerzos y recursos necesarios para elegir una buena estrategia de cifrado que permita a la organización, por un lado, cumplir con la legislación vigente de protección de datos de carácter personal y, por otro lado, proteger sus datos de manera robusta y otorgar la confianza necesaria a sus clientes.
Autor: Sergio Moreno - CCNA, PCIP, CCSP, CISSP, ISO 27001 L.A.
Dpto. Consultoría
Ver post completo