red seguridad 075

especial red seguridad cuarto trimestre 2016 61 de archivos de Office con datos sen- sibles y malware oculto; los trabajado- res remotos, partners y clientes que comparten archivos en dispositivos externos que no cumplen con las polí- ticas de seguridad; o los sistemas de detección de brechas de red que pier- den tráfico entre los usuarios remotos y la aplicación". Además, se aprecian algunas ten- dencias claras en este sentido. "Yo destacaría las soluciones CASB, o Agentes de Seguridad para el Acceso a la Nube", matiza Campos, de Intel Security. "Este tipo de soluciones no sólo permiten ofrecer visibilidad sobre el perfil de uso de los usuarios con respecto a aplicaciones cloud , sino que adicionalmente utilizan el cifrado como un mecanismo para extender la política de seguridad de la organización allá donde se encuentre la información". Otras tendencias destacadas A esta tendencia específica en el uso del cifrado en la nube, se unen otras también importantes que resaltan varios de los expertos consultados. Por ejem- plo, el catedrático Arturo Ribagorda enumera "el uso de hardware security modules (HSM) para los procesos de cifrado, la firma y la gestión de claves, el empleo del cifrado en los reposito- rios de Big Data y en los discos de los portátiles, y los nuevos criptosistemas como los basados en curvas elípticas (ECC) o en cifrados homomórficos (para la computación en la nube)". Al respecto, también se refiere Calvo, de la AEPD: "El desarrollo de determina- das tecnologías podría tener una aplica- ción directa en los tratamientos de datos personales añadiendo garantías a los mismos, como por ejemplo en el caso de entornos cloud. Pero podríamos ir más lejos si pensamos en el posible desa- rrollo e implantación de mecanismos de cifrado homomórfico que teóricamente podrían permitir tratamientos de datos encriptados de la misma manera que se tratan los datos sin cifrar", confirma. A esto se une un hecho desta- cado que pone de relieve Ferro, de Symantec. "Estamos percibiendo una mayor demanda de herramientas de cifrado a raíz del desarrollo del Internet de las Cosas (IoT)". Para el directivo, es crucial que "los datos que un dis- positivo conectado envía a un servidor o a otro dispositivo conectado estén cifrados para que no puedan ser inter- ceptados, modificados o leídos y que la integridad de toda la comunicación esté asegurada". Por ello, agrega, "hay una gran necesidad de los certificados SSL/ TLS que proporcionan una encriptación extremadamente segura", sentencia. Sobre ello también se pronuncia el representante de la AEPD, quien llama la atención sobre el hecho de que la fortaleza de un algoritmo de cifrado no se limita únicamente al uso de un determinado algoritmo. "En torno a la encriptación de la información existen otras considera- ciones que pueden incidir directa o indirectamente sobre la fortaleza de los mecanismos de cifrado en gene- ral". El directivo cita los ataques de ingeniería social, una política de ges- tión de claves inadecuada o cuestio- nes organizativas, todo lo cual puede favorecer la debilidad de cualquier sistema de cifrado de la informa- ción. Por lo tanto, a juicio de Calvo, "los mecanismos de cifrado siempre deben ir acompañados de medidas organizativas que ayuden a mantener la fortaleza de una política de cifrado, SSL y TLS, los protocolos de cifrado HTML Para dotar de una capa de cifrado a las comunicaciones electrónicas que utilizan el protocolo HTTP, los dos procedimientos más utilizados son SSL (Secure Sockets Layer) y TLS (Transport Layer Security). Ambos, utilizan criptografía de clave pública (o asimétrica) para autenticar a una de las partes (obligatoriamente al servidor) o a ambas, siendo opcional la autenticación del cliente. Para dicha autenticación se utilizan certificados X.509, emitidos y firmados mediante una estructura jerárquica, con diferentes capas basadas en autoridades certificadoras y de registro. Asimismo, tanto SSL como TLS utilizan criptografía de clave pública para las fases de autenticación, intercambio de claves y firma digital. Sin embargo, para el establecimiento de la comunicación y el intercambio de información entre las partes, se hace uso de criptografía de clave privada, o simétrica. Un algoritmo se considera seguro, si el tiempo y el esfuerzo necesarios para romperlo y descifrar el contenido sin el conocimiento de la clave es mayor que el valor del contenido de los datos en sí. Afortunadamente, cada imple- mentación de SSL/TLS va mejorando con cada nueva versión, implementan- do cada vez algoritmos más seguros, ya sea por mayor longitud de clave, o por la complejidad criptográfica del algoritmo en sí. cifrado de datos monográfico reportaje