Actualidad

La encriptación sigue protegiendo la información, incluso de la NSA

Aunque la Agencia de Seguridad Nacional estadounidense gaste miles de millones de dólares para sortear las tecnologías de cifrado, los expertos en seguridad afirman que, aplicada adecuadamente, la encriptación sigue siendo la mejor manera de mantener la privacidad.

El diario The Guardian y otros medios de comunicación publicaron la semana pasada diversas historias, basadas en documentos internos de la Agencia de Seguridad Nacional de Estados Unidos (NSA) que explican cómo la agencia de espionaje vulneró las tecnologías de cifrado, mediante el uso de puertas traseras, diversos ataques, intercepciones con respaldo judicial  y acuerdos con proveedores de tecnología.

Las  noticias, basadas en documentos filtrados a la prensa por el ex empleado de la NSA, Edward Snowden, sugieren que algoritmos de cifrado muy utilizados para proteger las comunicaciones, registros bancarios y médicos, o secretos comerciales, han sido vulnerados por la NSA y su homólogo británico, en siglas el GCHQ .

Steve Weis, director de tecnología de PrivateCore y titular de un doctorado en criptografía por el MIT, cree que, a pesar de las actividades de la NSA, la matemática criptográfica actual es muy difícil de romper y sugiere que lo más probable es que la NSA haya logrado romper desarrollos inseguros, basados en algunas tecnologías de cifrado antiguas.

Por ejemplo, los documentos sugieren que la NSA construyó una puerta trasera en un estándar de encriptación NIST, que se utiliza para generar números aleatorios. Weis considera que el doble estándar DRBG CE ha estado disponible desde hace seis años pero que rara vez se utiliza, ya que dos ingenieros de Microsoft descubrieron en su día la puerta trasera.

No está claro si los expertos de la NSA tienen capacidad para romper tecnologías de cifrado robustas, señala. "Hasta ahora, no he visto nada que sugiera que un algoritmo como AES (Advanced Encryption Standard) puede romperse", remata Weis.

"Cuando se implementa correctamente, el cifrado proporciona seguridad casi inquebrantable", subraya Dave Anderson, director senior de Voltage Security, proveedor de tecnologías de encriptación.

"Es el tipo de seguridad que haría inverosímil que potentes supercomputadores fueran vulnerados. Pero, si hay un descuido en la práctica y la gestión de las claves no es sólida, esta seguridad se puede reducir hasta el nivel en que un hacker con un PC cualquiera pueda romper en un par de horas un sistema", resume el experto en un correo enviado a Computerworld.

Anderson cree que la NSA podría haber sido capaz de aprovechar los fallos en los procesos de gestión de claves cifradas, en lugar de craquear la propia criptografía. Es posible que la NSA pueda descifrar cuentas comerciales y financieras, pero puede ocurrir sólo si el cifrado se cruza con procesos de gestión de claves defectuosos, incompletos o no válidos, concluye.

Otros expertos, como David Jevans, fundador y CTO de Marble Security, proveedor de tecnología de seguridad móvil, considera que algunas de las preocupaciones que han surgido de los documentos de la NSA se basan en una interpretación errónea de los hechos. seguridad-privacidad“La mayoría de los correos electrónicos, búsquedas web, chats de Internet y llamadas telefónicas no se cifran automáticamente, por lo que la NSA o cualquier otra persona puede simplemente analizar el tráfico en línea y acceder a ellas”, sostiene.

La principal vulnerabilidad para el cifrado es la gestión de claves, subraya Jevans. Las claves de cifrado son contraseñas generadas aleatoriamente para cifrar y descifrar el tráfico en la red. "Robar esa clave es como robar una contraseña ", explica.

Otros expertos recomiendan a las empresas considerar el uso de tecnologías de código abierto, como Open SSL, cuyo código es siempre visible para los desarrolladores, no con un programa comercial, que es más vulnerable a las puertas traseras. “El código está ahí, para que todo el mundo lo vea y lo audite, vea los cambios y tenga la seguridad de que no hay una vulnerabilidad intencional, integrada en el software”, concluyen estos expertos.

Esta es una información de Jaikumjar Vijayan. Computerworld



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper