Cómo administrar claves de cifrado

Las claves de cifrado son códigos alfanuméricos o secuencias de caracteres que se utilizan, junto con un algoritmo o proceso matemático, para transformar datos de texto sin formato que cualquiera puede leer en texto cifrado codificado que es ilegible a menos que se descifre. Las claves de cifrado se utilizan para proteger datos privados y confidenciales almacenados, en tránsito y en uso. Los datos cifrados o el texto cifrado solo se pueden leer una vez que se decodifican con su clave de descifrado asociada.

Las claves de cifrado pueden ser simétricas o asimétricas. Cuando se utiliza una clave de cifrado simétrica, se emplea la misma clave para cifrar y luego descifrar los datos y convertirlos en texto legible. Cuando se utilizan claves asimétricas, una clave compartida públicamente (clave pública) cifra los datos de texto sin formato y una clave diferente, que nunca se comparte y se mantiene privada (clave privada), se utiliza para descifrar los datos. Ya sea que se utilice cifrado simétrico o asimétrico, el objetivo es mantener la confidencialidad de los datos cifrados. Incluso si los datos cifrados caen en las manos equivocadas, los datos permanecen protegidos. Por este motivo, proteger las claves es fundamental: si pierden las claves, se pierden los datos.

El cifrado tiene una larga historia y se ha utilizado a través del tiempo, especialmente en la guerra. Los primeros griegos usaban cifrados de transposición (un tipo de cifrado) para evitar que la información cayera en manos enemigas. En los tiempos modernos y con el advenimiento de la era de la información, el cifrado se ha convertido en una herramienta indispensable para proteger datos y aplicaciones. En un principio era utilizado principalmente en aplicaciones bancarias y financieras, su adopción se ha generalizado en todo el espacio de transformación digital, convirtiéndose en un requisito obligatorio en muchas industrias reguladas.

Hoy en día, el cifrado se ha vuelto una práctica recomendada y se utiliza en una amplia gama de aplicaciones e industrias. A medida que más y más actividades cotidianas se realizan en línea, es fundamental garantizar la confidencialidad e integridad de estas transacciones. La banca, las finanzas, el comercio electrónico, el gobierno electrónico y la atención médica son solo algunas de las muchas industrias que hacen un uso extensivo de la tecnología de encriptación. La mayoría de las personas usan el cifrado todos los días sin siquiera saberlo. Cada vez que realiza una compra en línea, la información del pedido y del pago se cifra con Seguridad de la capa de transporte/capa de conexión segura (TLS/SSL): un estándar ampliamente utilizado que emplea encriptación tanto simétrica como asimétrica para proteger las conexiones en línea.

El cifrado se utiliza para proteger la confidencialidad de la información. Organizaciones que procesan datos confidenciales, como su propia propiedad intelectual (IP) y datos sobre sus clientes, incluida información de identificación personal (PII), información de salud personal (PHI), datos de pago que tienen números de tarjetas de crédito y otras formas de datos que están vinculados a varias jurisdicciones de todo el mundo a menudo exigen que las personas protejan los datos. A medida que las organizaciones almacenan más y más datos confidenciales para llevar a cabo sus actividades comerciales diarias, los repositorios de almacenamiento se han convertido en los principales objetivos de los ataques. Como resultado, tanto los datos en tránsito (atravesando redes) como los datos en reposo (almacenados) generalmente se cifran para protegerlos de ataques que pueden comprometer su confidencialidad, paralizar el negocio y comprometer la reputación de las organizaciones.

A medida que la información se ha convertido en el motor que impulsa los negocios modernos, los datos se han vuelto un recurso importante. Las entidades reguladoras gubernamentales y de la industria de todo el mundo han intensificado los esfuerzos de cumplimiento para garantizar la protección de los datos y la privacidad de la persona cuyos datos se recopilan. El nuevo entorno regulatorio ha hecho que el cifrado sea una prioridad para los líderes organizacionales, incluidos los directores de información (CIO), los directores de seguridad de la información (CISO) y los oficiales de cumplimiento en muchas industrias. Esto ha llevado a que el cifrado se incorpore con más frecuencia en muchas aplicaciones. Debido a que el cifrado insensibiliza los datos, también puede eliminar el alcance de ciertas regulaciones, lo que aumenta la seguridad y reduce los costos.

El cifrado es una herramienta importante para proteger a las organizaciones de violaciones de datos que pueden causar daños económicos y de reputación significativos. Sin embargo, el cifrado solo puede ser tan bueno como el grado en que se protejan sus claves asociadas. Si uno piensa en el cifrado como la cerradura de su puerta de entrada, solo puede asegurar sus posesiones de manera efectiva si protege adecuadamente la llave. Dejar la llave debajo del felpudo anula la protección que brinda la cerradura. Si uno no protege las claves de cifrado, no tiene sentido cifrar los datos: encontrar las claves es igual a acceder a los datos. Por lo tanto, una gestión de claves criptográficas sólida es fundamental para garantizar la eficacia de cualquier esquema de cifrado de datos.

La gestión de claves de cifrado incluye dos aspectos principales: gestión del ciclo de vida y gestión de acceso. La gestión del ciclo de vida implica la generación, el uso, el almacenamiento, la actualización, el archivo y la destrucción de claves criptográficas críticas. La gestión de acceso garantiza que solo los usuarios autenticados y autorizados puedan utilizar las claves para cifrar y descifrar los datos. Es importante resaltar que los usuarios hoy en día incluyen tanto humanos como aplicaciones (máquinas). De hecho, normalmente más máquinas necesitan acceso a los datos que personas reales. Para permitir la autenticación y autorización de usuarios, es necesario emitir identidades de personas y máquinas para su posterior validación. Aquí es donde una infraestructura de clave pública (PKI) también se convierte en parte de una estrategia integral de administración de claves.

La calidad de una clave criptográfica se mide por el grado en que puede ser derrotada por la fuerza bruta. Al igual que las contraseñas que deben ser seguras y no fáciles de adivinar, las claves también deben ser seguras, desarrolladas utilizando verdaderos generadores de números aleatorios. Los Estándares federales de procesamiento de información (FIPS) proporcionan orientación sobre el uso de generadores de números aleatorios basados en hardware aprobados. Estos son típicamente entregados por certificados módulos de seguridad de hardware (HSM): plataformas dedicadas que generan y gestionan claves sólidas a lo largo de su ciclo de vida. Si bien los HSM se han implementado tradicionalmente en las instalaciones, la migración a la nube también ha hecho que los HSM estén disponibles como un servicio basado en suscripción. Los HSM basados en la nube ofrecen plataformas de hardware específicas como un servicio para que los clientes generen y administren claves sin la necesidad de comprar y mantener su propio equipo. Al mover aplicaciones y datos a la nube, las organizaciones deben pensar en cómo el nivel de propiedad, control y posesión cambia para garantizar una sólida postura de seguridad en todo el ecosistema informático en expansión.

Las claves, ya sea que se utilicen para el cifrado para proteger la confidencialidad de los datos o para la firma que protege su procedencia e integridad, respaldan la seguridad del proceso criptográfico. No importa qué tan fuerte sea el algoritmo utilizado para encriptar o firmar los datos, si la clave asociada se ve comprometida, la seguridad del proceso es derrotada. Por esta razón, la protección de las claves criptográficas es de vital importancia.

Debido a la naturaleza aleatoria de las claves que describimos anteriormente, la ubicación de las claves en el software puede ser algo fácil de identificar. Los atacantes que quieren obtener datos confidenciales buscarán las claves, ya que saben que si las obtienen, pueden conseguir los datos. Por lo tanto, las claves almacenadas en el software pueden localizarse y obtenerse, poniendo en peligro la seguridad de los datos cifrados. Por esta razón, los HSM siempre deben usarse para proteger las claves. El uso de HSM como raíz de confianza se ha convertido en una práctica recomendada en la industria de la ciberseguridad, recomendada por profesionales de la seguridad y muchos proveedores de aplicaciones líderes.

Otro factor a tener en cuenta para proteger las claves no es solo el acceso de atacantes externos, sino también de los internos. El uso de HSM para proteger y administrar claves proporciona mecanismos para establecer controles duales, de modo que ninguna persona o entidad interna pueda cambiar las políticas de uso de claves y subvertir de manera efectiva los mecanismos de seguridad establecidos. Los esquemas de quórum en los que un conjunto mínimo predeterminado de personas debe unirse para afectar cualquier cambio en el HSM y sus funciones de administración clave también brindan niveles mejorados de seguridad.

Un sistema de gestión de claves proporciona la base centralizada de confianza necesaria para hacer cumplir la política de seguridad de datos en toda la organización. Al controlar no solo el ciclo de vida de todas las claves, sino también mantener registros con marca de tiempo de todos los accesos de los usuarios, proporciona una herramienta vital para la auditoría y el cumplimiento. Con el aumento de las amenazas a la ciberseguridad y las crecientes regulaciones gubernamentales y de la industria, los sistemas de gestión de claves se están volviendo indispensables.

Un número creciente de regulaciones de seguridad de datos gubernamentales e industriales requieren un cifrado sólido y una gestión eficaz de claves criptográficas para el cumplimiento. Las leyes de privacidad de los ciudadanos, como el Reglamento General para la Protección de Datos de la Unión Europea (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA), así como las regulaciones de la industria como la Estándar de seguridad de datos en el sector de tarjetas de pago (PCI DSS) entre otros, reconocen específicamente la necesidad de un cifrado y una gestión de claves sólidos, incluido el uso de productos certificados para facilitar el cumplimiento.