Encriptación es seguridad en las comunicaciones

 Con los avances tecnológicos y la invasión de las redes sociales y smartphones, aumentó nuestro nivel de exposición, y se diversificaron las formas en las que nuestra seguridad puede ser vulnerada.  La realidad es que “la seguridad es incomoda, y sólo la encriptación pareciera ser la solución, por lo menos en el área de las comunicaciones”.

CIO América Latina/Mario A. Beroes Rios

Quien así opina es Francisco Michelich, Manager Partners de Perspectives, una empresa consultora en soluciones de servicios integrales. “Las comunicaciones tienen que ver en general con nuestra actividad diaria,y su seguridad,  a menos que uno se dedique a brindar este tipo de servicios por supuesto, muchas veces consta de medidas o acciones que parecen estorbar en nuestra actividad normal.

-Pero la seguridad es necesaria….

-Claro que sí; es necesaria. Lógicamente, existen distintos niveles de seguridad para distintos tipos de usuarios. Pero lo que es cierto, es que para algunas soluciones de seguridad, no existen variables o degrades, simplemente es seguro, o no lo es. Tal es el caso de las comunicaciones seguras o encriptadas.

En la opinión del directivo de Partners, es importante comprender qué es la encriptación, “que es la codificación de información utilizando una serie de pasos matemáticos para “desordenar” los datos, según una “receta” o “plan”, para mantener esa información privada y compartirla solamente con quien uno desea”.

“El nombre técnico para las “recetas” es algoritmo, y por supuesto existen muchos con distintas denominaciones. Según el uso que se le dará a la información, el tipo de algoritmo que es recomendado utilizar, pero a la fecha, el único considerado seguro e invulnerable es el AES 256 bits (Advanced Encryption Standard)”.

Agrega Francisco Michelich, que la cantidad numérica en bits no es un detalle menor, ya que hace referencia a la longitud de la cadena de información codificada, por lo que un algoritmo seguro a cierta cantidad de bits podría no serlo a una cantidad menor.

En el caso de las comunicaciones, la información codificada es luego decodificada en el otro extremo o interlocutor (usando la misma “receta”), y por eso comúnmente recibe el nombre de “encriptación de punta a punta”. Si bien el algoritmo de encriptación es muy importante al evaluar una solución de seguridad en comunicaciones, no es la única característica a considerar.

-¿Cómo se sabe si una encriptación es totalmente segura? 

-La encriptación debe ser de punta a punta, y no sirve el tener un solo extremo encriptado,, ya que el otro extremo hace vulnerable a toda la comunicación. También debe utilizarse un algoritmo de encriptación considerado seguro a la fecha. Hoy en día es AES 256 bits. Por ejemplo, el algoritmo GSM alguna vez considerado seguro, es vulnerable desde hace al menos 6 años.

“Otra consulta frecuente es si Whatsapp es segura, y si bien utilizan algunos algoritmos de encriptación, no son los considerados seguros a la fecha por lo que no es una solución recomendada desde ningún punto de vista, no olvidar que después de todo, Whatsapp no es una aplicación que tenga por objetivo brindar seguridad, sino simples comunicaciones”.

Volviendo al tema del algorritomo, Michelich cree que el algoritmo utilizado por la solución debe estar certificado por un organismo competente para tal fin, ya que sin dicha certificación no hay forma de probar que realmente se cumple el nivel de seguridad.

-Debe garantizarse que se está comunicando con la persona indicada, mediante un intercambio seguro de llaves de encriptación. Esta es una característica tecnológica que la solución debe tener prevista para evitar ataques del tipo “Man-in-the-Middle”. Esta intrusión implica la posibilidad de que el atacante se haga pasar por la persona con la que se intenta comunicar, y que sin que usted se dé cuenta, acceda al contenido de la comunicación.

“La empresa que provee la solución de seguridad no debe almacenar la información de la comunicación ni tener acceso a la misma. Ya sea a través de servidores, de la nube, etc. En caso que lo hiciera, quiere decir que los empleados de la empresa, tendrían acceso a la información. Esta es una de las razones por las que Telegram por ejemplo no es segura: la información se almacena en sus servidores y ellos disponen de la misma a su antojo”.

-¿Qué tan susceptible es una comunicación de una intervención?

-Los avances tecnológicos y la disponibilidad de la información han asistido a que la intervención de comunicaciones no sea tan compleja o costosa como años atrás. No son necesarios equipos millonarios o computadoras especiales, de hecho hay sistemas sin costo que permiten interceptar comunicaciones sobre WiFi como WireShark. También existen graves falencias en los procedimientos legales de los países para realizar intercepciones a líneas telefónicas, originándose un “mercado negro” donde “mercenarios” (de operadores telefónicos, de agencias de inteligencia, etc.) venden la información de las comunicaciones al mejor postor.

Agrega que es entendible el porque “ninguna solución de seguridad puede ser gratis, ya que existe un importante mercado paralelo debido a la gran cantidad de escuchas ilegales, sino que además, para realizar un producto sólido, son necesarias grandes inversiones en investigación y desarrollo, así como también en los distintos procesos de certificación del mismo (que suelen requerir inversiones millonarias por si solos”.

-¿Cuáles son las soluciones recomendadas de comunicaciones seguras?

“Aquellas que cumplan con los criterios anteriormente descriptos. Busque en particular las que se han iniciado como una tecnología de uso militar y que han migrado al mercado comercial (dichas soluciones no sólo suelen cumplir los criterios establecidos sino que generalmente ofrecen medidas de seguridad adicionales).