Que é iso do cifrado?

/ Blog / Por

Aspectos técnicos da Protección de Datos

Que é iso do cifrado?

Seguramente xa tes escoitado a palabra “cifrado”, pero non tes nada claro o que significa. Pode que a vises referíndose a todo, dende a protección do teu portátil ata a seguridade das aplicacións de chat ou a protección das túas compras en liña. Independentemente de cando se use, cando falamos de cifrado, referímonos ao mesmo: o proceso matemático de facer que unha mensaxe sexa ilexíbel excepto para unha persoa que teña a “chave” para “descifrala”. A partir de aí, a cousa complícase.

A xente empregou ao longo da Historia o cifrado para enviar mensaxes que ninguén máis que o destinatario previsto podía ler. Agora, temos computadores capaces de realizar o cifrado por nós. A tecnoloxía de cifrado dixital expandiuse máis alá das simples mensaxes secretas e, hoxe en día, pódese usar o cifrado para fins máis elaborados, como non só ocultar o contido das mensaxes de ollos indiscretos, senón tamén verificar o autor desas mensaxes.

O cifrado é a mellor tecnoloxía que temos para protexer a información de malos actores, gobernos e provedores de servizos. Cando se usa correctamente, é practicamente imposible de romper.

Cifrado de datos en repouso

Os datos “en repouso” son datos que se almacenan nalgún lugar, como nun dispositivo móbil, portátil, servidor ou disco duro externo. Cando os datos están en repouso, non se moven dun lugar a outro.

Un exemplo dunha forma de cifrado que protexe os datos en repouso é o cifrado de “disco completo” (ás veces tamén chamado “cifrado de dispositivo”). Ao activar o cifrado de disco completo, cífrase toda a información almacenada nun dispositivo e protéxese cunha frase de paso ou outro método de autenticación. Nun dispositivo móbil ou portátil, isto adoita ter o aspecto dunha pantalla de bloqueo do dispositivo, que require un código de acceso, un contrasinal, unha pegada dixital… Porén, bloquear o dispositivo (é dicir, requirir un contrasinal para “desbloquealo”) non sempre significa que o cifrado de disco completo estexa activado.

O cifrado de disco completo pode protexer os teus dispositivos das persoas que teñen acceso físico a eles. Isto é útil se queres manter os teus datos privados fora do alcance dos ollos de compañeiros de piso, compañeiros de traballo ou xefes, profesores, familiares, parellas, axentes de policía ou aduanas, etc. Pero o cifrado tamén protexe os datos dos teus dispositivos se estes son roubados ou perdidos, como se deixas o teléfono accidentalmente nun autobús ou nun restaurante.

Hai outras maneiras de cifrar os datos en repouso. Unha opción é a coñecida como “cifrado de ficheiros”, que cifra só ficheiros individuais nun computador ou noutro dispositivo de almacenamento. Outra opción é o “cifrado de unidades” (tamén coñecido como “cifrado de disco”), que cifra todos os datos nunha área de almacenamento específica dun dispositivo.

Podes usar estes diferentes tipos de cifrado en repouso combinados. Por exemplo, supoñamos que queres protexer a información confidencial dos teus documentos médicos. Podes usar o cifrado de ficheiros para encriptar un ficheiro médico individual almacenado no teu dispositivo. Despois, podes usar o cifrado da unidade para cifrar a parte do teu dispositivo onde se almacena esta información médica. Finalmente, se tes activado o cifrado de disco completo no teu dispositivo, todo (toda a información médica e todos os demais ficheiros da unidade, incluídos os ficheiros do sistema operativo do ordenador) estará cifrado. Polo tanto, mesmo se alguén descubrise o contrasinal de inicio de sesión do teu ordenador, aínda tería que saber tamén o contrasinal que usaches para cifrar o ficheiro coa túa información médica antes de poder acceder a el.

Cifrado de datos “en tránsito”

Os datos “en tránsito” son información que se move a través dunha rede dun lugar a outro. Por exemplo, cando envías unha mensaxe nunha aplicación de mensaxería, a mensaxe móvese do teu dispositivo aos servidores da empresa da aplicación e, a continuación, ao dispositivo do destinatario. Outro exemplo é a navegación web: cando visitas un sitio web, os datos desa páxina web viaxan desde os servidores do sitio web ao teu navegador.

Hai dúas maneiras de cifrar os datos en tránsito: o cifrado da capa de transporte e o cifrado de extremo a extremo . O tipo de cifrado que admite un provedor de servizos pode ser un factor importante á hora de decidir que servizos son axeitados para ti. É importante saber se as conversas se cifran mediante o cifrado da capa de transporte ou o cifrado de extremo a extremo.

Cifrado da capa de transporte

O cifrado da capa de transporte, que se implementa habitualmente mediante o protocolo coñecido como Transport Layer Security (TLS), protexe as mensaxes mentres viaxan desde o teu dispositivo aos servidores da aplicación e, a continuación, desde os servidores da aplicación ao dispositivo do destinatario. No medio, o teu provedor de servizos de mensaxería (ou o sitio web polo que estás a navegar ou a aplicación que estás a usar) pode ver copias non cifradas das túas mensaxes. Dado que as túas mensaxes poden ser vistas polos servidores da empresa (e a miúdo almacénanse neles), poden ser vulnerables a solicitudes das forzas da orde ou a filtracións se os servidores da empresa son atacados. Tamén son abundantes os servizos “gratuítos” de mensaxeria, correo ou almacenamento, que do que viven é de analizar os datos que pasan por eles, elaborar perfis, e vendelos. Por último, non hai que esquecer que, ainda que as políticas de privacidade destas empresas nos podan parecer hoxe aceptábeis, nada nos di que non as cambiarán no futuro ou, pior aínda, nada nos asegura que non acabarán quebrando, e vendendo todo o que almacenaron ao mellor postor (quen sabe o que aconteceu cos e-mails guardados en servizos desaparecidos como terra.es, eresmas.net ou ono.com?)

“Ainda que as políticas de privacidade destas empresas nos podan parecer hoxe aceptábeis, nada nos di que non as cambiarán no futuro ou, pior aínda, nada nos asegura que non acabarán quebrando, e vendendo todo o que almacenaron ao mellor postor (quen sabe o que aconteceu cos e-mails guardados en servizos desaparecidos como terra.es, eresmas.net ou ono.com?)”

Unha rede privada virtual (VPN) é outro exemplo de cifrado de capa de transporte. Sen unha VPN , o tráfico viaxa a través da conexión do teu provedor de servizos de Internet (ISP). Cunha VPN, o tráfico aínda viaxa a través da conexión do teu ISP, pero está cifrado entre ti e o teu provedor de VPN. Se alguén está espiando a túa rede local e intenta ver que sitios web estás a visitar, poderá ver que estás conectado a unha VPN e quen é ese provedor de VPN, pero non verá que sitios web estás a visitar.

Aínda que o uso dunha VPN oculta o teu tráfico do teu ISP, tamén expón todo o teu tráfico ao propio provedor da VPN. O provedor da VPN poderá ver, almacenar e modificar o teu tráfico. O uso dunha VPN basicamente cambia a túa confianza do teu ISP á VPN, polo que é importante asegurarte de que confías no teu provedor da VPN para protexer os teus datos.

Cifrado de extremo a extremo

O cifrado de extremo a extremo protexe as mensaxes en tránsito desde o remitente ate o receptor. Garante que a información sexa convertida nunha mensaxe secreta polo seu remitente orixinal (o primeiro “extremo”) e descodificada só polo seu destinatario final (o segundo “extremo”). Ninguén, incluídos os servidores da aplicación que estás a usar, pode “escoitar” e espiar a túa actividade.

Utilizar mensaxes cifradas de extremo a extremo nunha aplicación no teu dispositivo significa que a propia empresa da aplicación non pode lelas. Non obstante, aínda que unha empresa de aplicacións que usa o cifrado de extremo a extremo non pode ver o contido dunha mensaxe, aínda pode recompilar certos tipos de metadatos, como a hora de envío dunha mensaxe ou o teu enderezo IP.

Cifrado de capa de transporte ou cifrado de extremo a extremo?

Algunhas preguntas importantes que debes facerte para decidir se necesitas cifrado de capa de transporte ou cifrado de extremo a extremo son: Confías na aplicación ou no servizo que estás a usar? Coñeces a súa infraestrutura técnica? Coñeces o seu modelo de negocio, e que este non inclue a análise e venda dos teus datos? Parécenche ben as súas políticas de seguridade? E a súa posición ante requerimentos do Estado? forzas da orde?

Se respondes “non” a calquera destas preguntas, necesitas cifrado de extremo a extremo. Se respondes “si”, pode que che chegue un servizo que só admita o cifrado da capa de transporte, pero é mellor optar por servizos que admitan o cifrado de extremo a extremo sempre que sexa posible.

O que non fai o cifrado en tránsito

O cifrado non é unha solución universal. Mesmo se envías mensaxes cifradas, a persoa coa que te estás comunicando descifraraa. Se os teus puntos finais (os dispositivos que estás a usar para a comunicación) están comprometidos, as túas comunicacións cifradas poden verse comprometidas. Ademais, a persoa coa que te estás comunicando pode facer capturas de pantalla ou gardar rexistros (gravacións) da túa comunicación.

Se cifras os datos en tránsito, protexerás o contido das túas comunicacións, pero non cifrarás os metadatos . Por exemplo, podes usar o cifrado para mesturar as mensaxes entre ti e o teu amigo en galimatías, pero non oculta:

  • Que ti e o teu amigo vos estades comunicando.
  • Que estás a usar cifrado para comunicarte.
  • Outros tipos de información sobre a túa comunicación, como a localización, as horas e a duración da comunicación.

Se es a única persoa que usa o cifrado nunha rede, estes metadatos poden considerarse sospeitosos. Por iso moitos entusiastas do cifrado animan a todo o mundo a usar ferramentas cifradas sempre que poidan: para normalizar o uso do cifrado para as persoas que realmente o necesitan.

Xuntándoo todo

Conxuntamente, cifrar os datos en tránsito e en repouso ofrecerache unha seguridade máis completa que usar só un ou outro. Ao utilizar varios métodos para defender os teus datos, podes conseguir un nivel de protección máis profundo. Isto é o que os expertos en seguridade da información chaman “defensa en profundidade”.

Por exemplo, se envías mensaxes sen cifrar (sen cifrar os teus datos en tránsito) desde un dispositivo móbil cifrado (cifrando os teus datos en repouso), esas mensaxes seguirán sendo vulnerables á escoita e á interceptación na rede por parte de gobernos, provedores de servizos ou adversarios tecnicamente cualificados. Non obstante, o rexistro das mensaxes no teu dispositivo móbil estará protexido de alguén con acceso físico ao teu dispositivo móbil se non ten o contrasinal.

Pola contra, se envías mensaxes cifradas de extremo a extremo (cifrando os teus datos en tránsito) nun dispositivo non cifrado (sen cifrar os teus datos en repouso), esas mensaxes estarán a salvo de espionaxe e escoita na rede. Pero alguén poderá acceder e ler as mensaxes se obtén acceso físico ao teu dispositivo móbil.

Con estes exemplos en mente, cifrar os teus datos tanto mentres están en tránsito pola rede como mentres están en repouso no teu dispositivo é ideal para protexerte dunha maior variedade de riscos potenciais.

Elaborado a partir de: https://ssd.eff.org/module/what-should-i-know-about-encryption