Si te estás preguntando por qué sigue habiendo tantos escándalos de filtraciones de datos a pesar del avance en tecnologías de seguridad, estás en el sitio adecuado. En este artículo, vamos a hablar de los errores de cifrado de datos más habituales que pueden comprometer la seguridad de la información en tu empresa o en tu vida personal. Porque sí, el cifrado es como un cinturón de seguridad, pero incluso los cinturones fallan si no los usas correctamente.
¿Por qué a veces el cifrado no es suficiente medida de seguridad?
El cifrado se ha convertido en la piedra angular de la seguridad informática. Pero, spoiler alert, no es infalible. Muchos de nosotros caemos en el error de pensar que una vez que los datos están cifrados, están seguros. No obstante, el cifrado es solo una capa de protección que puede fallar o ser insuficiente si no se gestiona y se implementa correctamente.
Casos de filtraciones de datos reales
EasyJet
En mayo de 2020, la compañía de vuelos británica EasyJet informó sobre una grave brecha de seguridad en la que más de 9 millones de clientes fueron expuestos de manera pública. Entre estas informaciones, se publicaron números de tarjetas de crédito, fechas de vencimiento, códigos de seguridad… Pronto se aseguró que fue un caso de ingeniería social.
Policía de china
En 2022, un hacker robó a la policía datos de 1000 millones de usuarios chinos, convirtiéndose en la mayor filtración de datos de toda la historia. El hackeo pudo afectar al 80% de la población del país y aseguraba contar con más de 23 TB de datos robados.
Los errores más comunes de cifrado de datos
Pasemos ahora a desglosar los errores más habituales que se suelen cometer en el ámbito del cifrado de datos. Agarraos, que vienen curvas.
Falsa sensación de seguridad por la experiencia de los desarrolladores
Muchas veces confiamos en exceso en ciertos trabajadores, tanto internos como externos, pero, lamentablemente, ser un mago del código no te convierte automáticamente en un ninja de la seguridad informática. Los verdaderos expertos en seguridad suelen estar en otros departamentos, como IT, y se dedican a temas como administración de sistemas y evaluaciones de riesgos.
Los desarrolladores son los primeros en buscar soluciones, y para eso tenemos sitios como Stack Overflow, donde nos ayudamos entre colegas a superar obstáculos técnicos. Sin embargo, eso no quiere decir que podamos convertirnos en expertos de seguridad de un día para otro.
Cumplir la normativa no te hace inmune
Si crees que cumplir con normativas como PCI o HIPAA te da un pase VIP al club de los invulnerables, estás muy equivocado. Esas normativas establecen un mínimo, pero no te dicen cómo hacerlo ni garantizan que estés realmente seguro.
Este tipo de complacencia es realmente peligrosa y se ve a menudo en equipos de desarrollo. Es como aprobar raspado un examen y creer que ya eres un experto en la materia.
Pensar que la nube es una fortaleza
Con el auge de los servicios en la nube, muchas empresas confían ciegamente en gigantes como Amazon, Microsoft y Google para mantener sus datos a salvo. Pero esos mismos proveedores te dirán que la responsabilidad de cifrar los datos antes de subirlos a la nube es tuya, no suya. Sí, ellos hacen su parte en la seguridad, pero también te toca a ti hacer la tuya.
El «engaño» del cifrado
Podría tentarte usar métodos de cifrado más sencillos, como el cifrado de discos o de archivos. Pero la verdad es que esto es como ponerle un cerrojo de juguete a una puerta blindada.
El cifrado del disco solo es útil cuando la máquina está apagada, y métodos como el Cifrado de datos transparente SQL (TDE) se ven comprometidos si alguien gana acceso a la base de datos.
Meteduras de pata en modos y algoritmos
El mundo del cifrado es complicado. Hay muchos modos y algoritmos, y elegir mal puede ser fatal. Desde usar números aleatorios inadecuados hasta aplicar el modo incorrecto para el algoritmo que has elegido, las posibilidades de meter la pata son infinitas.
El agujero negro de la gestión de claves
La gestión de claves es probablemente el fallo más grande en todo el proceso. Imagina tener una caja fuerte irrompible pero dejar la clave a la vista de todos. Es exactamente lo que pasa cuando gestionas mal tus claves de cifrado. Desde dónde y cómo las almacenas hasta cómo las recuperas y las actualizas, cada paso es crucial. Y sí, los desarrolladores a menudo pasamos por alto esta parte.
Conclusiones
Después de esta montaña rusa de información, espero que te haya quedado claro que el cifrado no es un juego de niños. Hay muchos factores en juego y muchos errores de cifrado de datos que pueden fastidiar tus esfuerzos de seguridad. No caigas en la complacencia y asegúrate de estar siempre al día en las mejores prácticas de cifrado. Recuerda, la seguridad es un viaje, no un destino. Ahora que estás armado con este conocimiento, ¡es tu momento de actuar de forma segura!