Criptografía en la ciberseguridad: ¿Es todo lo que necesitamos para proteger nuestra información?

Se piensa que quienes dominan los datos dominaran el mundo, y el sinónimo de esto es que la información es, sin duda, el bien más preciado. La criptografía es el arte de mantener un secreto, frente a ojos curiosos o personas que pueden utilizarlos en nuestra contra. La palabra proviene de los términos griego kryptós (secreto) y Grafo (escritura). Su traducción literal es “escritura secreta”.

Comprendiendo esto, la criptografía es una forma de escritura que permite transmitir un mensaje de manera secreta. Fueron muchas las culturas o imperios que, a lo largo de la historia, utilizaron diferentes técnicas de criptografía para ocultar el significado de sus mensajes, sobre todo en épocas de guerra, de tal manera que si estos mensajes fueran interceptados, resultaba muy complicado o casi imposible comprender su contenido. 

La criptografía sigue siendo muy utilizada y necesaria en nuestros días, esto por que la seguridad de nuestros datos depende de técnicas muy avanzadas de criptografía para salvaguardar cualquier información relevante y relativa a nosotros. En consecuencia, la ciberseguridad se ha convertido en un pilar importante de toda organización o sociedad, ya que la criptografía es una de las bases de cualquier sistema de seguridad informática.

Pero no todo sistema es perfecto y mucho menos una organización, lo que conlleva a errores con configuraciones criptográficas, o a la utilización de sistemas criptográficos obsoletos. Esto puede transformarse en un fallo criptográfico, el que puede traer una cadena de acontecimientos catastróficos para una organización y, por consiguiente, se puede traducir en una serie de consecuencias personales y empresariales que pueden ser irreparables sobre sus clientes y, sobre todo, en su reputación. 

Todos sabemos que las tecnologías avanzan a un ritmo a veces inalcanzable y por esta razón protocolos que antes se consideraban seguras y fueron muy utilizados, ahora se consideran inseguros y con fallos críticos. Pero, ¿que conduce a los fallos criptográficos? Desde mi opinión, el factor humano es la principal causa, quizás por desconocimiento o falta de recursos, como por ejemplo, cuando una organización no implementa en su sitio web el protocolo HTTPS y no protege la conexión mediante SSL.

Entonces, ¿basta solo con tener robustos sistemas criptográficos? Ojalá fuera así. Y aunque la criptografía es un método muy eficiente de proteger datos, siempre es mejor integrar métodos extras para salvaguardar la información. Es más eficiente cuando se aplican métodos adicionales que eviten otros ataques, entre ellos ataques de “fuerza bruta” o ataques de “password spraying” y no olvidar que como regla, obligar al usuario final a crear contraseñas robustas que incluyan símbolos y números, como también en lo posible, obligar a cambiar su contraseña después de un periodo de tiempo activa, ya que un atacante, aunque no pueda vulnerar los sistemas criptográficos, de igual manera puede utilizar estas técnicas para obtener un acceso no autorizado sobre la organización.

¿Es tan importante agregar estos métodos? La respuesta obviamente es sí, y el motivo es que hoy en día el hardware existente agiliza los ataques sobre sistemas criptográficos y hace más fácil y rápido los ataques de fuerza bruta, ya que las CPU, en combinación de las GPU, permiten descifrar contraseñas hasta 250 veces más rápido. 

Para que tengan una idea, una contraseña de 6 caracteres, aunque está protegida en un robusto y actualizado sistema criptográfico, puede estar a merced de un atacante que cuente con una CPU potente capaz de probar en promedio 30 contraseñas por segundo con un ataque de fuerza bruta, sin embargo, si le sumamos una potente GPU, esta cifra puede aumentar por sobre las 7 mil contraseñas por segundo, logrando vulnerar contraseñas fáciles y sin reglas robustas en menos de un minuto. 

Además, los atacantes pueden utilizar bases de datos filtrados como correos, agilizando este ataque, y así se ahorra el tiempo de recopilación de información sobre una empresa u organización a la cual intentan vulnerar.

No olvidemos que los fallos criptográficos están dentro del top-ten de riesgos OWASP, por lo tanto, es una obligación para cualquier organización o empresa, tanto grande como pequeña, poner atención sobre los parámetros, configuraciones y versiones criptográficas implementadas. El hecho de que estos fallos sean la propia negligencia de la organización u empresa, hace que duela mucho más un ataque sobre un fallo criptográfico que existía y no fue abordado a su debido tiempo y, mucho menos, mitigado.