¿Qué tan seguros son sus datos cifrados robados?

Lo más probable es que te hayan robado algunos de tus datos. ¿Alguna vez usaste Yahoo? 3.000 millones de cuentas de Yahoo fueron capturadas en 2013. ¿Visitar un hotel Marriott? Se robaron 500 millones de cuentas de Marriott cuatro años, 2014 – 2018. ¿Se las arregló para aferrarse de alguna manera a su antigua dirección de Hotmail y su espíritu adolescente nervioso? 360 millones de cuentas de MySpace, pirateadas. ¿Usar MyFitnessPal? 150 millones de cuentas.

Entonces, ¿qué obtuvieron exactamente los piratas informáticos? Cada pirateo es diferente, pero casi definitivamente obtuvieron su dirección de correo electrónico, información de usuario, registros de su actividad en el sitio y posiblemente cosas mucho más dañinas. Sin embargo, buenas noticias: muchos de los datos más confidenciales probablemente estaban encriptados. También hay una buena posibilidad de que no era cifrado, pero tomemos el mejor escenario de robo de datos de caso: su información fue robada, pero el material confidencial se cifró con AES-256. ¿Qué tan seguro es?

¿Qué significa que los datos estén cifrados?

cifrado de datos cifrados

El “cifrado” en la seguridad de datos moderna generalmente se refiere a la criptografía basada en claves. En resumen, ingresa los datos que desea cifrar y la clave (una cadena de letras, números y / o símbolos) que desea utilizar para cifrarlos. La combinación de estas dos cosas crea un desorden que solo se puede descifrar si se usa la clave adecuada. No debe confundirse con:

  • Codificación: Utiliza el mismo algoritmo para codificar y decodificar datos, no se requiere clave. Esto es como ASCII o Unicode: completamente inseguro.
  • Hashing: Proceso de cifrado unidireccional que produce el mismo resultado para una entrada idéntica, pero deja resultados muy diferentes si las entradas varían aunque sea un poco. Suele utilizarse para la gestión de contraseñas con un algoritmo como SHA-256 o bcrypt.

Por ejemplo:

MétodoTexto
Codificación (ASCII, decimal)Mantenlo en secreto. Manténlo seguro.
Cifrado (AES de 256 bits)Mantenlo en secreto. Manténlo seguro.
Hash (bcrypt)Mantenlo en secreto. Manténlo seguro.
MétodoCon método aplicado
Codificación (ASCII, decimal)75101101112 32105116 32115101 99114101116 46 32 75101112 32105116 32115 97102101 46
Cifrado (AES de 256 bits, clave: Mellon)ddg18josC + 1ouYRjv5CfPoo
jKJV + y3OLtxjIeCUsL + A =
Hash (bcrypt, doce rondas)$ 2y $ 12 $ 3O1EiCPdVrqZFllHJ /
.q9eZzsyzqdmLMluqlQKO1A
NtlYMva94.nS
MétodoDescifrado
Codificación (ASCII, decimal)Mantenlo en secreto. Manténlo seguro.
Cifrado (AES de 256 bits)Mantenlo en secreto. Manténlo seguro.
Hash (bcrypt)No se puede descifrar

Los dos tipos principales de cifrado son simétricos y asimétricos. El cifrado simétrico se puede descifrar utilizando la misma clave que se utilizó para cifrarlo, mientras que el cifrado asimétrico requiere una clave (la clave pública) para cifrar y otra clave (la clave privada) para descifrar. La mayor parte del cifrado moderno es asimétrico, ya que tener una sola clave para una base de datos completa de información es muy inseguro.

¿Qué tan seguro es el cifrado? ¿Puede romperse?

romper-datos-encriptados

La respuesta corta es sí: el cifrado se puede descifrar. Un enfoque de fuerza bruta, que básicamente implica hacer un montón de conjeturas hasta que uno resulta acertado, sin duda encontraría la respuesta correcta, con suficiente tiempo y potencia de cálculo. Dadas nuestras capacidades actuales, el AES-256 de fuerza bruta podría tomar hasta 3 sexdecillion (3 × 1051) años, y se podrían agregar números similares a muchos algoritmos de cifrado ampliamente utilizados. En el futuro, las computadoras cuánticas y otros avances podrían disminuir significativamente la seguridad del cifrado, pero mientras tanto es efectivamente impenetrable.

Pero eso no hace que el cifrado sea infalible. Los atacantes saben muy bien que los datos cifrados son inútiles sin claves, así que, ¿qué buscan? Las llaves. La violación de datos más catastrófica posible es aquella en la que los datos cifrados y se roban las claves de descifrado. Si la seguridad de los datos se está implementando correctamente, las claves (varias claves para diferentes datos, probablemente por usuario) se almacenarán de forma segura en una ubicación separada de los datos y probablemente deberían estar cifradas. Además, las claves deberán descifrarse y recuperarse de forma segura cada vez que sea necesario descifrar algunos datos, para que los atacantes no puedan interceptarlos. Además de todo eso, las claves probablemente deberían cambiarse de forma regular.

Si el sitio del que robaron su información hizo todo eso, los atacantes probablemente no se apoderaron de las claves, y sus datos estarán seguros hasta que el sol se apague o inventemos computadoras mucho más poderosas. Pero, ¿cuáles son las probabilidades de que los sitios realmente estén haciendo esto y qué cantidad de sus datos están cifrados, incluso en el mejor de los casos?

¿Quién cifra y qué se cifra?

violaciones-de-datos-cifrados

¿Recuerda esa lista de violaciones de datos al principio de este artículo? Vamos a verlos de nuevo.

IncumplimientoAñoRegistros afectadosCifradoSin encriptar
Yahoo2013/20143 mil millones– Contraseñas hash (en su mayoría bcrypt, algunas MD5)
– Algunas preguntas de seguridad
– Nombres
– Correos electrónicos
– Números de teléfono
– Fechas de nacimiento
Marriott2014-20183-500 millones– 8,6 millones de números de tarjetas de crédito
– 20,3 millones de números de pasaporte
– Nombres
– Direcciones
– Fechas de nacimiento
– género
– Datos del programa de fidelización
– Información de reserva
– 5,25 millones de números de pasaporte
Mi espacio2016400 millonesContraseñas (SHA-1, sin salazón)– Correos electrónicos
– Nombres de usuario
MyFitnessPal2018150 millonesContraseñas (bcrypt, salted y SHA-1)– Nombres de usuario
– Correos electrónicos
– contraseñas

Esta lista podría ser muy, muy larga, pero te haces una idea: Básicamente, lo único que se cifra en la mayoría de los sitios es tu contraseña (que en realidad está siendo codificada) e información de pago. A menos que sea un sitio que trata con mucha información confidencial o tiene algo para la alta seguridad, su violación de datos probablemente expuso una buena cantidad de su PII (Información de identificación personal). Esto se debe principalmente a que cifrar y descifrar cosas requiere mucha más potencia informática, tiempo, esfuerzo y dinero que simplemente almacenarlos en texto plano y entregárselos directamente.

Sin embargo, incluso las cosas encriptadas en estos trucos no siempre fueron seguras. Yahoo y MyFitnessPal usaron bcrypt para sus contraseñas, que es un estándar de cifrado fuerte, pero también usaban MD-5 y SHA-1 respectivamente, principalmente para cuentas más antiguas. Estos son algoritmos hash mucho más débiles. MySpace eligió SHA-1 sin sal para todo, lo que tiene sentido, pero también significa que su contraseña casi definitivamente se filtró. Yahoo tampoco ha tenido claro si sacó sus contraseñas en 2013 (probablemente no lo hizo), lo que las hace bastante vulnerables a que las descifren.

Marriott incluso perdió 5,25 millones de números de pasaporte en texto plano, que es no bueno. Sabían claramente que deberían cifrarlos (después de todo, 20 millones más lo estaban haciendo), pero dejaron caer la pelota sobre el 20% de sus clientes. También cifraron los números de las tarjetas de crédito, pero no están seguros de si los piratas informáticos obtuvieron la clave o no.

La moraleja de la historia: la mayoría de tus datos no están encriptados, incluso lo que pensarías realmente debería ser.

Pero mis datos estaban encriptados

Bien, entonces estabas usando un sitio web con una seguridad fantástica que encriptaba hasta el último bit de tu información. Esos existen: muchos sitios de almacenamiento de archivos (Dropbox, Google Drive) cifrarán sus archivos en su base de datos, por ejemplo. Si ese es el caso, siempre que su juego de almacenamiento de claves sea sólido y sus expertos en seguridad hayan hecho un buen trabajo con los desarrolladores, las probabilidades de que sus datos permanezcan intactos hasta la muerte térmica del universo son justas.

Sin embargo, el escenario más probable es que gran parte de su información no esté encriptada, e incluso la información confidencial podría haber sido codificada o encriptada incorrectamente con la clave en algún lugar de la base de datos o en el sistema de archivos. No hay mucho que pueda hacer al respecto, ya que debe proporcionar a las empresas sus datos para poder utilizar sus servicios, pero puede intentar mantenerlos al mínimo, y no reutilices contraseñas!

Y no te olvides de comprobar HaveIBeenPwned para ver si sus datos han aparecido en alguna infracción.

Créditos de imagen: Claves de cifrado de clave pública, Violación de seguridad de datos, Criptografía de clave pública naranja azul

¿Es útil este artículo?

¡Ayúdanos a correr la voz!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *