La encriptación no protege los datos mientras se está conectado
Todas las herramientas populares de cifrado bloquean los datos a un acceso no autorizado, pero están diseñadas para que estén disponibles una vez que un usuario mete el código con éxito y entonces están disponibles como si no existiera cifrado.
Llevamos muchos datos e información sensible en el ordenador, tableta o teléfono. Piense en todos ellos: nombres, direcciones, números de teléfono, familia, clientes, compañeros de trabajo, eventos del calendario que indican donde estará y cuando, fotos personales… También puede ser que se tenga información propiedad de la compañía o de clientes, información que las compañías han confiado por medio de contratos de confidencialidad, u otra información sensible que debe ser protegida.
El cifrado básicamente mezcla todos los datos de forma que no haya nada que pueda ser utilizable a quien no tenga autorizado su acceso. Y esto está muy bien, pero pensemos lo siguiente: ¿Cuántos pasos tenemos que dar para descifrar los datos? La encriptación está diseñada para proteger los datos, pero también debe ser fácilmente accesible al usuario, debe descifrar automáticamente de forma que se puedan utilizar los propios datos encriptados. Y esto significa que los datos no están protegidos si alguien encuentra o toma el equipo en un estado que no requiere la entrada de una contraseña.
El Departamento de Justicia de los Estados Unidos y la National Security Administration, la misma NSA que se alega que tiene acceso omnipotente a todos los datos, han expresado su frustración sobre iOS 6 y declarado su encriptación virtualmente impenetrable. Hay una forma de sortearlo, pero solamente Apple lo conoce y hay una larga cola de peticiones legales.
Hay también una capa general de cifrado en iOS que funciona simplemente como un medio remoto de limpieza del dispositivo. Más que borrar los datos, que llevaría un cierto tiempo dependiendo de la cantidad de información contenida, esta herramienta de limpieza remota simplemente restablece la clave de cifrado, haciendo por tanto inutilizables los datos.
Los dispositivos iOS tienen también cifrado basado en hardware que protege los datos, incluyendo emails y documentos adjuntos. Este cifrado, no obstante, está ligado a un código de acceso, lo que significa que hay que asignar y usar un código de acceso en el dispositivo iOS para que los datos estén protegidos.
El método de cifrado BitLocker de Microsoft trabaja de la misma forma. El chip TPM (Trusted Platform Module) suministra un elemento basado en hardware, y el código de usuario es la llave para abrir el cifrado y hacer que los datos estén disponibles para el usuario.
Todas las herramientas populares de cifrado bloquean los datos a un acceso no autorizado, pero están diseñadas para que estén disponibles una vez que un usuario meta el código con éxito. Entonces los datos están disponibles como si no estuvieran cifrados, y el usuario no tiene que dar ningún paso adicional más para acceder o usar la información cifrada.
¿Pero qué pasa si ya estamos dentro?¿Cuál es el problema?
La característica que hace que el cifrado pueda ser de fácil uso, hace también que la protección sea inútil una vez que hemos entrado al dispositivo.
Andrew Storms, director de seguridad de Tripwire explica “Si un ladrón se apropia de un dispositivo en un estado en el que está desbloqueado, tiene una ventana de oportunidad de acceder a los datos almacenados en el dispositivo”. Ese cifrado de iOS “virtualmente impenetrable” se basa en que el dispositivo esté bloqueado con un código. Cuando se establece el código en iOS, se puede elegir si el dispositivo debe pedir el código inmediatamente, en un minuto, en cinco, quince o en una hora. ¡Una hora! Si se elige ese ajuste, se dejan los datos cifrados expuestos a riesgo durante 60 minutos.
La mejor forma de asegurar los datos en un dispositivo portátil es configurarlo para que requiera el código después de un tiempo relativamente corto sin utilización. Si se fija demasiado corto provocará irritación al tener que teclear repetidamente el código de acceso, y si se fija demasiado largo, se estará dando la oportunidad a un ladrón potencial de tener acceso a los datos supuestamente cifrados.
Según Dwayne Melancon, CTO de Tripwire, “en un entorno empresarial, muchas de estas políticas pueden definirse a nivel de compañía, por ejemplo requiriendo bloqueo de pantalla, tecleo de códigos al levantarse, fijando tiempos de espera cortos para el bloqueo automático, o bloqueo automático al cierre de la tapa del ordenador”.
Aunque iOS y otros dispositivos portátiles dan la posibilidad de bloquear remotamente o limpiar los datos del dispositivo, esta herramienta es útil únicamente si se da cuenta de que ha perdido el dispositivo. Cada segundo que el ordenador, tableta o teléfono permanece desbloqueado fuera de control es tiempo que el cifrado no va a proteger los datos.
Andrew Storms de Tripwire señala que las capacidades de bloqueo y limpieza remotos no son la panacea. “En dispositivos portátiles, un ladrón inteligente inmediatamente inutilizará todo acceso a la red, de forma que el dispositivo no pueda recibir un bloqueo remoto o una señal de limpieza de los administradores corporativos”.
Una mejor alternativa a los bloqueos temporizados puede ser un tipo de dispositivo por bluetooth o NFC (Near-Field Communication) u otro dispositivo inalámbrico de proximidad emparejado con el ordenador, tableta o teléfono. Mantenga este dispositivo consigo, de forma que si se aleja demasiado, su dispositivo portátil se bloqueará automáticamente para impedir cualquier acceso no autorizado.
