Cómo mejorar la agilidad criptográfica de su empresa

Ahora que la cantidad de dispositivos conectados no deja de aumentar y la tecnología evoluciona hacia un futuro lleno de ordenadores cuánticos, las empresas que quieran garantizar su seguridad, hoy y mañana, no solo deben proteger sus dispositivos y aplicaciones, sino también adquirir «agilidad criptográfica». En este artículo veremos cómo mejorar la agilidad criptográfica en la empresa.

Todas las empresas aspiran a mejorar su agilidad comercial, pero solo las que sean capaces de adaptarse con rapidez a los cambios del mercado tendrán una ventaja competitiva y podrán evitar pérdidas innecesarias. Los datos son vitales para una empresa, por ello el departamento de seguridad de la información se encarga de establecer y mantener conexiones seguras entre los sistemas de TI y todos los dispositivos externos. Lo ideal es utilizar métodos de cifrado entre sistemas diversos que tengan que interconectarse. La empresa siempre debería exigir enlaces cifrados para proteger los datos que se transmiten, independientemente de que estén destinados a sistemas internos o externos. Ahora que el número de dispositivos conectados es cada vez mayor, la «agilidad criptográfica» es un componente clave para lograr la agilidad comercial.

La escasa visibilidad limita la agilidad
Un problema habitual para la mayoría de los expertos en seguridad es que no tienen claro dónde se utiliza la criptografía en la infraestructura de TI. Estos profesionales ya saben cómo mantener un inventario de software, ahora tienen que aprender a hacer lo mismo con todos los dispositivos conectados.

Una de las tecnologías criptográficas más habituales en la actualidad son los certificados TLS/SSL, que garantizan la seguridad de las conexiones entre los navegadores, servidores y un número cada vez mayor de dispositivos y aplicaciones.

La tecnología TLS utiliza cifrado tanto simétrico como asimétrico mediante una infraestructura de clave pública (PKI), que es el conjunto de hardware, software, personas, políticas y procesos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales. La PKI también es lo que vincula las claves con las identidades de usuario mediante una autoridad de certificación (CA). En la PKI se unen las ventajas de ambos tipos de cifrado. Por ejemplo, en las comunicaciones TLS, el certificado TLS del servidor contiene un par asimétrico que combina una clave pública con una privada. En cambio, la clave de sesión que crean el servidor y el navegador durante el saludo inicial de TLS es simétrica.

La agilidad criptográfica: en qué consiste
Para ser ágil desde el punto de vista de la criptografía, hay que saber cómo y dónde se utilizan sistemas criptográficos en la empresa (protocolos, bibliotecas, algoritmos, certificados, etc.) y tener la capacidad de detectar y resolver problemas con rapidez. Si la empresa es realmente ágil podrá sustituir la criptografía obsoleta de forma automatizada cuando sea necesario sin dejar cabos sueltos.

La agilidad criptográfica no consiste solo en poder usar distintos algoritmos para funciones críticas (hashes, firmas, sistemas de cifrado, etc.) ni en tener la posibilidad de elegir qué algoritmo (por ejemplo, SHA-1 o SHA-256) utilizar para una función concreta.

SHA-2, el sucesor de SHA-1, presenta el mismo punto débil (solo que, gracias a su longitud superior, ofrece una mejor protección). Por eso, se recomienda usar SHA-3 en lugar de SHA-1 y SHA-2, pero el problema es que por ahora casi no hay productos de hardware ni de software que admitan la nueva tecnología.
El simple hecho de garantizar que haya algoritmos compatibles en todos los lugares en que sean necesarios es una tarea muy ambiciosa, lo que hace que sea aún más difícil lograr la agilidad criptográfica. La mayoría de las transiciones criptográficas afectan a todo el ámbito de Internet y, para la transición de un algoritmo a otro nuevo, es fundamental la colaboración de todos los proveedores.

Entre las prácticas recomendadas para lograr la agilidad criptográfica, señalamos las siguientes:

  • Establecer y comunicar políticas claras
  • Hacer un inventario de todos los activos criptográficos
  • Detectar los puntos débiles de la criptografía (dentro de la empresa y con los proveedores)
  • Tener la capacidad de probar los nuevos algoritmos criptográficos
  • Tener la capacidad de sustituir con rapidez las claves y los certificados vulnerables
  • Mantener la información de propiedad
  • Automatizar la gestión
  • Automatizar la sustitución

El primer paso para lograr la agilidad criptográfica en la empresa es crear y comunicar políticas claras para garantizar que se sigan las prácticas recomendadas en materia de TLS (los representantes de DigiCert le podrán facilitar más información sobre dichas prácticas). Una vez establecidas las políticas, habrá que realizar un inventario de todos los activos criptográficos, para lo cual se podrá utilizar una plataforma moderna de gestión de certificados con una función de detección exhaustiva (consulte CertCentral para obtener más información sobre la detección de certificados). Cuando el inventario esté completo y todos los activos criptográficos de la empresa estén bajo control, obtendrá la flexibilidad necesaria para empezar a probar los nuevos algoritmos, a medida que estén disponibles, o a sustituir las claves que resulten ser vulnerables, sin la preocupación de dejar la empresa desprotegida o incumplir procesos críticos.

A continuación, cuando haya obtenido la visibilidad y el control necesarios para poder cambiar de algoritmo cada vez que lo decida, el siguiente paso será concentrarse en conservar la agilidad criptográfica. Tendrá que asegurarse de que cada persona o departamento correspondiente tenga siempre el control de sus respectivos activos criptográficos y de que se utilicen sistemas automatizados para activos como los certificados TLS siempre que sea posible. Así, podrá garantizar que el trabajo de seguimiento y sustitución se lleve a cabo sin necesidad de intervenciones humanas.

La agilidad criptográfica también exige que todos los proveedores de hardware actualicen sus dispositivos con puntualidad. Cuanto más cuiden la seguridad los proveedores, más fácil será para la empresa conservar la agilidad criptográfica. Resulta arriesgado confiar en un proveedor que siempre haya sido lento en implantar las actualizaciones de seguridad. En cambio, si sus proveedores facilitan actualizaciones periódicamente, revelan qué tipo de criptografía utilizan y ofrecen soluciones compatibles con los algoritmos más recientes, reducirá el riesgo al mínimo y mejorará su nivel de agilidad criptográfica. De este modo, su empresa podrá reaccionar con más rapidez en caso de amenaza criptográfica de gran magnitud, con lo que mitigará los daños que pueda sufrir.

Sus proveedores (ya sean de software o hardware de TI), socios comerciales y proveedores de servicios externos tienen que ser capaces de informarle sobre el modo en que colaborarán con su plan. Adopte la política de elegir proveedores que utilicen la mejor criptografía disponible y que garanticen la compatibilidad con los estándares más modernos y los algoritmos más avanzados en un plazo de tiempo razonable. Es necesario que el software y el firmware se puedan actualizar sin tener que dedicar demasiado tiempo y esfuerzos. Solo así podrá sustituir con rapidez cualquier elemento procedente de una era criptográfica pasada que deje la empresa expuesta a vulnerabilidades. Se deberá seguir esa misma política con las actualizaciones de software a distancia, pero si ha tomado las medidas oportunas para garantizar la visibilidad y el control, así como para automatizar los activos criptográficos, este aspecto no debería afectar negativamente a su empresa.

Por último, tiene que empezar al menos a pensar en la transformación que supondrá la informática cuántica para su infraestructura de TI en un futuro no demasiado lejano, cuando los ordenadores y los dispositivos IoT puedan hacer cálculos mucho más rápido que hoy. La informática cuántica promete revolucionar un sinfín de aspectos de la vida, desde la investigación para curar el cáncer hasta la búsqueda de soluciones para reducir el tráfico en los centros urbanos, pero para hacer realidad estas posibilidades, hay que superar los desafíos que planteará para la seguridad del IoT.

Hoy en día, los dispositivos conectados dejan en manos de la criptografía RSA o ECC la protección de la confidencialidad, la integridad y la autenticidad de las comunicaciones electrónicas. Asimismo, los navegadores web utilizan la comprobación de firmas RSA y ECC para establecer una conexión segura por Internet o validar las firmas digitales. Sin embargo, según las previsiones del NIST y otros organismos de control del sector de la seguridad, en menos de diez años la criptografía de clave pública RSA sucumbirá ante la informática cuántica.

Las ventajas y los riesgos vinculados a la informática cuántica afectan prácticamente a todos los sectores, como el financiero, el sanitario, el energético y el manufacturero. Tal vez falten aún cinco o diez años para que los sistemas de TI basados en la informática cuántica sean una realidad, pero es algo en lo que hay que pensar desde ahora si queremos mejorar nuestros niveles de agilidad criptográfica con miras al futuro.

Resumimos a continuación varias conclusiones que hay que tener en cuenta:

  • La criptografía capaz de proteger las actualizaciones de software a distancia (las firmas basadas en hash) ya existe y conviene implantarla.
  • De este modo, se podrá actualizar el software con los algoritmos postcuánticos aprobados por el NIST en cuanto estén disponibles.
  • Las tecnologías disponibles hoy en día no solo permitirán adoptar algoritmos postcuánticos más adelante, sino que además ayudarán a las empresas a afrontar mejor los desafíos que surjan en el futuro en materia de criptografía.
Posted in Crypto-Agility, PKI, SSL