La seguridad de los archivos es un problema que fue creciendo con el paso del tiempo: desde el peligro que implica tener todo en la “nube” hasta la posibilidad de que un disco externo sea robado, no existe una respuesta definitiva ante la pregunta por el método más seguro. Pero sí se pueden adoptar ciertas medidas para que ser vulnerados sea bastante más complicado.
“No existe nada absolutamente seguro: existe hacer algo lo suficientemente difícil para que no tenga sentido la inversión de recursos en romper la seguridad”, sintetiza en diálogo con Clarín Esteban Mocskos, Profesor del Departamento de Computación de Exactas de la Universidad de Buenos Aires.
Bajo esta idea, uno de los productos que ya se está empezando a comercializar de manera masiva es un tipo de disco duro externo que se puede encriptar con una clave en el mismo dispositivo: es decir, seguridad integrada en el hardware (algo que también se puede hacer con discos tradicionales, pero por software).
Por otro lado, alojar archivos en terceros como Google Drive, Microsoft Azure o Amazon Web Services (AWS) se convirtió para muchos en la norma.
Acá, pros y contras de cada sistema, cómo funcionan estos discos con password y la palabra de los expertos sobre qué opción resulta la más viable para almacenar nuestro trabajo, fotos, documentos y hasta activos financieros.
Iron Key: pen drives y discos de Kingston con clave
Kingston es una de las marcas más conocidas en cuanto a unidades de almacenamiento: pen drives, discos externos, memorias SD y más. Desde el año pasado está empujando fuerte dos dispositivos que apuntan a la seguridad de los archivos: IronKey Vault Privacy 80 y Keypad 200.
“Tradicionalmente los dispositivos encriptados siempre estuvieron relegados a un nicho muy específico del mundo empresarial: banca, finanzas, medicinas, fuerzas armadas, militares, policías, gente que maneja información confidencial de seguridad nacional o de importancia financiera muy grande”, explica José Luis Fernández, gerente de Tecnología de Kingston para Sudamérica.
“Sin embargo, la banca online hoy tiene una preponderancia que hace algunos años no, hoy la gente invierte en la bolsa, maneja sus bancos desde internet, compra criptomonedas desde lo digital. Hoy las personas tienen un potencial de tener muchos activos digitales que directamente son dinero o valen dinero, se maneja mucha información de contraseñas de bancos, sitios, que tienen que ver con la privacidad, seguridad personal y de su familia”, agrega.
Aunque la primera diferencia parece ser de almacenamiento (el pen que testeamos es de 32 GB, el externo de 480GB), también tienen métodos de encriptado distintos: “El algoritmo de encriptación del pen drive es bastante standard (y establecido, antiguo), AES-XTS está bien si el disco es chico, ya que en parte la probabilidad de ataque exitoso va aumentando con la cantidad de bloques de información que se encriptan”, explica Mocskos, también investigador independiente del Centro de Simulación Computacional del Conicet.
El caso del disco externo, es más complejo: “Usa el mismo algoritmo por detrás, pero su proceso de fabricación está basado en técnicas más sólidas. Las certificación EAL+ que aplica Kingston se basa en una auditoría al proceso productivo y de diseño, también en distintas pruebas que se le hacen al producto”, desarrolla.
“Imagino que parte de lo que intentan hacer en este otro producto es dificultar que puedan acceder al contenido encriptado directamente”, argumenta.
Ahora bien, ¿cuál es la diferencia entre este tipo de discos y encriptar por software un archivo, es decir, ponerle contraseña a un pen drive de los comunes?
“Un sistema de archivos encriptado en un pendrive común se basa en la idea de que la desencriptación corre en tu PC o notebook, y podrías bajar toda la info encriptada de tu pendrive sin problema y ponerte a probar a ver si tenés suerte”, cuenta el experto.
“La diferencia con un pendrive o disco externo con soporte de encriptación por hardware es que pasa el encriptado-desencriptado de tu PC a un procesador que se agrega al pendrive, entonces se busca que la interacción entre el pendrive y la PC ocurra sólo si pusiste la clave que lo autoriza: en principio, no podrías acceder a la información encriptada sin esa clave”, aclara el docente, con lo que se logra así un paso más de seguridad.
Los discos encriptados por hardware pueden hackearse, sin embargo, bajo lo que se conoce como “tampering”: “Se puede pensar como cortar el disco y soldarle ‘cosas’ para poder modificarlo y que sea más fácil acceder a la información”, explica Mocskos.
“Por lo que especifica el fabricante, está probado y diseñado para hacer el tampering más difícil, por estas técnicas usadas para tener la certificación EAL5+, el fabricante tiene que pasar determinados tests que ponen esto específicamente a prueba. Es esto también lo que encarece notablemente el proceso de diseño del producto (y por eso es mucho más caro)”: según su capacidad, arranca en 95 mil pesos.
Una aclaración que hay que hacer, eso sí: estos discos no son impermeables al malware (virus): tienen métodos que encriptan para proteger el acceso de terceros. Si el pen drive se infecta, los archivos y el equipo donde se enchufe seguramente se infectarán.
La nube: qué dicen los grandes jugadores
La otra opción es utilizar los servicios de computación de terceros, es decir, lo que se conoce como “la nube” en referencia a que los archivos se suben a un servidor ajeno. Algo que, en el fondo, está bastante lejos del vapor y lo etéreo: son computadoras de empresas gigantes como Google, Microsoft y Amazon.
Ahora bien, ¿qué pasa cuando subimos un archivo, por ejemplo, a Google Drive?
“En Drive, cuando un usuario sube un archivo, este es almacenado de forma segura en los centros de datos. Y éstos son encriptados tanto en tránsito como en reposo, es decir, que los datos están seguros en el “camino” que deben hacer entre el dispositivo, los servicios de Google y el centro de datos, y luego, al ser almacenados”, explicó Google Argentina a este medio.
La superficie de ataque de la empresa es inmensa: cuantos más usuarios tenga un servicio, más riesgos habrá. Según la propia compañía, en Gmail cada día se bloquean automáticamente “más del 99,9% del spam, el phishing y el malware y casi 15 mil millones de mensajes no deseados”.
Otro servicio de computación online que domina el mercado es Microsoft Azure, que tiene uno de los programas más usados del mundo: Office. Que sea una de las aplicaciones con más usuarios viene con un potencial problema similar al de Google, y es que posee una enorme superficie de ataque (más usuarios, más potenciales víctimas).
Santiago Cavanna, Chief Information Security Officer (CISO) de Microsoft Argentina, explica: “Con Microsoft Defender se pueden proteger los datos y los dispositivos para protegerse contra malware, recibir notificaciones de seguridad en tiempo real y brindar sugerencias de seguridad, que ayudan a mantener nuestros datos y dispositivos mucho más seguros cuando estamos online”.
“Solo a modo ilustrativo, y para que entendamos bien contra qué nos estamos enfrentando, las herramientas de seguridad de Microsoft detectan a diario 1.5 millones de intentos para comprometer sus sistemas. Desde Microsoft, no sólo rechazamos estos ataques, sino que aprendemos de ellos: nuestra analítica incorpora una increíble cantidad de inteligencia contra ataques y de información”, agrega.
“Microsoft 365 protege los datos, brinda la flexibilidad para trabajar donde y como uno quiera y les ofrece nuevas maneras de colaborar con los demás. Microsoft 365 ofrece una protección avanzada contra los virus y el ciberdelito, a través de herramientas que mantienen la información segura y privada, así como también brinda formas de recuperación de archivos que hayan sufrido ataques”, concluye.
Por último, un jugador inmenso del cloud computing es AWS.
“La nube de AWS fue desarrollada con el objetivo de cumplir con los requisitos de seguridad de entidades militares, bancos de todo el mundo y organizaciones altamente sensibles, cuenta con más de 300 herramientas de seguridad y cumple con 98 estándares de seguridad y certificaciones”, cuenta Américo de Paula, Líder de Arquitectos de Soluciones del Sector Comercial para América Latina.
“Esta infraestructura es la que nos permite atacar uno de los grandes problemas que la sociedad enfrenta actualmente, que es el secuestro de datos (o ransomware), y así proteger a los millones de usuarios que confían en nuestra nube desde hace más de 16 años”, suma.
A pesar de que los tres representantes coinciden en que la nube es uno de los sistemas más seguros de la actualidad para alojar archivos, servicios y procesos, hay dos cuestiones para tener en cuenta.
Por un lado, que los tres coinciden en la educación del usuario y la importancia de estar alertas: nunca compartir datos personales con nadie, tener siempre segundo factor de autenticación, cerrar sesión cuando se usa un equipo ajeno y crear contraseñas seguras (o, mejor aún, usar un gestor de claves). Es decir: el comportamiento del usuario es clave.
Por otro lado, ya por fuera del modelo de la nube, siempre es clave tener respaldos de información según la conocida regla 3,2,1 de backup: por más que aseguren todas estas normas y se basen en números sólidos, tener la información a resguardo es responsabilidad del usuario.
Conclusiones
Probablemente un modelo híbrido entre nube y disco físico sea una de las mejores opciones para proteger archivos: ambas tienen sus pro y sus contras.
La nube es cómoda y los principales jugadores no vacilan en afirmar que es segura. Pero hay matices.
“Tal como dice la gente de Google, los archivos se encriptan para transmitir y para almacenar, pero no para procesar. Entonces siempre hay un momento en el que esos datos están disponibles sin encriptado. Ejemplos de filtraciones de datos en nube hay muchos. Algunos por hackeo, otros por qué usan algún artilugio para engañar a los usuarios: Cambridge Analytica es un ejemplo de robo de datos ‘pseudo autorizados’”, advierte Mocskos.
“En resumen, no existe la noción de seguridad en forma absoluta, todo depende del valor que tiene la información a guardar. La frase ‘podes estar tranquilo que tu información no va a ser accedida por nadie si te roban el disco’, bueno, todo depende de la inversión que quiera hacer quien te roba el disco y de quién te querés proteger”, reflexiona.
“Un disco encriptado es seguro, pero lo es siempre y cuando tengas ahí información que no vale lo suficiente. Si te lo roban, con el tiempo, eventualmente se podría romper su seguridad”, suma.
Lo grafica con un ejemplo: “Si sos 007 y tenés la lista de doble agentes infiltrados en la KGB, yo no sé si estaría tan tranquilo. Si tenés fotos de una fiesta que no querés que tu pareja pueda acceder fácilmente, podés estar tranquilo”, cierra.
Así, comprar un disco externo encriptado por hardware es una opción que brinda comodidad y seguridad a la vez a la mayoría de los usuarios promedio para el tipo de información que quieran proteger (aunque esto viene, todavía, con un precio muy elevado).
Y, como se puede ver, no es 100% seguro pero porque en cuanto al resguardo de la información no existe tal cosa: todo, sin excepción, puede fallar.
SL
