Encriptar los archivos es aparentemente una buena forma de preservar la privacidad y confidencialidad de los documentos.
Ante la necesidad de proteger la información, ya sea por cumplimiento legal o porque simplemente se está tomado conciencia del problema, se está produciendo un auge del interés en el cifrado de los ficheros.
Un factor determinante a la hora de decidir si se han de encriptar los ficheros es el lugar de almacenamiento, el sitio dónde se guardan esos archivos.
Si se teme que los documentos puedan ser accedidos por terceros, porque se desconfía de la seguridad del medio de almacenamiento, entonces el cifrado de los documentos puede suponer una solución. Siempre, sabiendo que en este escenario, se asume la incomodidad de tener que estar cifrando y descifrando los archivos.
La encriptación puede ser de mucha utilidad pero no en todos los casos.
Encriptar los archivos como norma no es viable en términos prácticos. En ninguna empresa u organización se puede trabajar con carpetas de archivos cifrados si hay que abrirlos para consultarlos o modificarlos continuamente.
Habrá que distinguir por el tipo de almacenamiento usado. No entramos a nivel particular, dónde el cifrado es muy útil con determinados archivos que tenemos en nuestro ordenador o disco duro. En este caso debemos acostumbrarnos a la incomodidad.
En la red o carpetas compartidas de la empresa.
Si la empresa realiza un almacenamiento local de los documentos, la opción de encriptarlos tiene sentido si esos archivos no son de uso frecuente.
Se pueden tener carpetas cifradas con los ficheros que forman parte del histórico de la empresa.
Lo que no es factible, es que en el trabajo diario los empleados vayan a estar cifrando y descifrando archivos continuamente. Se debe asumir que todo esto se hará con unas claves que al final serán conocidas por todos.
Las redes de empresas y los discos compartidos son objetivo prioritario de hackers y ataques automatizados.
Los sistemas locales son muy vulnerables en cuanto a seguridad, es por eso que no paran de aparecer ataques de tipo Ransomware o Cryptolocker.
Realmente son objetivo de los ciberdelincuentes. En estos casos, encriptar no valdrá para nada, excepto para que la información contenida en los ficheros no sea conocida por los atacantes. Esos ataques cifran los ficheros ya encriptados, esto no modifica su operativa.
Cuando se envían archivos por email.
Enviar los archivos cifrados por email puede parecer un buena idea. Hay que determinar en que casos es útil.
Es cierto que no podemos fiarnos de las medidas de seguridad ni de protección de datos del receptor. Incluso en el propio transporte de ese email desde nuestro dispositivo hasta el destino, los archivos podrían ser leídos, muy pocos manejan hoy en día correo cifrado.
La cuestión que hay que plantearse es la siguiente: ¿cuántos de tus destinatarios estarán dispuestos a tomarse la molestia de descifrar el fichero una vez recibido?
Además aparece otro problema. ¿Cómo enviarle las claves el receptor? Se llegan a ver situaciones ridículas, observando que algunos, envían las claves en el propio texto del email, evidentemente esto es de nula utilidad.
Para esto, hace tiempo que se inventó el correo seguro. En este Blog hay un artículo que lo explica: El correo seguro no es una estupidez. Es que no se entiende.
Usando un almacenamiento en la Nube.
Aquí tenemos que distinguir dos tipos de almacenamiento totalmente diferentes:
- Los discos virtuales
- Los almacenamientos permanentes en la Nube
Los discos virtuales
Ampliamente conocidos nos referimos a almacenamientos como Dropbox, Drive o OneDrive.
Se trata de un almacenamiento basado en la sincronización. Es crucial entender que este tipo de funcionamiento es el que justifica la necesidad de encriptar los archivos.
La sincronización consiste en subir a la Nube los archivos que residen en una carpeta de nuestro ordenador o dispositivo. De la misma forma, los archivos que están en la Nube y que no existen en nuestra carpeta deberán ser descargados desde la Nube.
Estos sistemas crean copias de los archivos en cualquier lugar desde el que nos conectamos, desde cualquier ordenador con el que nos sincronizamos. La sincronización consiste en eso, mantener un duplicado local lo más actualizado posible.
Es lógico que muchos usuarios hayan pensado en que no existen condiciones de privacidad ni de seguridad para los documentos. Cuando varios usuarios usan el sistema, los archivos pueden haber sido copiados en muchos ordenadores o dispositivos.
En la empresa, dónde se manejan datos de clientes, un solo empleado usando el sistema puede tener copias de los documentos en el ordenador de la oficina, en el portátil y en casa. La empresa puede tener más o menos el control de sus ordenadores, pero no de las condiciones de privacidad o seguridad de los otros dispositivos.
De la constatación del problema anterior, surge la idea de cifrar los documentos.
Puede que este método funcione si solo se hace con unos cuantos documentos, pero la incomodidad y la pérdida de tiempo cuando se manejan muchos ficheros lo hace inviable.
Los almacenamientos permanentes en la Nube
La popularidad de los discos virtuales ha llegado hasta el punto de hacer pensar que la sincronización es la única forma de usar la Nube para el almacenamiento de archivos.
Hay soluciones que no están basadas en la sincronización. Dataprius entra dentro de esta clasificación.
Para entender a qué llamamos un Almacenamiento Permanente tenemos este artículo: Almacenamiento permanente en la Nube
Si se puede trabajar directamente con los archivos de la Nube, sin necesidad de tener copias locales, entonces no hay necesitad de encriptar los ficheros o al menos disminuye drásticamente.
Comprobamos que la debilidad de los sincronizadores está en las copias locales de los ficheros, teniendo en cuenta que son distribuidos en al menos tantos dispositivos como usuarios. Ahora hay que plantearse qué ocurre con los archivos en tránsito o los que residen en la Nube.
Cifrado interno del propio almacenamiento en la Nube
Normalmente, incluyendo los discos virtuales de los que hemos hablado, los archivos son almacenados encriptados. Es un mecanismo que protege la información si ante algún fallo de seguridad alguien accede a los documentos.
Ese es un cifrado interno, lo gestionan las propias máquinas. Solo los sistemas de almacenamiento de esos proveedores de la Nube saben las claves. Automáticamente guardan los archivos encriptados y los descifran cuando queremos descargarlos.
Esto es un práctica común. En cuanto a la transferencia de los ficheros por Internet, todos los sistemas usan SSL, es decir, cifran la comunicaciones, es igual que el candadito que aparece en tu navegador cuando entras en determinadas webs.
Otros métodos que complementan al cifrado
Cuando hablamos de Dataprius, salimos del terreno convencional y comprobamos que existe otro concepto que complementa al cifrado interno.
En este caso los documentos no se guardan en el clásico formato de archivo. No existe un disco duro como tal, ni archivos con nombre dentro de este.
Los archivos se guardan por trozos, estos se denominan Blobs. El sistema tiene en otro servidor, en otro lugar, los códigos de los trozos que componen un fichero, cuando vamos a descargarlo el sistema sabe componer el archivo y enviarlo al usuario.
Fragmentar los archivos es otro método de hacerlos ilegibles ante un eventual acceso no autorizado. Las leyes de protección de datos o la normas de seguridad no contemplan estas medidas y sólo hablan de encriptación. Dejamos para otro artículo este tema que nos adentra en el territorio de la brecha existente entre la tecnología y la legalidad vigente.
Si en una auditoría piden cumplir la ISO 27001 que dice que hay que cifrar los archivos y qué controles criptográficos tiene el sistema en la nube, en realidad ya están cifrados según puedo leer y cumpliría con la ISO.
Hola Luisa,
Depende del lugar de almacenamiento. Por ejemplo en Dataprius, usamos Azure. Cumple normas ISO y se realiza almacenamiento cifrado, pudes visitar esta página: https://docs.microsoft.com/es-es/azure/storage/common/storage-service-encryption
Tengo experiencia con almacenamientos como Amazon o Google y te puedo decir que la legalidad europea y las normas se las pasan por el forro.