¿Eres cripto-ágil para responder con rapidez a ciberamenazas cambiantes?

Gonzalo Álvarez Marañón    20 octubre, 2020
¿Eres cripto-ágil para responder con rapidez a ciberamenazas cambiantes?

Un negocio se considera ágil si es capaz de responder rápidamente a los cambios del mercado, adaptándose para conservar la estabilidad. Ahora bien, sin criptografía no hay seguridad y sin seguridad no hay negocio. Así que, en última instancia, la agilidad de un negocio vendrá condicionada por su cripto-agilidad.

¿Y qué necesita un negocio para ser cripto-ágil? Ser capaz de adoptar una alternativa al método de cifrado en uso cuando éste se demuestra vulnerable, con el mínimo impacto en la infraestructura de la organización. Cuanto más rápido y automatizado sea el proceso de reemplazo de un algoritmo criptográfico (o de sus parámetros), mayor será la cripto-agilidad del sistema.

En criptografía ningún algoritmo es totalmente «seguro», como mucho es «aceptable»

La definición de seguridad en criptografía es contingente. Cuando se afirma que un algoritmo se considera seguro, en realidad, lo que se quiere decir es que actualmente no se conoce ningún riesgo de seguridad cuando se utiliza de acuerdo con las directrices adecuadas. La palabra clave aquí es “actualmente”, porque lo que se considera seguro hoy, con toda probabilidad, dejará de serlo mañana, debido a avances en computación (¿ordenador cuántico a la vista?), avances en criptoanálisis, avances en hardware y avances en matemáticas. En otras palabras, un algoritmo se considera seguro si computacionalmente resulta inviable romperlo hoy.

El descubrimiento de vulnerabilidades en criptosistemas y la retirada de los algoritmos afectados resulta inevitable con el tiempo. Por eso necesitas ser cripto-ágil: para poder actualizar los métodos de cifrado utilizados dentro de los protocolos, sistemas y tecnologías que usas tan pronto se descubran las nuevas vulnerabilidades… ¡o incluso antes de que aparezcan!

Y no solo hay que pensar en vulnerabilidades. En el Mundo Real™, la criptografía debe cumplir regulaciones y estándares, lo que en muchos casos exigirá cambios en algoritmos de cifrado y protocolos de comunicaciones.

Cómo encontrar la cripto-agilidad

El peor momento para evaluar tu criptografía es después de que se haya producido un compromiso con todo el mundo corriendo como pollo sin cabeza. Ser cripto-ágil implica un control completo sobre los mecanismos y procesos criptográficos de tu organización. Ganar este control no es tarea fácil porque, como señala Gartner en su informe Better Safe Than Sorry: Preparing for Crypto-Agility:

  • Los algoritmos criptográficos se rompen «repentinamente», al menos desde el punto de vista del usuario final. A pesar de que se producen crónicas de muertes anunciadas, como la de SHA-1, hay organizaciones que ni se enteran hasta que se produce el incidente, cuando ya es tarde para cambiar el algoritmo por otro sin impacto en la organización.
  • La mayoría de las organizaciones desconocen su criptografía: el tipo de cifrado que utilizan, qué aplicaciones lo utilizan o cómo se utiliza.
  • Los desarrolladores suelen permanecer ciegos a los detalles de las bibliotecas de funciones criptográficas, por lo que programan dependencias criptográficas ignorando la flexibilidad de las bibliotecas. Esto puede hacer que, en caso de incidente, la aplicación de parches o la respuesta sea difícil o impredecible.
  • Los algoritmos de código abierto suelen considerarse seguros debido a que cualquiera puede auditarlo, pero las revisiones de su aplicación real son poco frecuentes.

En este contexto, toda organización debería prepararse para lo peor. ¿Cómo? Según Gartner, esta preparación implica:

  • Incluir por diseño la cripto-agilidad en el desarrollo de aplicaciones o en el flujo de trabajo de adquisición de aplicaciones a terceros.
    • Todo software creado internamente deberá cumplir con los estándares de seguridad criptográfica aceptados por la industria, como por ejemplo, la Suite B o FIPS 140-3; o con la regulaciones y normativas vigentes, como el RGPD.
    • Conviene utilizar frameworks de desarrollo, como JCA o .NET, que abstraen la criptografía facilitando la sustitución de unos algoritmos por otros sin alterar el código. Igualmente, existen otros lenguajes y bibliotecas que favorecen la reutilización y sustitución rápida de código criptográfico, los cuales deberían priorizarse frente a alternativas menos flexibles.
    • A la hora de adquirir aplicaciones de terceros, asegúrate de que el proveedor sigue las directrices anteriores. Todo software y firmware debería incluir los algoritmos y técnicas criptográficas más recientes consideradas seguras.
  • Inventariar las aplicaciones que utilizan criptografía e identificar y evaluar su dependencia de los algoritmos. Presta especial atención a los sistemas de gestión de identidad y accesos, a las infraestructuras de clave pública (PKI) en uso en tu organización y a cómo se gestionan las claves. Este trabajo te facilitará evaluar el impacto de una brecha criptográfica y te permitirá determinar el riesgo para aplicaciones específicas y priorizar los planes de respuesta a incidentes.
  • Incluir alternativas criptográficas y un procedimiento de intercambio de algoritmos en tus planes de respuesta a incidentes: por ejemplo, la identificación y sustitución de algoritmos, la ampliación o modificación de las longitudes de las claves y la recertificación de algunos tipos de aplicaciones. En el caso de dispositivos hardware, pregunta al fabricante cómo gestionan los cambios de claves y de algoritmos. Estate preparado por si, en caso de compromiso, necesitas descifrar datos privados con una clave o algoritmo obsoletos para volverlos a cifrar con una nueva clave o algoritmo. Y no olvides incluir a los dispositivos IoT en tu inventario, porque algunos vienen con las claves precargadas y poca flexibilidad criptográfica y se despliegan en campo por muchos años.

Vulnerabilidades, regulaciones, ordenadores cuánticos, … El cambio criptográfico acecha desde todas las esquinas. Aplicar estas mejores prácticas aumentará tu cripto-agilidad para reaccionar con rapidez a las ciberamenazas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *