{"id":17840,"date":"2020-03-06T13:12:16","date_gmt":"2020-03-06T19:12:16","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=17840"},"modified":"2020-04-02T05:38:52","modified_gmt":"2020-04-02T11:38:52","slug":"36c3-pdf-encryption","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/36c3-pdf-encryption\/17840\/","title":{"rendered":"Cifrado de archivos PDF: cuestiones de seguridad"},"content":{"rendered":"<p>De acuerdo con las especificaciones de formato de archivo, el <strong>archivo PDF<\/strong> admite el <strong>cifrado<\/strong> con el <strong>algoritmo AES<\/strong> con el <strong>m\u00e9todo de cifrado por bloques<\/strong>. Por lo tanto, al menos en teor\u00eda, si cifras un archivo PDF puedes estar seguro de que solo podr\u00e1 ver su contenido aquel que tenga la <strong>contrase\u00f1a de descifrado<\/strong>. Siguiendo con el estudio de <a href=\"https:\/\/latam.kaspersky.com\/blog\/36c3-pdf-digital-signature\/16892\/\" target=\"_blank\" rel=\"noopener\"><strong>la seguridad de los PDF<\/strong><\/a>, un equipo de investigadores de varias universidades alemanas analiz\u00f3 la <strong>fiabilidad del cifrado<\/strong> del <strong>formato PDF<\/strong>. Fabian Ising de M\u00fcnster University of Applied Sciences <strong><a href=\"https:\/\/media.ccc.de\/v\/36c3-10832-how_to_break_pdfs\" target=\"_blank\" rel=\"noopener nofollow\">present\u00f3 sus conclusiones de seguridad del PDF<\/a><\/strong>\u00a0 y resultaron muy <strong>decepcionantes<\/strong>.<\/p>\n<p>En teor\u00eda, las <strong>empresas<\/strong> utilizan los PDF cifrados para transferir datos a trav\u00e9s de un canal inseguro o poco confiable, por ejemplo, para cargar un archivo a un <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/vulnerabilities-in-public-clouds\/15548\/\" target=\"_blank\" rel=\"noopener\">almacenamiento en una nube p\u00fablica<\/a><\/strong>. Los <strong>investigadores de ciberseguridad<\/strong> buscaron un modo de modificar el archivo fuente de tal forma que, cuando se introdujera la contrase\u00f1a, la informaci\u00f3n del PDF se enviara a una <strong>tercera parte<\/strong>, pero sin realizar ning\u00fan cambio visible para el receptor.<\/p>\n<p>Para ello, los investigadores desarrollaron <strong>dos conceptos de ataque<\/strong> que les permitieron dar acceso a un tercero al contenido cifrado. Adem\u00e1s, el primer ataque (\u201c<strong>exfiltraci\u00f3n directa<\/strong>\u201c) no requiere habilidades especiales de criptograf\u00eda, basta con conocer las especificaciones del formato PDF. Los investigadores lo llamaron \u201c<em>hackear<\/em> la criptograf\u00eda sin tocar la criptograf\u00eda\u201d. El segundo ataque, llamado <strong><em>ataque de maleabilidad<\/em><\/strong>, es m\u00e1s complicado y requiere conocimientos sobre el <strong>m\u00e9todo de cifrado de bloques<\/strong>.<\/p>\n<h2>\u00bfQui\u00e9n utiliza los PDF cifrados y por qu\u00e9?<\/h2>\n<p>Las empresas usan mucho los archivos cifrados.<\/p>\n<ul>\n<li>Los <strong>bancos<\/strong> los utilizan para otorgar <strong>confidencialidad<\/strong> cuando intercambian <strong>documentos electr\u00f3nicos<\/strong> con los clientes.<\/li>\n<li>Las <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/hacked-printer-pewdiepie\/13843\/\" target=\"_blank\" rel=\"noopener\">impresoras multifunci\u00f3n<\/a><\/strong> pueden aceptar documentos escaneados por correo electr\u00f3nico, protegiendo con contrase\u00f1a los <strong>archivos PDF<\/strong> si el remitente selecciona la opci\u00f3n \u201cen forma cifrada\u201d.<\/li>\n<li>Los <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/vulnerable-medical-equipment\/7291\/\" target=\"_blank\" rel=\"noopener\">dispositivos de diagn\u00f3sticos m\u00e9dicos<\/a><\/strong> utilizan PDF seguros para enviar <strong>resultados de pruebas<\/strong> a pacientes o m\u00e9dicos, que son <strong>informaci\u00f3n confidencial<\/strong>.<\/li>\n<li>Las <strong>dependencias gubernamentales<\/strong> como el Departamento de Justicia de los Estados Unidos aceptan documentos como <strong>archivos PDF cifrados<\/strong>.<\/li>\n<\/ul>\n<p>Muchos complementos de <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/top4-dangerous-attachments-2019\/14648\/\" target=\"_blank\" rel=\"noopener\">aplicaciones de correo electr\u00f3nico<\/a><\/strong> ofrecen la habilidad de enviar un documento como un PDF cifrado, por lo que existe una demanda de la opci\u00f3n.<\/p>\n<h2>Ataque de exfiltraci\u00f3n directa<\/h2>\n<p>Cuando cifras un archivo PDF, cifras solamente el <strong>contenido<\/strong> (por ejemplo, los objetos en el archivo, que se caracterizan como cadenas o secuencias). Los objetos que permanecen, y que determinan la estructura del documento, quedan sin cifrar. Es decir, puedes ver el n\u00famero y el tama\u00f1o de las p\u00e1ginas, los objetos y los enlaces. Pero esta <strong>informaci\u00f3n confidencial<\/strong> no deber\u00eda acabar en manos de posibles <strong>cibercriminales<\/strong>, ya que podr\u00edan utilizarla para dar con un m\u00e9todo de evasi\u00f3n del cifrado.<\/p>\n<p>Los investigadores se preguntaron primero si podr\u00edan a\u00f1adir su propia informaci\u00f3n al archivo ya que, en teor\u00eda, esto podr\u00eda permitirles crear un <strong>canal de exfiltraci\u00f3n<\/strong>. Gracias a la documentaci\u00f3n del formato, descubrieron que los PDF permiten un <strong>control granular del cifrado<\/strong> como, por ejemplo, puedes cifrar \u00fanicamente objetos de tipo \u201c<strong>cadena<\/strong>\u201d o de tipo \u201c<strong>secuencia<\/strong>\u201c, dejando el resto del contenido sin cifrar.<\/p>\n<p>Adem\u00e1s, no se han adoptado <strong>m\u00e9todos de verificaci\u00f3n de integridad<\/strong>, por lo que, si a\u00f1ades algo a un documento cifrado, los usuarios no recibir\u00e1n ning\u00fan tipo de alerta. Ese \u201calgo\u201d puede incluir <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/digital-steganography\/14859\/\" target=\"_blank\" rel=\"noopener\">una funci\u00f3n de acci\u00f3n de env\u00edo de formulario o una carga da\u00f1ina<\/a><\/strong>,\u00a0 por lo que podr\u00edas insertar un formulario en un archivo PDF que env\u00ede datos (por ejemplo, todos los contenidos del documento) a un tercero. La funci\u00f3n tambi\u00e9n puede estar ligada a una acci\u00f3n como abrir el documento.<\/p>\n<p>Nos encontramos ante un ejemplo de <strong>exfiltraci\u00f3n de datos<\/strong>, pero hay multitud de posibilidades. Los <strong>cibercriminales<\/strong> podr\u00edan colocar un simple enlace en su sitio con todos los contenidos del archivo en la URL. O podr\u00edan utilizar <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/gandcrab-ransomware-is-back\/14146\/\" target=\"_blank\" rel=\"noopener\">JavaScript para enviar los contenidos cifrados<\/a><\/strong> a cualquier parte. Evidentemente, algunos lectores de PDF consultan al usuario antes de comunicarse con el sitio web, pero no todos; adem\u00e1s, no todos los usuarios pensar\u00edan dos veces antes de permitirlo, lo cual los deja <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/proteccion-contra-amenazas-web-y-ataques-dirigidos\/16950\/\" target=\"_blank\" rel=\"noopener\">vulnerables a las estrategias de ingenier\u00eda social<\/a><\/strong>.<\/p>\n<h2>Ataque de maleabilidad<\/h2>\n<p>El segundo ataque sobre el cifrado de un <strong>archivo PDF<\/strong> utiliza una <strong>desventaja<\/strong> conocida del <strong>m\u00e9todo de cifrado por bloques<\/strong> (<strong>CBC<\/strong>), que carece de control de integridad. La esencia de este famoso ataque es que un atacante que conoce parte de la informaci\u00f3n en texto plano que se ha cifrado puede <strong>cambiar los contenidos de un bloque<\/strong>.<\/p>\n<p>No obstante, seg\u00fan las especificaciones del formato PDF, cada vez que se cifra el contenido de un archivo PDF, tambi\u00e9n se <strong>cifran diferentes permisos<\/strong> (por ejemplo, el que concede al autor la habilidad de editar el documento y el que niega a un simple lector esa misma habilidad). En teor\u00eda, esto se hace para evitar que los <strong>cibercriminales<\/strong> alteren los permisos, que est\u00e1n cifrados con la misma clave AES que el resto del documento.<\/p>\n<p>A su vez, estos permisos tambi\u00e9n se almacenan sin cifrar en el archivo. Esto significa que los <strong>cibercriminales<\/strong> saben por defecto cu\u00e1les son esos 12 bytes del archivo y, como resultado, pueden <strong>alterar el m\u00e9todo de cifrado por bloques<\/strong> para marcar un objetivo y manipular datos cifrados, como, por ejemplo, a\u00f1adir el mecanismo de<strong> <a href=\"https:\/\/latam.kaspersky.com\/blog\/data-breach-stress\/13124\/\" target=\"_blank\" rel=\"noopener\">exfiltraci\u00f3n de datos<\/a><\/strong> al archivo cifrado para enviar los contenidos del archivo a un sitio de terceros.<\/p>\n<h2>Resultados<\/h2>\n<p>Los investigadores probaron sus m\u00e9todos en <strong>23 lectores de PDF y 4 navegadores<\/strong> y descubrieron que todos eran al menos <strong>parcialmente vulnerables<\/strong> a, como m\u00ednimo, una de esas amenazas.<\/p>\n<div id=\"attachment_17843\" style=\"width: 1377px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-17843\" class=\"wp-image-17843 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/03\/05072221\/36C3-PDF-encryption-table.jpg\" alt=\"Cuadro resumen de las vulnerabilidades de los lectores PDF. Fuente: https:\/\/media.ccc.de\/v\/36c3-10832-how_to_break_pdfs\" width=\"1367\" height=\"782\"><p id=\"caption-attachment-17843\" class=\"wp-caption-text\">Cuadro resumen de las vulnerabilidades de los lectores PDF. <a href=\"https:\/\/media.ccc.de\/v\/36c3-10832-how_to_break_pdfs\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">Fuente<\/a>.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Por desgracia, ninguna soluci\u00f3n del lado del cliente puede mitigar por completo la debilidad del formato. No se pueden bloquear todos los canales de exfiltraci\u00f3n sin inutilizar el formato. Los investigadores contactaron con los desarrolladores del <em>software<\/em> e informaron sobre los problemas. Algunas de las empresas, entre las que se inclu\u00eda Apple, intentaron ayudar haciendo hincapi\u00e9 en las notificaciones que alertan de que el archivo est\u00e1 accediendo a un sitio de terceros. Otros dijeron que lo hab\u00edan intentado pero que non hab\u00eda podido \u201csolucionar algo que no ten\u00eda soluci\u00f3n\u201d.<\/p>\n<p>Si tienes que <strong>transferir datos confidenciales<\/strong>, nuestra recomendaci\u00f3n es que utilices una <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/kaspersky-2020-security-solutions\/15167\/\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad<\/a><\/strong> para <strong>proteger tu informaci\u00f3n confidencial<\/strong>. Por ejemplo, puedes utilizar <a href=\"https:\/\/latam.kaspersky.com\/small-business-security\/small-office-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_banner____ksos___\" target=\"_blank\" rel=\"noopener\">nuestras soluciones de ciberseguridad<\/a> para crear <strong>contenedores cifrados<\/strong>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksos\">\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El investigador Fabian Ising mostr\u00f3 los l\u00edmites de la resistencia del cifrado de los PDF durante su charla en el Chaos Communication Congress.<\/p>\n","protected":false},"author":700,"featured_media":17844,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[3838,3251,3255,70,2648,2889],"class_list":{"0":"post-17840","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-36c3","11":"tag-ccc","12":"tag-chaos-communication-congress","13":"tag-cifrado","14":"tag-criptografia","15":"tag-pdf"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/36c3-pdf-encryption\/17840\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/36c3-pdf-encryption\/19448\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/36c3-pdf-encryption\/16068\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/36c3-pdf-encryption\/21082\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/36c3-pdf-encryption\/19357\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/36c3-pdf-encryption\/22010\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/36c3-pdf-encryption\/20769\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/36c3-pdf-encryption\/26391\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/36c3-pdf-encryption\/7856\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/36c3-pdf-encryption\/33827\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/36c3-pdf-encryption\/14420\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/36c3-pdf-encryption\/14513\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/36c3-pdf-encryption\/13128\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/36c3-pdf-encryption\/23177\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/36c3-pdf-encryption\/11179\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/36c3-pdf-encryption\/25075\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/36c3-pdf-encryption\/21019\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/36c3-pdf-encryption\/26979\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/36c3-pdf-encryption\/26818\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/36c3\/","name":"36c3"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/17840","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=17840"}],"version-history":[{"count":5,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/17840\/revisions"}],"predecessor-version":[{"id":18281,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/17840\/revisions\/18281"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/17844"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=17840"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=17840"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=17840"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}