A medida que el mundo se vuelve cada vez más digital, la necesidad de contar con seguridad se hace cada vez más imperiosa. Ahí es donde entran en juego la criptografía y sus aplicaciones a la ciberseguridad.
En esencia, la palabra se refiere al estudio de técnicas de comunicaciones seguras, pero la criptografía está estrechamente asociada con el cifrado, o el acto de codificar texto ordinario para convertirlo en lo que se conoce como texto cifrado, y luego volver a convertirlo en texto ordinario (llamado texto plano) cuando llega a su destino. A lo largo de los siglos, se les ha atribuido a varias figuras históricas la creación y el uso de la criptografía, desde el historiador griego Polibio y el diplomático francés Blaise de Vigenère hasta el emperador romano Julio César, a quien se le atribuye el uso de una de las primeras claves modernas, y Arthur Scherbius, que creó la máquina de descifrado de códigos Enigma durante la Segunda Guerra Mundial. De todos modos, es muy probable que ninguno de ellos reconozca las claves del siglo XXI. Pero ¿qué es exactamente la criptografía? ¿Y cómo funciona?
Definición de criptografía
La criptografía es la técnica de ofuscación o codificación de datos para garantizar que solo la persona que debe ver la información, y que tiene la clave para descifrar el código, pueda leerla. La palabra es un híbrido de dos palabras griegas: "kryptós", que significa oculto, y "graphein", que significa escribir. De forma literal, la palabra "criptografía" se traduce como escritura oculta, pero en realidad, la práctica consiste en la transmisión segura de información.
El uso de la criptografía se remonta a los antiguos egipcios y su creativo uso de jeroglíficos. Pero el arte de la codificación experimentó grandes avances a lo largo de los milenios, y la criptografía moderna combina la tecnología informática avanzada, la ingeniería y las matemáticas, entre otras disciplinas, para crear algoritmos y códigos muy sofisticados y seguros que protegen los datos confidenciales en la era digital.
Por ejemplo, la criptografía se utiliza a fin de crear diversos tipos de protocolos de cifrado que se suelen emplear para proteger datos. Por ejemplo, el cifrado de 128 o 256 bits, el cifrado de capa de sockets seguros (SSL) y la seguridad de la capa de transporte (TLS). Estos protocolos de cifrado protegen todo tipo de información y datos digitales, desde contraseñas y correos electrónicos hasta transacciones bancarias y de comercio electrónico.
Existen diferentes tipos criptográficos, que son útiles para diferentes propósitos. Por ejemplo, la más sencilla es la criptografía de clave simétrica, mediante la cual los datos se cifran con una clave secreta y, a continuación, tanto el mensaje codificado como la clave secreta se envían al destinatario para descifrarlos. Por supuesto, el problema aquí es que, si se intercepta el mensaje, un tercero puede decodificarlo con facilidad y robar la información.
Para crear un sistema de codificación más seguro, los criptólogos idearon la criptografía asimétrica, que a veces se conoce como sistema de "clave pública". En este caso, todos los usuarios tienen dos claves: una pública y otra privada. Al crear un mensaje codificado, el remitente solicitará la clave pública del destinatario para codificar el mensaje. De este modo, solo la clave privada del destinatario lo decodificará. De este modo, aunque se intercepte el mensaje, un tercero no podrá decodificarlo.
¿Por qué es importante la criptografía?
La criptografía es una herramienta esencial de la ciberseguridad. Su uso significa que los datos y los usuarios tienen una capa adicional de seguridad que garantiza la privacidad y la confidencialidad, y permite evitar que ciberdelincuentes roben los datos. En la práctica, la criptografía tiene muchas aplicaciones:
- Confidencialidad: Solo el destinatario previsto puede acceder a la información y leerla, por lo que las conversaciones y los datos siguen siendo privados.
- Integridad de los datos: La criptografía garantiza que los datos codificados no puedan modificarse ni manipularse en tránsito entre el emisor y el receptor sin dejar marcas rastreables; un ejemplo de ello son las firmas digitales.
- Autenticación: Se verifican las identidades y los destinos (u orígenes).
- No rechazo: Los remitentes son responsables de sus mensajes, ya que después no pueden negar que transmitieron el mensaje: las firmas digitales y el seguimiento del correo electrónico son ejemplos de ello.
¿Qué es la criptografía en ciberseguridad?
El interés por el uso de la criptografía creció con el desarrollo de las computadoras y sus conexiones a través de las redes abiertas. Con el tiempo, se hizo evidente la necesidad de proteger la información para que no se interceptara ni manipulara mientras se transmitía por estas redes. IBM fue uno de los pioneros en este campo y lanzó su cifrado "Lucifer" en los años 60, que acabó convirtiéndose en el primer estándar de cifrado de datos (DES).
A medida que nuestras vidas se vuelven cada vez más digitales, la necesidad de la criptografía para proteger cantidades masivas de información confidencial se volvió aún más imperativa. Ahora bien, la criptografía es crucial en el entorno web de muchas maneras. El cifrado es una parte esencial de estar en línea, ya que todos los días se transmiten muchos datos confidenciales. A continuación, detallamos algunas aplicaciones reales:
- Uso de redes privadas virtuales (VPN) o protocolos (como SSL) para navegar por Internet de forma segura.
- Creación de controles de acceso limitado para que solo las personas con los permisos adecuados puedan llevar a cabo determinadas acciones o funciones, o acceder a datos específicos.
- Protección de distintos tipos de comunicación en línea, como correos electrónicos, credenciales de inicio de sesión e incluso mensajes de texto, como WhatsApp o Signal, mediante cifrado de extremo a extremo.
- Protección a los usuarios de diversos tipos de ciberataques, como los ataques de intermediario.
- Posibilidad de que las empresas cumplan requisitos legales, como las protecciones de datos establecidas en el Reglamento General de Protección de Datos (RGPD).
- Creación y verificación de credenciales de inicio de sesión, en especial contraseñas.
- Posibilidad de llevar a cabo la gestión y transacción seguras de criptomonedas.
- Posibilidad de firmar documentos y acuerdos en línea de forma segura con firma digital.
- Verificación de identidades al acceder a cuentas en línea.
¿Cuáles son los tipos de criptografía?
Como se puede suponer, las definiciones de criptografía son bastante amplias. Esto se debe a que el término abarca una amplia variedad de procesos diversos. Por eso, existen muchos tipos diferentes de algoritmos criptográficos, cada uno de los cuales ofrece distintos niveles de seguridad, según el tipo de información que se transmita. A continuación, presentamos los tres tipos criptográficos principales:
- Criptografía de clave simétrica: Esta forma más sencilla de criptografía toma su nombre del hecho de que tanto el emisor como el receptor comparten una clave para cifrar y descifrar la información. Algunos ejemplos son el estándar de cifrado de datos (DES) y el estándar de cifrado avanzado (AES). En este caso, la principal dificultad es encontrar una forma de compartir la clave de forma segura entre el emisor y el receptor.
- Criptografía de clave asimétrica: Una clase más segura en la que tanto el emisor como el receptor tienen una clave pública y otra clave privada. Durante el proceso, el emisor utilizará la clave pública del receptor para cifrar el mensaje, mientras que el receptor utilizará su clave privada para descifrarlo. Las dos claves son diferentes, y como solo el receptor tendrá la clave privada, será la única persona capaz de leer la información. El algoritmo RSA es la forma más popular de criptografía asimétrica.
- Funciones hash: Son tipos de algoritmos criptográficos que no implican el uso de claves. En su lugar, se crea un valor hash (un número de longitud fija que funciona como identificador único de datos) en función de la longitud de la información en texto plano y se utiliza para cifrar los datos. Esto se suele utilizar en varios sistemas operativos para, por ejemplo, proteger las contraseñas.
De lo anterior, se desprende que la principal diferencia, en criptografía, entre el cifrado simétrico y el asimétrico es que el primero solo requiere una clave, mientras que el segundo requiere dos.
Tipos de criptografía simétrica
En ocasiones, el cifrado simétrico se denomina criptografía de clave secreta porque se utiliza una única clave, en principio secreta, para cifrar y descifrar la información. Este tipo de criptografía puede tener varias formas, entre ellas las siguientes:
- Cifrado de flujo: Funciona con un único byte de datos cada vez y cambian la clave de cifrado de forma periódica. En este proceso, el flujo de claves puede ser conjunto o independiente del flujo de mensajes. Esto se denomina autosincronización o sincrónico respectivamente.
- Cifrado por bloques: Este tipo de criptografía, que incluye el cifrado de Feistel, codifica y decodifica un bloque de datos en cada oportunidad.
Formas de criptografía de clave asimétrica
La criptografía asimétrica, a veces denominada cifrado de clave pública, se basa en el hecho de que el receptor tiene dos claves: una pública y otra privada. La primera la utiliza el emisor para codificar la información, mientras que el receptor utiliza la segunda, que solo esta persona tiene, para descifrar el mensaje de forma segura.
La criptografía de clave asimétrica cifra y descifra mensajes mediante algoritmos. Se basan en varios principios matemáticos, como la multiplicación o la factorización (multiplicación de dos grandes números primos para generar un número aleatorio masivo que es muy difícil de descifrar) o la exponenciación y los logaritmos, que crean números supercomplejos que son casi imposibles de descifrar, como en el cifrado de 256 bits. Estos son algunos de los algoritmos de clave asimétrica:
- RSA: El RSA, primer tipo de criptografía asimétrica creado, es la base de las firmas digitales y los intercambios de claves, entre otras cuestiones. El algoritmo se basa en el principio de factorización.
- Criptografía de curva elíptica (ECC): La ECC, que suele encontrarse en smartphones y en exchanges de criptomonedas, emplea la estructura algebraica de las curvas elípticas para construir algoritmos complejos. Y lo que es más importante, no requiere mucha memoria de almacenamiento ni ancho de banda, lo que la hace muy útil en dispositivos electrónicos con potencia de cálculo limitada.
- Algoritmo de firma digital (DSA): Basado en los principios de exponenciación modular, el DSA es el estándar de oro para verificar firmas electrónicas y fue creado por el Instituto Nacional de Estándares y Tecnologías.
- Cifrado basado en identidad (IBE): Este algoritmo único elimina la necesidad de que el destinatario de un mensaje le brinde su clave pública al remitente. En su lugar, el remitente utiliza un identificador único conocido, como una dirección de correo electrónico, para generar una clave pública con la cual codificar el mensaje. Luego, un servidor externo de confianza genera la clave privada correspondiente a la que el receptor puede acceder para descifrar la información.
Ataques criptográficos
Como ocurre con la mayoría de las tecnologías, la criptografía cada vez es más sofisticada. Pero eso no significa que estos cifrados no puedan vulnerarse. Si las claves están en riesgo, es posible que un tercero descifre el código y lea los datos protegidos. Estos son algunos de los posibles problemas que debes tener en cuenta:
- Claves débiles: Las claves son una serie de números aleatorios que se utilizan con un algoritmo de cifrado para alterar y disfrazar los datos de forma que sean incomprensibles para las demás personas. Las claves más largas incluyen más números, lo que las hace mucho más difíciles de descifrar y, por lo tanto, mejores para proteger los datos.
- Uso incorrecto de claves: Las claves deben utilizarse de forma adecuada; de lo contrario, los hackers pueden descifrarlas con facilidad para acceder a los datos que deben proteger.
- Reutilización de claves para distintos fines: Al igual que las contraseñas, cada clave debe ser única. Usar la misma clave en diferentes sistemas debilita la capacidad de la criptografía para proteger los datos.
- No cambiar las claves: Las claves criptográficas pueden quedar obsoletas con rapidez, por lo que es importante actualizarlas con regularidad para mantener los datos protegidos.
- No almacenar las claves con precaución: Asegúrate de que las claves se guardan en un lugar seguro donde no puedan encontrarse con facilidad; de lo contrario, pueden robarse para poner en riesgo los datos que protegen.
- Ataques internos: Personas que solían tener un acceso legítimo a las claves (por ejemplo, empleados) pueden ponerlas en riesgo y venderlas con fines perversos.
- Olvidar la copia de seguridad: Las claves deben tener una copia de seguridad porque si fallan de forma inesperada, podría ser imposible acceder a los datos que protegen.
- Registro incorrecto de claves: Ingresar de forma manual las claves en una hoja de cálculo o anotarlas en papel puede parecer una opción lógica, pero también propensa a errores y robos.
También existen ataques criptográficos específicos diseñados para penetrar los cifrados encontrando la clave correcta. Estos son algunos de los más comunes:
- Ataques de fuerza bruta: Ataques amplios que intentan adivinar de forma aleatoria claves privadas utilizando el algoritmo conocido.
- Ataques de solo texto cifrado: Estos ataques consisten en un tercero que intercepta el mensaje cifrado (no el texto plano) e intenta averiguar la clave para descifrar la información y, luego, el texto plano.
- Ataque de texto cifrado elegido: Lo contrario de un ataque de texto plano elegido. En este caso, el atacante analiza una sección de texto cifrado contra su correspondiente texto plano para descubrir la clave.
- Ataque de texto plano elegido: En este caso, el atacante elige el texto plano de un texto cifrado correspondiente para empezar a elaborar la clave de cifrado.
- Ataque de texto plano conocido: En este caso, el atacante accede a una parte aleatoria del texto plano y a parte del texto cifrado y comienza a averiguar la clave de cifrado. Esto es menos útil para la criptografía moderna, ya que funciona mejor con cifrados simples.
- Ataque de algoritmo: En estos ataques, el ciberdelincuente analiza el algoritmo para intentar averiguar la clave de cifrado.
¿Es posible mitigar la amenaza de los ataques criptográficos?
Hay algunas formas en las que las personas y las organizaciones pueden intentar reducir la posibilidad de un ataque criptográfico. Básicamente, se trata de garantizar una administración adecuada de las claves para que sea menos probable que terceros las intercepten o que puedan utilizarse incluso si se interceptan. Estas son algunas sugerencias:
- Utiliza una única clave para cada finalidad específica; por ejemplo, utiliza claves únicas para la autenticación y las firmas digitales.
- Protege las claves criptográficas con claves de cifrado (KEK) más potentes.
- Utiliza módulos de seguridad de hardware para administrar y proteger las claves: funcionan como los administradores de contraseñas tradicionales.
- Asegúrate de que las claves y los algoritmos se actualicen con regularidad.
- Cifra todos los datos confidenciales.
- Crea claves seguras y únicas para cada propósito de cifrado.
- Guarda bien las claves para que terceros no puedan acceder a ellas con facilidad.
- Garantiza la correcta implementación del sistema criptográfico.
- Incluye la criptografía en la capacitación de concientización sobre seguridad para los empleados.
La utilidad de la criptografía
La mayoría de las personas no necesitarán tener más que los conocimientos básicos sobre criptografía. Pero aprender la definición de criptografía, cómo funciona el proceso y sus aplicaciones en la ciberseguridad puede ser útil para tener en cuenta la administración de las interacciones digitales cotidianas. Esto puede ayudar a la mayoría de las personas a mantener sus correos electrónicos, contraseñas, compras y transacciones bancarias en línea más protegidos, ya que todos estos emplean criptografía en sus funciones de seguridad.
Artículos y enlaces relacionados:
Comprender la detección y respuesta en endpoints
Productos y servicios relacionados:
Kaspersky Endpoint Security Cloud
Kaspersky VPN Secure Connection
Descarga la prueba gratuita de Kaspersky VPN Secure Connection