Cifra sus datos

El cifrado es un método por el que convertimos en ilegible una determinada información o mensaje para que sólo acceda a ella la persona autorizada haciendo uso de una contraseña, código o PIN necesario para descifrarlo.

Para entenderlo mejor, imaginemos que en una frase sustituimos cada una de las letras por la siguiente del abecedario. El texto resultante será con seguridad ilegible, pero si alguien conoce o descubre el método de cifrado podrá descifrar el mensaje, ¿verdad? Pues las nuevas tecnologías permiten utilizar métodos similares a estos pero mucho más sofisticados para cifrar la información.

Cifraremos nuestra información cuando queramos mantenerla a salvo de quien la pudiera encontrar y nos aseguraremos de utilizar un algoritmo de cifrado adecuado y de escoger claves difíciles de adivinar: cadenas de al menos ocho caracteres, que carezcan de significado, con letras, números y símbolos del teclado.

Si olvidamos la clave de cifrado nunca más podremos acceder a la información.

Para cifrar la información utilizaremos programas o aplicaciones específicas. En algunos dispositivos vienen ya instaladas, como por ejemplo BitLocker para Windows, pero también podemos recurrir a aplicaciones externas y gratuitas que podemos descargar de Internet tal como Veracrypt, que permite crear archivos o particiones de disco duro cifradas o 7zip para hacer archivos comprimidos y protegidos con contraseña utilizando el cifrado AES256. También existen aplicaciones que cifran contenidos para los teléfonos móviles y tabletas.

Los procesos de cifrado pueden realizarse principalmente sobre dos ámbitos de contenido:

• El dispositivo o medio de almacenamiento. En este caso se cifra todo un medio de almacenamiento, como un disco duro. No será posible acceder a ninguna información contenida en él sin conocer el sistema de descifrado.
  Este método nos puede llevar mucho tiempo si el número de archivos a cifrar es elevado. También veremos reducida la velocidad de funcionamiento del disco duro, por lo que solo será una opción recomendable si utilizamos dicho disco esencialmente como dispositivo de copia de seguridad.
• Los archivos y carpetas. Podemos proteger una parte de la información contenida en un medio de almacenamiento, sea un disco duro o la nube. Solo aquellas carpetas o archivos que escojamos para el cifrado serán ilegibles para quien no conozca la clave, y el resto de información será accesible normalmente.
  Por ejemplo, podemos proteger mediante cifrado solo aquellas carpetas donde almacenamos documentos con información personal o archivos que son propiedad de la empresa para la que trabajamos.

Lo básico :

Tenemos que explicar algunos términos que a veces pueden resultar confusos y evitar algunos de los problemas que suelen surgir al hablar de encriptación.

En efecto, hay palabras que se pueden utilizar, otras que no. Y algunas que se aceptan (pero sólo en ciertos casos):

• Cifrar: significa hacer ilegible un documento con una clave de cifrado, excepto para el destinatario.
• Descifrar: hacer legible un documento cifrado, conociendo la clave de cifrado.
• Desencriptar: hacer legible un documento encriptado, sin conocer la clave de encriptación.
• Criptología: es la ciencia del secreto, en su sentido etimológico. Incluye varias disciplinas:
  • Criptografía: pretende estudiar cómo proteger mediante encriptación.
  • Criptoanálisis: pretende analizar los métodos de encriptación para romperlos.
• Encriptado: De acuerdo a la Real Academia Española, viniendo de un anglicismo, esta palabra no debería usarse.

No tengo nada que ocultar, ¿Por qué encriptar?

Este argumento es el más frecuente cuando se habla de protección de datos. También es la peor. Porque pones sobres en tu correo, no pones el número y el código de tu tarjeta bancaria en una camiseta, cierras las puertas con llave, envías mensajes por Whatsapp o Telegram y no sólo a través de tu muro público de Facebook, ¡hasta llevas ropa!

A veces incluso quieres tener una charla tranquila en la máquina de café o ir al médico sin que todo el mundo sepa que tienes una infección. Así que ya tienes mucho que ocultar.

Un tema que ya ha sido objeto de muchas conferencias. Además, las empresas y universidades tienen que guardar sus secretos, métodos de trabajo e información en aras de la competitividad y preservar la innovación.

"Argumentar que no te preocupa la privacidad porque no tienes nada que ocultar, es como decir que no te preocupa la libertad de espresión porque no tienes nada que decir" - Edward Snowden

Cuidado con el cifrado parcial

Pero cuidado, el hecho de que un elemento esté cifrado en una comunicación no significa que esté totalmente protegido. Así, una noción cada vez más propuesta por los servicios que pretenden garantizar un cierto nivel de confidencialidad es la del cifrado de extremo a extremo (End2End), que no siempre se ofrece por defecto.

Consiste en garantizar que sólo las partes que se comunican tienen las claves de cifrado, no los intermediarios, y que el mensaje se cifra antes de enviarlo y después de recibirlo. Así se evitan los ataques "man-in-the-middle", la vigilancia por parte del propio servicio o de los proveedores de servicios de Internet, por ejemplo.

El problema del cifrado parcial puede ilustrarse fácilmente enviando un correo electrónico a un tercero. En este caso, se puede establecer una conexión cifrada (SSL/TLS) entre su máquina y el servidor que envía el correo electrónico. Pero desde ahora hasta que se reciba, puede pasar por varios servidores, y no se sabe si se comunicarán entre sí de forma encriptada.

Este problema es tenido en cuenta por Google, que muestra alertas en Gmail e indica qué servicios entran en juego o no en su "Informe de transparencia".

Si tomamos la analogía de la carta y la tarjeta postal, es como considerar que una carta está protegida porque el cartero la mete en su bolsa. Pero esto no garantiza que un empleado no lo lea con sus compañeros en el centro de clasificación. De ahí la necesidad de un sobre (y, por tanto, de encriptación en el caso del correo electrónico).

Sin embargo, esto no es suficiente. Porque quienes procesan sus correos electrónicos pueden tener acceso a su contenido. Este es un elemento que se tiene en cuenta en la Ley Digital, que sin embargo no prohíbe el tratamiento con fines publicitarios. Una práctica implementada por servicios como Gmail (por ejemplo), que analiza el contenido de sus correos electrónicos para orientar mejor la publicidad que se le muestra.

Esto sólo es posible porque los servidores de Google pueden leer el contenido de los mensajes que alojan. Por ello, algunos servicios de correo web están trabajando en la implementación del cifrado PGP de forma nativa para garantizar que no puedan acceder al contenido de sus intercambios.

Este es el caso, en particular, de ProtonMail, pero también de soluciones de software independientes como Roundcube en su versión 1.2 (opensource webmail software).