CIUDAD DE BUENOS AIRES (Urgente24) - ¡Ah! El Increíble Hulk... ese demonio verde, gigantesco y cargado de ira, contracara de un científico apacible (Bruce Banner) resultó ser no sólo un genio de la física y la química sino también un avezado usuario de las computadoras. Basta con mencionar el caso de la última película del personaje de Stan Lee, en la que el protagonista de la serie se encuentra fugitivo en la favela Rocinha, de Río de Janeiro, y pierde una computadora de la que el ejército que lo persigue busca sacar información.
ARCHIVO >
Encriptar mails: Una tarea que sabe hacer hasta el Increíble Hulk
Desde la clandestinidad de Raúl Reyes hasta la ficción del Increíble Hulk, hoy en día la aparición de datos encriptados en el envío de información es un tema corriente y un requisito indispensable para cada vez más empresas que requieren la protección de su información. Los avances en seguridad informática permiten encriptar mails con cada vez mayor facilidad, para que hasta el usuario más ignorante sobre el tema pueda protegerse.
El prófugo e irascible Hulk, de cualquier manera, supo tener cuidado de mantener sus líneas de comunicación segura con Mr. Blue, su aliado en casa y contó con un sistema de encriptación de mails que lo hace salir airoso de la situación. Los parecidos con la historia de Raúl Reyes, número dos de las FARC abatido en marzo de este año, son sorprendentes, con la única excepción de que Hulk encriptó bien sus comunicaciones y Reyes, aparentemente, no.
Más allá de la comparación entre los dos (que en realidad no tienen ni un punto de apoyo más que el de formar parte de un relato similar), el tema de la protección de datos, abarcado en uno u otro aspecto, resulta vital en las comunicaciones a través de Internet.
Por Internet viajan libremente todos los días millones de correos electrónicos, muchos de ellos con información corporativa sensible y, sin embargo, desprotegidos. No obstante, cada vez son más las organizaciones conscientes de la necesidad de proteger sus e-mails con técnicas de encriptación, manteniéndolos a salvo de "curiosos". Son múltiples las soluciones de encriptación de correo electrónico ya disponibles en el mercado y cuál sea la mejor, dependerá en gran medida de las peculiaridades de cada organización.
Proteger los datos sensibles de las empresas en la era de la información y las comunicaciones se ha convertido en un imperativo ineludible. Aún más en aquellos sectores donde la privacidad de los datos se encuentra especialmente regulada, como puede ser la banca o la salud. Ya se trate de información almacenada en bases de datos, en cintas de backup, transportándose hacia un centro de respaldo o dentro de un correo electrónico, el responsable de informática de cualquier empresa debe estar en condiciones de garantizar su seguridad.
Quizá la suerte le acompañe y, aunque los datos no estén lo suficientemente protegidos, nada ocurra, pero en caso de problema serio, probablemente su cabeza sea una de las primeras en rodar. Por tanto, se hace cada vez más crítico desarrollar una estrategia comprehensiva de la seguridad TIC que marque cuáles son los niveles de riesgo aceptables en cada negocio y establezca los medios necesario para garantizar que esos niveles nunca son sobrepasados.
Una de las dimensiones más importantes a tener en cuenta en una estrategia de este tipo es la seguridad requerida por la información que viaja por la Red asociada al cada vez más ubicuo correo electrónico. Los documentos adjuntos a ellos contienen a menudo información estratégica o datos sobre clientes, pacientes, socios, etc., que deben ser protegidos, incluso, por ley. En este contexto, la encriptación del correo electrónico se está convirtiendo cada vez más claramente en un requisito imprescindible de cualquier organización.
Generalmente, las técnicas de cifrado y encriptación tienden a asociarse a las ideas de complejas implementaciones, de ralentización del rendimiento de los equipos y de la necesidad de conocimientos especializados por parte de los usuarios. Sin embargo, los expertos llevan tiempo subrayando que los suministradores de soluciones de correo electrónico seguro han realizado drásticas mejoras en lo que respecta a lograr que sus productos sean más fáciles de utilizar y gestionar.
Según Travis Berkley, director de LAN Support Services en la Universidad de Kansas y participante el año pasado en un proceso de prueba sobre diferentes soluciones de encriptación de e-mail como miembro de Network World Lab Alliance, "encriptar correo electrónico es mucho más sencillo de lo que cualquiera podría imaginar". Además, Berkley asegura que, para la mayoría de las empresas, el coste de encriptar correo electrónico no resultará en absoluto prohibitivo.
Gestión a nivel de gateway
Aunque la complejidad derivada de la necesidad de gestionar claves y certificados de encriptación puede llegar a disuadir a muchos responsables TIC de implementar un sistema de este tipo, ésta complejidad se encuentra asociada fundamentalmente a la encriptación realizada en los sistemas de sobremesa. Existen, sin embargo, alternativas que permiten aplicar una gestión a nivel de gateway basada en políticas y que pueden llegar incluso a resultar completamente transparentes para el usuario final.
Durante las pruebas, se realizaron diversos tests de los productos de seis fabricantes; en concreto, CipherTrust IronMail, Entrust Entelligence, PGP Universal Series 500, PostX Secure E-mail, Tumbleweed MailGate y ZipLip Secure Messaging Suite. Todos ellos soportaban la gestión a nivel de gateway y, aunque en las pruebas se utilizó un servidor Exchange Server 2003, funcionan con cualquier sistema de correo que soporte SMTP.
Con estos sistemas, los mensajes salientes se envían al servidor de gateway para su procesamiento, mientras que los entrantes son procesados por la plataforma, que los desencripta en caso de que sea necesario, y después envía los resultados al servidor de e-mail.
Sin embargo, en la encriptación no sólo queda implicada la parte emisora, sino que debe contemplar también al receptor del mensaje, que a menudo no será miembro de la organización. Para resolver el problema cuando el destinatario del mensaje es un usuario externo que no está utilizando encriptación, todos los fabricantes cuyas ofertas fueron analizadas habían implementado una interfaz basada en Web que los receptores pueden utilizar para recuperar el correo encriptado.
En caso de que el sistema no pueda encontrar una clave para desencriptar un mensaje saliente, éste es trasladado a un sitio Web de la red del emisor. A continuación, envía un mensaje abierto (no encriptado) al destinatario dirigiéndolo al sitio Web en cuestión. Cuando el usuario externo se conecte a esa página por primera vez, se le solicitará una contraseña para acceder. Una vez autenticado, podrá entrar y leer el correo manteniendo una conexión basada en navegador y securizada vía SSL.
Atendiendo a la puntuación media global alcanzada en las pruebas, IronMail CipherTrust resultó ganador de la distinción Clear Choice Award "por su alto y estable rendimiento, sus capacidades de administración y sus reglas para la aplicación de políticas". Sin embargo, ganó por muy poco a los otros cinco productos sometidos a análisis, algunos de los cuales, para determinadas prestaciones, resultaron claramente vencedores. En consecuencia, la opción más indicada dependerá en gran medida de las peculiares del entorno donde se vaya a implementar la encriptación y, en consecuencia, de sus prioridades.
El otro extremo
Por ejemplo, cada producto permite controlar de manera diferente el contenido del repositorio Web donde se almacenan los mensajes que deben ser accedidos por usuarios externos previa autenticación. Se trata de algo importante dado que la empresa estará hospedando el correo electrónico para los destinatarios externos y por tanto es necesario mantener el control sobre los recursos comprometidos. Algunos productos ofrecen la posibilidad de crear reglas para la eliminación automática de mensajes una vez transcurrido un plazo predeterminado. PGP también permite fijar un cupo máximo para el almacenamiento de mensajes, de manera que, una vez alcanzado, éstos sean rechazados.
ZipLip y PostX ofrecen una forma adicional de entregar e-mail encriptado a usuarios externos sin encriptar los mensajes mismos. Éstos son enviados en forma de fichero adjunto JavaScript, presentado al destinatario como un envoltorio de seguridad. Cuando el primer mensaje es enviado, el usuario debe conectarse al sitio Web y crear una contraseña. Una vez esa contraseña se ha registrado y aceptado, los destinatarios recibirán los mensajes "envoltorio" securizados, podrán abrir el fichero, que les pedirá la contraseña, y, si la respuesta es correcta, mostrará el mensaje.
De esta manera se obtienen dos ventajas. En primer lugar, el mensaje se almacenará en el sistema de correo del receptor, en lugar de consumir los recursos de la empresa emisora. Por otra parte, la información podrá ser leída por el destinatario offline (sin conexión a la Web del emisor). No obstante, este método requiere disponer de un navegador con un buen soporte de JavaScript. Ambos sistemas funcionan bien con Internet Explorer y Mozilla Firefox, pero arrojaron resultados irregulares con navegadores Konqueror y Safari. Los dos envían una explicación al destinatario en caso de que su browser no pueda ejecutar JavaScript.
Otro punto de diferenciación entre las diversas soluciones analizadas fue la capacidad de cada producto para soportar un diseño personalizado de este sitio Web "repositorio" ajustado a la imagen corporativa de la empresa. El nivel de branding soportado varía considerablemente de unas soluciones a otras. En el extremo menos flexible, con PGP es posible cargar un logo e integrar un banner personalizado, mientras que, en el otro extremo, CipherTrust permite realizar un branding completo con múltiples interfaces Web, adaptadas a las diferentes marcas y departamentos de la empresa.
¿Qué encriptar?
Generalmente resulta más sencillo –y a menudo más seguro- determinar qué correos deben ser encriptados mediante la creación de políticas, entendidas como un conjunto de reglas aplicables a cada mensaje y capaces de provocar una acción. PGP fue el producto que menos ofreció en este sentido, dado que sólo soportaba políticas basadas en direcciones de correo electrónico. Resultó posible asociar usuarios en grupos, crear reglas para dominios específicos y escanear con mayor o menor precisión el campo "asunto" del mensaje en busca de claves. Las acciones consecuentes permitían elegir el tipo de encriptación a utilizar y decidir si enviar o no el mensaje.
El resto de los productos, además de estas capacidades, ofrecían capacidades adicionales, como el análisis del contenido del mensaje, no sólo del campo "asunto". ZipLip y CipherTrust soportan la creación de diccionarios de palabras y frases a buscar en el proceso de escaneo, así como programar una actuación automática en caso de encontrar alguna de ellas.
Entrust, PostX y Tumbleweed también permiten teclear expresiones más o menos naturales, indicando de forma genérica a qué podrían asemejarse los datos cuya búsqueda se pretende, en lugar de exigir una descripción exacta. Por ejemplo, puede ordenarse buscar números de una determinada cantidad de dígitos con guiones o puntos detrás del tercer o quinto dígito para descubrir datos sobre números de la Seguridad Social o cuentas bancarias, etc. A nivel global, las soluciones de CipherTrust, Entrust y Tumbleweed ofrecen los mayores grados de sofisticación en lo que se refiere a la determinación de mensajes a encriptar.
Respecto a las tecnologías utilizadas para las claves de encriptación y los certificados, los productos probados utilizaban el estándar Advanced Encryption Standard (AES). Adicionalmente, PostX soporta el algoritmo ARC4, y ZipLip y Tumbleweed, Triple-DES.
Entrust y PGP destacaron por su flexibilidad en la generación de clave, ofreciendo soporte para claves de hasta cinco cifras. PGP se desmarcó claramente por la longitud máxima de sus claves (hasta 4.096 bits), pero, aunque, cuanto más larga es la clave, más difícil resulta crackearla, también supone mayores requerimientos de tiempo y recursos su encriptación y desencriptación.
Una de las dimensiones más importantes a tener en cuenta en una estrategia de este tipo es la seguridad requerida por la información que viaja por la Red asociada al cada vez más ubicuo correo electrónico. Los documentos adjuntos a ellos contienen a menudo información estratégica o datos sobre clientes, pacientes, socios, etc., que deben ser protegidos, incluso, por ley. En este contexto, la encriptación del correo electrónico se está convirtiendo cada vez más claramente en un requisito imprescindible de cualquier organización.
Generalmente, las técnicas de cifrado y encriptación tienden a asociarse a las ideas de complejas implementaciones, de ralentización del rendimiento de los equipos y de la necesidad de conocimientos especializados por parte de los usuarios. Sin embargo, los expertos llevan tiempo subrayando que los suministradores de soluciones de correo electrónico seguro han realizado drásticas mejoras en lo que respecta a lograr que sus productos sean más fáciles de utilizar y gestionar.
Según Travis Berkley, director de LAN Support Services en la Universidad de Kansas y participante el año pasado en un proceso de prueba sobre diferentes soluciones de encriptación de e-mail como miembro de Network World Lab Alliance, "encriptar correo electrónico es mucho más sencillo de lo que cualquiera podría imaginar". Además, Berkley asegura que, para la mayoría de las empresas, el coste de encriptar correo electrónico no resultará en absoluto prohibitivo.
Gestión a nivel de gateway
Aunque la complejidad derivada de la necesidad de gestionar claves y certificados de encriptación puede llegar a disuadir a muchos responsables TIC de implementar un sistema de este tipo, ésta complejidad se encuentra asociada fundamentalmente a la encriptación realizada en los sistemas de sobremesa. Existen, sin embargo, alternativas que permiten aplicar una gestión a nivel de gateway basada en políticas y que pueden llegar incluso a resultar completamente transparentes para el usuario final.
Durante las pruebas, se realizaron diversos tests de los productos de seis fabricantes; en concreto, CipherTrust IronMail, Entrust Entelligence, PGP Universal Series 500, PostX Secure E-mail, Tumbleweed MailGate y ZipLip Secure Messaging Suite. Todos ellos soportaban la gestión a nivel de gateway y, aunque en las pruebas se utilizó un servidor Exchange Server 2003, funcionan con cualquier sistema de correo que soporte SMTP.
Con estos sistemas, los mensajes salientes se envían al servidor de gateway para su procesamiento, mientras que los entrantes son procesados por la plataforma, que los desencripta en caso de que sea necesario, y después envía los resultados al servidor de e-mail.
Sin embargo, en la encriptación no sólo queda implicada la parte emisora, sino que debe contemplar también al receptor del mensaje, que a menudo no será miembro de la organización. Para resolver el problema cuando el destinatario del mensaje es un usuario externo que no está utilizando encriptación, todos los fabricantes cuyas ofertas fueron analizadas habían implementado una interfaz basada en Web que los receptores pueden utilizar para recuperar el correo encriptado.
En caso de que el sistema no pueda encontrar una clave para desencriptar un mensaje saliente, éste es trasladado a un sitio Web de la red del emisor. A continuación, envía un mensaje abierto (no encriptado) al destinatario dirigiéndolo al sitio Web en cuestión. Cuando el usuario externo se conecte a esa página por primera vez, se le solicitará una contraseña para acceder. Una vez autenticado, podrá entrar y leer el correo manteniendo una conexión basada en navegador y securizada vía SSL.
Atendiendo a la puntuación media global alcanzada en las pruebas, IronMail CipherTrust resultó ganador de la distinción Clear Choice Award "por su alto y estable rendimiento, sus capacidades de administración y sus reglas para la aplicación de políticas". Sin embargo, ganó por muy poco a los otros cinco productos sometidos a análisis, algunos de los cuales, para determinadas prestaciones, resultaron claramente vencedores. En consecuencia, la opción más indicada dependerá en gran medida de las peculiares del entorno donde se vaya a implementar la encriptación y, en consecuencia, de sus prioridades.
El otro extremo
Por ejemplo, cada producto permite controlar de manera diferente el contenido del repositorio Web donde se almacenan los mensajes que deben ser accedidos por usuarios externos previa autenticación. Se trata de algo importante dado que la empresa estará hospedando el correo electrónico para los destinatarios externos y por tanto es necesario mantener el control sobre los recursos comprometidos. Algunos productos ofrecen la posibilidad de crear reglas para la eliminación automática de mensajes una vez transcurrido un plazo predeterminado. PGP también permite fijar un cupo máximo para el almacenamiento de mensajes, de manera que, una vez alcanzado, éstos sean rechazados.
ZipLip y PostX ofrecen una forma adicional de entregar e-mail encriptado a usuarios externos sin encriptar los mensajes mismos. Éstos son enviados en forma de fichero adjunto JavaScript, presentado al destinatario como un envoltorio de seguridad. Cuando el primer mensaje es enviado, el usuario debe conectarse al sitio Web y crear una contraseña. Una vez esa contraseña se ha registrado y aceptado, los destinatarios recibirán los mensajes "envoltorio" securizados, podrán abrir el fichero, que les pedirá la contraseña, y, si la respuesta es correcta, mostrará el mensaje.
De esta manera se obtienen dos ventajas. En primer lugar, el mensaje se almacenará en el sistema de correo del receptor, en lugar de consumir los recursos de la empresa emisora. Por otra parte, la información podrá ser leída por el destinatario offline (sin conexión a la Web del emisor). No obstante, este método requiere disponer de un navegador con un buen soporte de JavaScript. Ambos sistemas funcionan bien con Internet Explorer y Mozilla Firefox, pero arrojaron resultados irregulares con navegadores Konqueror y Safari. Los dos envían una explicación al destinatario en caso de que su browser no pueda ejecutar JavaScript.
Otro punto de diferenciación entre las diversas soluciones analizadas fue la capacidad de cada producto para soportar un diseño personalizado de este sitio Web "repositorio" ajustado a la imagen corporativa de la empresa. El nivel de branding soportado varía considerablemente de unas soluciones a otras. En el extremo menos flexible, con PGP es posible cargar un logo e integrar un banner personalizado, mientras que, en el otro extremo, CipherTrust permite realizar un branding completo con múltiples interfaces Web, adaptadas a las diferentes marcas y departamentos de la empresa.
¿Qué encriptar?
Generalmente resulta más sencillo –y a menudo más seguro- determinar qué correos deben ser encriptados mediante la creación de políticas, entendidas como un conjunto de reglas aplicables a cada mensaje y capaces de provocar una acción. PGP fue el producto que menos ofreció en este sentido, dado que sólo soportaba políticas basadas en direcciones de correo electrónico. Resultó posible asociar usuarios en grupos, crear reglas para dominios específicos y escanear con mayor o menor precisión el campo "asunto" del mensaje en busca de claves. Las acciones consecuentes permitían elegir el tipo de encriptación a utilizar y decidir si enviar o no el mensaje.
El resto de los productos, además de estas capacidades, ofrecían capacidades adicionales, como el análisis del contenido del mensaje, no sólo del campo "asunto". ZipLip y CipherTrust soportan la creación de diccionarios de palabras y frases a buscar en el proceso de escaneo, así como programar una actuación automática en caso de encontrar alguna de ellas.
Entrust, PostX y Tumbleweed también permiten teclear expresiones más o menos naturales, indicando de forma genérica a qué podrían asemejarse los datos cuya búsqueda se pretende, en lugar de exigir una descripción exacta. Por ejemplo, puede ordenarse buscar números de una determinada cantidad de dígitos con guiones o puntos detrás del tercer o quinto dígito para descubrir datos sobre números de la Seguridad Social o cuentas bancarias, etc. A nivel global, las soluciones de CipherTrust, Entrust y Tumbleweed ofrecen los mayores grados de sofisticación en lo que se refiere a la determinación de mensajes a encriptar.
Respecto a las tecnologías utilizadas para las claves de encriptación y los certificados, los productos probados utilizaban el estándar Advanced Encryption Standard (AES). Adicionalmente, PostX soporta el algoritmo ARC4, y ZipLip y Tumbleweed, Triple-DES.
Entrust y PGP destacaron por su flexibilidad en la generación de clave, ofreciendo soporte para claves de hasta cinco cifras. PGP se desmarcó claramente por la longitud máxima de sus claves (hasta 4.096 bits), pero, aunque, cuanto más larga es la clave, más difícil resulta crackearla, también supone mayores requerimientos de tiempo y recursos su encriptación y desencriptación.
No te lo pierdas
CONSPIRACIONES