El uso de encriptación puede hacer a las empresas vulnerables a nuevos riesgos

El uso de la encriptación de datos podría hacer vulnerables a las organizaciones a nuevos riesgos y amenazas, según ha advertido un panel de expertos en seguridad.

Son cada vez más las organizaciones que deciden encriptar los datos almacenados en sus sistemas para evitar las consecuencias negativas de posibles pérdidas o robos de información. Se supone que la encriptación representa una de las alternativas más fiables de securización de datos. Tanto es así que, por ejemplo, las leyes estadounidenses que obligan a las empresas a informar sobre las brechas de datos no exigen notificar los incidentes si los datos perdidos están encriptados.

Sin embargo, expertos de IBM Internet Security Systems, Juniper, nCipher y algunas otras firmas especializadas en seguridad han advertido que la encriptación de datos también abre la puerta a nuevos riesgos, en particular vía ataques –deliberados o accidentales- sobre la infraestructura de gestión de claves.

La oportunidad se produce en especial porque supone un cambio importante para las empresas, acostumbradas en algunos casos a encriptar datos en tránsito, pero no la información almacenada, según explica Richard Moulds, vicepresidente ejecutivo de estrategia de producto de nCipher.

“Muchas organizaciones son nuevas en lo que respecta a encriptación. Su única experiencia con ella generalmente se ha restringido a SSL, pero en este caso sólo se trata de una sesión. Cuando se cambia a datos en reposo y se encripta un laptop, si se pierde la clave, se pierden los datos. Una situación de este tipo podría considerarse de alguna manera como un ataque de denegación de servicio autoinfligido”, argumenta Moulds.

Nuevo tipo de ataques DoS

Además, la encriptación interesa tanto a los delincuentes como lo hace a las empresas, según advierte Anton Grashion, estratega europeo para seguridad de Juniper. “Por ejemplo, si el despliegue de estas alternativas en las organizaciones se amplía lo suficiente, se abrirá una gran oportunidad para empezar atacar las infraestructuras de claves”. “Se trata de una nueva clase de ataque DoS”, insiste Moulds. “Si el hacker puede revocar una clave y después demandar un rescate por ella, surge una nueva e interesante forma de amenazar a las empresas”.

Otro riesgo importante relacionado con la encriptación es que un uso demasiado celoso de ella llegará sin duda a dañar la capacidad de la empresa para compartir y utilizar los datos críticos de negocio incluso en contextos legítimos, según Joshua Corman, estratega principal de seguridad para IBM ISS. “Me parece temible la idea de que todos vayamos a intentar esconder la totalidad de nuestra información. Hoy las empresas son negocios fuertemente basados en ella, por lo que entorpeciendo su flujo se estará dificultando la colaboración y la toma de decisiones”, explica Corman.

Paradójicamente, “a veces, el resultado de implementar tecnología de seguridad es realmente un incremento neto del riesgo”, concluye Richard Reiner, CTO y CSO de Telus Security Solutions.
Whitepaper emc-cio-it-as-a-service-wp Whitepapers