Falsa seguridad

El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:

Artículo 26. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.


Tan frecuente como el uso del e-mail, suele ser el hecho de que muchas personas protejan los ficheros que envían en esos correos (ficheros que son a menudo de ofimática, y aunque esto es tema para otra entrada, Microsoft Excel suele ser una herramienta muy usada y poco recomendable en este ámbito) mediante contraseña, por lo que, llegada la auditoría pertinente, a la obligada pregunta de si se hace uso de cifrado para el envío de información, la respuesta suele ser “no, pero”. Y este “pero” hace referencia a que transmiten todos los documentos con protección con clave de acceso. También está el caso de aquellas personas que contestan que sí a la anterior pregunta, sin saber que en realidad una contraseña no otorga cifrado.

No me cabe duda de que estas personas realizan estos envíos “protegidos” con la mejor de las intenciones, y con la tranquilidad añadida de que nadie excepto ellos y el receptor es capaz de acceder a la información enviada. Y esto es parte del problema, porque nada más lejos de la realidad. Aunque a algunos de ustedes esto les suene básico, es necesario repetir que las herramientas de ofimática convencionales o de compresión no sólo *no cifran los datos*, sino que además, generan en el emisor la falsa seguridad de que está efectivamente protegiendo los datos, y de que ya no necesita hacer nada más. Hay infinidad de herramientas, tanto comerciales, libres, y shareware para obtener las contraseñas de Microsoft Word, Excel o Access de manera instantánea. No en un par de horas, un par de días o un millón de años, no. De manera instantánea.

Esto no implica, por supuesto, que haya que descartar las herramientas de trabajo habituales, pero sí pone de relieve la necesidad -y obviamente, obligatoriedad legal- de aplicar medidas adicionales que efectivamente cifren, haciendo esos datos inaccesibles a terceras personas no deseadas.

[Actualización 30/04/2007: Un compañero del trabajo me indica que al contrario de lo que pensaba -y comentaba unas líneas arriba-, tanto el Microsoft Word como el Excel sí cifran los datos actualmente. Aunque es cierto que ambos parecen tener algún problema en el uso del algoritmo RC4 y se ha descubierto alguna vulnerabilidad, eso es tema para otro post y a efectos del RMS, puede considerarse como una herramienta válida. Esta funcionalidad puede accederse mediante Herramientas, Opciones, pestaña “Seguridad”. La opción “Proteger documento” que aparece en el menú superior no cifra los datos, ni la protección contra escritura.

Por otra parte, aunque Microsoft Access parece implementar cifrado, esto puede hacerse previa instalación de un complemento, lo que suele provocar que el usuario recurra al “Establecer contraseña para la base de datos”, que tampoco en este caso aporta cifrado.

Bien. Ya saben qué se dice en estos casos: el que tiene boca se equivoca.]

Comments

  1. http://nereid says

    Respecto a la sensación de falsa seguridad, cabe comentar que lo importante no es si se cifran o no (que si que lo es). Sino cuanta gente cuando rellena la casilla de “protección por contraseña” sabe en realidad que es lo que esta haciendo. Por ejemplo cuando se protege un word para que no se pueda editar con una contraseña, se debe tener en cuenta, que esa medida si que se rompe de manera instantanea (complejidad O(1) ).

    Así pues a pesar de la corrección, si hay que tener en cuenta que protegido por contraseña puede implicar un potente cifrado o puede no significar nada.

  2. Soy el administrador.

  3. Test

  4. Segundo test.