¿Qué tan seguros son sus datos cifrados robados?

Lo más probable es que te hayan robado algunos de tus datos. ¿Alguna vez usaste Yahoo? 3.000 millones de cuentas de Yahoo fueron capturadas en 2013. ¿Visitar un hotel Marriott? Se robaron 500 millones de cuentas de Marriott durante cuatro años, 2014 – 2018. ¿Se las arregló para conservar su antigua dirección de Hotmail y su espíritu adolescente nervioso? 360 millones de cuentas de MySpace, pirateadas. ¿Usar MyFitnessPal? 150 millones de cuentas.

Entonces, ¿qué obtuvieron exactamente los piratas informáticos? Cada pirateo es diferente, pero casi definitivamente obtuvieron su dirección de correo electrónico, información de usuario, registros de su actividad en el sitio y posiblemente cosas mucho más dañinas. Sin embargo, buenas noticias: muchos de los datos más confidenciales probablemente estaban encriptados. También hay una buena posibilidad de que no esté encriptado, pero tomemos el mejor escenario de robo de datos: su información fue robada, pero el material sensible fue encriptado con AES-256. ¿Qué tan seguro es?

¿Qué significa que los datos estén encriptados?

El “cifrado” en la seguridad de datos moderna generalmente se refiere a la criptografía basada en claves. En resumen, ingresa los datos que desea cifrar y la clave (una cadena de letras, números y / o símbolos) que desea utilizar para cifrarlos. La combinación de estas dos cosas crea un desorden confuso que solo se puede descifrar si se utiliza la clave adecuada. No debe confundirse con:

  • Codificación: utiliza el mismo algoritmo para codificar y decodificar datos, no se requiere clave. Esto es como ASCII o Unicode: completamente inseguro.
  • Hashing : proceso de cifrado unidireccional que produce el mismo resultado para una entrada idéntica, pero deja resultados muy diferentes si las entradas varían incluso un poco. Suele utilizarse para la gestión de contraseñas con un algoritmo como SHA-256 o bcrypt.

Por ejemplo:

Método Texto
Codificación (ASCII, decimal) Mantenlo en secreto. Manténlo seguro.
Cifrado (AES de 256 bits) Mantenlo en secreto. Manténlo seguro.
Hash (bcrypt) Mantenlo en secreto. Manténlo seguro.
Método Con método aplicado
Codificación (ASCII, decimal) 75101101112 32105116 32115101 99114101116 46 32 75101112 32105116 32115 97102101 46
Cifrado (AES de 256 bits, clave: Mellon ) ddg18josC + 1ouYRjv5CfPoo

jKJV + y3OLtxjIeCUsL + A =
Hash (bcrypt, doce rondas) $ 2y $ 12 $ 3O1EiCPdVrqZFllHJ /

.q9eZzsyzqdmLMluqlQKO1A


NtlYMva94.nS
Método Descifrado
Codificación (ASCII, decimal) Mantenlo en secreto. Manténlo seguro.
Cifrado (AES de 256 bits) Mantenlo en secreto. Manténlo seguro.
Hash (bcrypt) No se puede descifrar

Los dos tipos principales de cifrado son simétricos y asimétricos. El cifrado simétrico se puede descifrar utilizando la misma clave que se utilizó para cifrarlo, mientras que el cifrado asimétrico requiere una clave (la clave pública) para cifrar y otra clave (la clave privada) para descifrar. La mayor parte del cifrado moderno es asimétrico, ya que tener solo una clave para una base de datos completa de información es muy inseguro.

¿Qué tan seguro es el cifrado? ¿Puede romperse?

La respuesta corta es sí: el cifrado se puede descifrar. Un enfoque de fuerza bruta, que básicamente implica hacer un montón de conjeturas hasta que uno resulta acertado, sin duda encontraría la respuesta correcta, con suficiente tiempo y potencia de cálculo. Dadas nuestras capacidades actuales, AES-256 de fuerza bruta podría llevar hasta 3 sexdecillion (3 × 10 51 ) años, y se podrían adjuntar números similares a muchos algoritmos de cifrado ampliamente utilizados. En el futuro, las computadoras cuánticas y otros avances podrían disminuir significativamente la seguridad del cifrado, pero mientras tanto, es efectivamente impenetrable.

Pero eso no hace que el cifrado sea infalible. Los atacantes saben muy bien que los datos cifrados son inútiles sin claves, así que, ¿qué buscan? Las llaves. La violación de datos más catastrófica posible es aquella en la que se roban los datos cifrados y las claves de descifrado. Si la seguridad de los datos se está implementando correctamente, las claves (múltiples claves para diferentes datos, probablemente por usuario) se almacenarán de forma segura en una ubicación separada de los datos y probablemente deberían estar cifradas. Además, las claves deberán descifrarse y recuperarse de forma segura cada vez que sea necesario descifrar algunos datos, para que los atacantes no puedan interceptarlos. Además de todo eso, las claves probablemente deberían cambiarse de forma regular.

Si el sitio del que robaron su información hizo todo eso, los atacantes probablemente no se apoderaron de las claves, y sus datos estarán seguros hasta que el sol se apague o inventemos computadoras mucho más poderosas. Pero, ¿cuáles son las probabilidades de que los sitios realmente estén haciendo esto y qué cantidad de sus datos están encriptados incluso en el mejor de los casos?

¿Quién cifra y qué se cifra?

¿Recuerda esa lista de violaciones de datos al principio de este artículo? Vamos a verlos de nuevo.

Incumplimiento Año Registros afectados Cifrado Sin encriptar
Yahoo 2013/2014 3 mil millones – Contraseñas hash (en su mayoría bcrypt, algunas MD5)

– Algunas preguntas de seguridad
– Nombres

– Direcciones de correo electrónico


– Números de teléfono


– Fechas de nacimiento
Marriott 2014-2018 3-500 millones – 8,6 millones de números de tarjetas de crédito

– 20,3 millones de números de pasaporte
– Nombres

– Direcciones


– Fechas de nacimiento


– Género


– Datos del programa de fidelización


– Información de reserva


– 5.25 millones de números de pasaporte
Mi espacio 2016 400 millones Contraseñas (SHA-1, sin salazón) – Direcciones de correo electrónico

– Nombres de usuario
MyFitnessPal 2018 150 millones Contraseñas (bcrypt, salted y SHA-1) – Nombres de usuario

– Direcciones de correo electrónico


– Contraseñas

Esta lista podría ser muy, muy larga, pero te haces una idea: Básicamente, lo único que se cifra en la mayoría de los sitios es tu contraseña (que en realidad está siendo codificada) e información de pago. A menos que sea un sitio que trata con mucha información confidencial o tiene algo para la alta seguridad, su violación de datos probablemente expuso una buena cantidad de su PII (Información de identificación personal). Eso se debe principalmente a que cifrar y descifrar cosas requiere mucho más poder de cómputo, tiempo, esfuerzo y dinero que simplemente almacenarlos en texto plano y entregárselos directamente.

Sin embargo, incluso las cosas encriptadas en estos trucos no siempre fueron seguras. Yahoo y MyFitnessPal usaron bcrypt para sus contraseñas, que es un estándar de cifrado fuerte, pero también usaban MD-5 y SHA-1 respectivamente, principalmente para cuentas más antiguas. Estos son algoritmos hash mucho más débiles. MySpace simplemente eligió SHA-1 sin sal para todo, lo que tiene sentido, pero también significa que su contraseña casi definitivamente se filtró. Yahoo tampoco ha tenido claro si sacó sus contraseñas en 2013 (probablemente no lo hicieron), lo que las hace bastante vulnerables a que las descifren.

Marriott incluso perdió 5,25 millones de números de pasaporte en texto plano, lo que no es bueno. Claramente sabían que deberían cifrarlos (después de todo, 20 millones más lo estaban haciendo), pero dejaron caer la pelota sobre el 20 por ciento de sus clientes. También cifraron los números de las tarjetas de crédito, pero no están seguros de si los piratas informáticos obtuvieron la clave o no.

La moraleja de la historia: la mayoría de tus datos no están encriptados, incluso lo que crees que debería estar realmente .

Pero mis datos estaban encriptados

Bien, entonces estaba usando un sitio web con una seguridad fantástica que encriptaba hasta el último bit de su información. Esos existen: muchos sitios de almacenamiento de archivos (Dropbox, Google Drive) cifrarán sus archivos en su base de datos, por ejemplo. Si ese es el caso, siempre que su juego de almacenamiento de claves sea sólido y sus expertos en seguridad hayan hecho un buen trabajo con los desarrolladores, es muy probable que sus datos permanezcan intactos hasta la muerte térmica del universo.

Sin embargo, el escenario más probable es que gran parte de su información no esté encriptada, e incluso la información confidencial podría haber sido codificada o codificada con la clave en algún lugar de la base de datos o en el sistema de archivos. No hay mucho que pueda hacer al respecto, ya que debe proporcionar a las empresas sus datos para poder utilizar sus servicios, pero puede intentar mantenerlos al mínimo, ¡y no reutilizar las contraseñas !

Y no olvide verificar HaveIBeenPwned para ver si sus datos han aparecido en alguna infracción.

Créditos de imagen: claves de cifrado de clave pública , violación de seguridad de datos , criptografía de clave pública naranja azul

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario