Robo de datos informaticos y protección criptográfica

Robo de datos Informáticos

Por ello, la protección de datos ha sido realizado tanto aplicando técnicas criptográficas, así como  legislando sobre el uso de dichos datos personales, que han creado distintos organismos de protección, como en España es la Agencia de Protección de Datos, máximo órgano español para velar por la intimidad personal frente al abuso de las nuevas tecnologías, ha advertido de que, a no ser que se utilice un mecanismo de cifrado, debe asumirse que el correo electrónico no es seguro.

¿Son capaces las claves usadas en Internet de garantizar el secreto?

Muchas de las técnicas que se han considerado infalibles a lo largo de la historia han mostrado sus puntos débiles ante la habilidad de los criptoanalistas, desde los misterios de Enigma, que cayeron en poder del enemigo, hasta el DES, desechado por el propio Gobierno estadounidense por poco fiable.

Pero a pesar de los muchos rumores que hablan de la poca seguridad que garantizan las transmisiones vía Internet, es muy improbable que un estafador, sin unos conocimiento técnicos informáticos pueda interceptar los datos reservados de una transacción, por ejemplo, el número de una tarjeta de crédito, porque los formularios que hay que rellenar han sido diseñados con programas que cifran los datos.

Los hay tan simples como el Ro13, que sustituye cada letra por la situada 13 puestos más adelante, o extremadamente complicados.

En palabras de un apasionado de la criptografía, Edgar Allan Poe, “es dudoso que el género humano logre crear un enigma que el mismo ingenio humano no resuelva”.

Revelación de secretos empresariales 

La violación de secretos empresarial, se encuentra dentro de la categoría de los actos de competencia desleal que protegen básicamente, o incluso de los delitos informáticos, aunque no exclusivamente, el interés de los competidores se encuentra el artículo 13 de la Ley, el cual con la rúbrica sobre “violación de secretos”establece literalmente en su apartado l.

-“Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítimamente, pero con deber de reserva, o ilegítimamente, a consecuencia de alguna de las conductas previstas en el apartado siguiente o en el artículo 14”.

La doctrina española, considera como secreto empresarial “todo conocimiento reservado sobre ideas, productos o procedimientos industriales que el empresario, por su valor competitivo para la empresa, desea mantener oculto”.

La información secreta, debe tener un valor patrimonial que se manifiesta en el hecho de reportar a su titular una ventaja económica, ya sea actual o potencial, en relación con terceros que no la conocen.

La violación de los secretos empresariales

El artículo 13.1 de la Ley establece como presupuesto esencial del acto de deslealtad que la violación del secreto se realice sin “autorización de su titular”.

Por tanto, “a sensu contrario”, el titular de un secreto empresarial puede comunicar la información a terceros sin que por ello pierda su carácter confidencial en el seno de una relación, o bien porque así lo establezcan las partes mediante una clausula de confidencialidad.

Esta comunicación de la información secreta es característica de los contratos de trasferencia de Know-how y de licencia de información secreta.

En estos supuestos, no estamos ante un acto de deslealtad por estar autorizada la divulgación y explotación de la información secreta por el propio titular de la misma.

La protección de secretos empresariales

Habida cuenta que la revelación o el uso de secretos empresariales de un tercero en gran parte de los casos se realizan con intención de perjudicar al competidor, no parece aventurado el sostener que el recurso al procedimiento penal resulta mas ventajoso para el perjudicado.

En los procesos de secretos empresariales existe mas facilidad para probar las pérdidas del demandante y los beneficios obtenidos por el demandado, ya que uno de los factores determinantes para la caracterización del secreto empresarial es precisamente que reporte a su titular una ventaja de contenido patrimonial respecto de los competidores que no lo utilizan y, por tanto su utilización se traduce en un incremento patrimonial constatable por un examen de la contabilidad.

Los ataques informáticos

El uso masivo de Internet, ha propiciado también que, en la mayor parte de los casos, se produzcan intromisiones en la intimidad de la red personal o empresarial por parte de piratas informáticos, organizados o no, con distintas finalidades, muchos ataques son como siguen:

• Ataque sólo con texto cifrado. Esta es la peor situación posible para el criptoanalista, ya que se presenta cuando sólo conoce el criptograma.
• Ataque con texto original conocido. Consiste en que el criptoanalista tiene acceso a una correspondencia del texto inicial y cifrado. Se de este caso, por ejemplo, cuando conoce el tema del que trata el mensaje, pues eso proporciona una correspondencia entre las palabras más probables y las palabras cifradas mas repetidas.
• Ataque con texto original escogido. Este caso se da cuando el enemigo puede obtener, además del criptograma que trata de descifrar, el cifrado de cualquier texto que él elija, entendiéndose que no es que él sepa cifrarlo, sino que lo obtiene ya cifrado.
• Ataque con texto cifrado escogido. Se presenta cuando el enemigo puede obtener el texto original correspondiente a determinados textos cifrados de su elección.

Retomando la primera regla de Kerckhoffs, se pueden distinguir dos tipos de secreto: el secreto teórico o incondicional y el secreto práctico o de ordenadores.

El primero se basa en que la información disponible para el enemigo no es suficiente para romper el sistema.

Por ejemplo, se da este caso cuando el enemigo sólo conoce una cantidad de criptograma insuficiente para el criptoanálisis. Por el contrario, el secreto práctico se mide de acuerdo con la complejidad computacional del criptoanálisis.

Según las necesidades actuales, y debido principalmente a la gran cantidad de información que se transmite habitualmente, los diseñadores de sistemas criptográficos deben suponer que el enemigo puede hacer al menos un ataque del segundo tipo, luego deben intentar conseguir al menos secreto práctico.

Las teorías criptográficas en la protección de datos

Como ya se ha mencionado, existen muchos puntos en común entre la teoría de la información y la criptografía.

En concreto, entre codificación y criptografía se tiene que la codificación representa una forma alternativa de esconder un mensaje. La diferencia esencial entre un cifrado y un código estriba en que este último es un diccionario fijo; es decir, a cada palabra le corresponde siempre la misma palabra código.

En la actualidad se están produciendo, lo que se conoce como ciberterrorismo o terrorismo informático, en el que de forma masiva utilizando micro programas informáticos se están atacando centros neurálgicos y empresas importantes, que causan graves daños a la economía mundial, pidiendo en muchos casos “rescates” para la liberación del virus, ejemplo de ello son los ataques producidos por el rasomware o el robo de datos informáticos como contraseñas de entrada en la cuenta bancaria, como el virus Dridex o el Cloudbleed virus potente que durante el mes de junio de 2017 está causando estragos entre las empresas y administraciones públicas.

Privacidad de los mensajes de correo electrónico 

Hay dos posibles situaciones en las que se pueden encontrar los interlocutores.

Puede que sea suficiente la comprobación de que un mensaje no ha sido modificado por un tercero, o bien puede ser necesario que el receptor sea capaz de demostrar que realmente recibió el mensaje del emisor legítimo tal y como éste lo envió. La solución a la primera situación protege a ambos comunicantes de la acción de posibles enemigos, pero no protege contra los fraudes cometidos por uno de ellos.

En la segunda situación, si se produce un fraude cometido por uno de los dos comunicantes, se presenta el llamado problema de la disputa, que se resuelve proporcionando una demostración de la identidad del emisor al receptor.

Tal y como se definieron los esquemas de autenticación con y sin secreto se tiene que en el primero, un autenticador conocido por emisor y receptor se añade al texto que se desea autenticar y luego se cifra. De esta manera al texto resultante se le proporciona al mismo tiempo secreto y autenticación.

En el segundo caso, al texto simplemente se le añade un código de autenticación. Si en alguno de estos dos casos se usa un sistema simétrico, entonces emisor y receptor han de confiar plenamente el uno en el otro, porque ambos comparten la misma clave.

Por tanto se pueden clasificar claramente los métodos de autenticación, según si se utiliza criptografía simétrica o asimétrica, en:

• Métodos basados en criptosistemas simétricos.
• Métodos basados en criptosistemas asimétricos.

Veremos solamente el caso de los esquemas de autenticación mediante criptosistemas asimétricos.

Uno de los principales problemas que se presentan en la autenticación es la posibilidad de que el enemigo utilice mensajes anteriores. Para intentar resolverlo, es conveniente añadir al texto alguna señal que impida el engaño, como, por ejemplo, la fecha.

Aunque un esquema de autenticación permite al usuario A confiar en que el mensaje que ha recibido viene de quién dice venir, eso no le permite convencer a un tercero de ello.

Por eso, los esquemas de autenticación resultan débiles ante el engaño de uno de los dos interlocutores legítimos. El uso de las funciones trampas hace posible la solución a este problema con la noción de firma digital.

Autenticación de un documento con firma digital

El desarrollo de las telecomunicaciones en estos últimos años ha creado toda una variedad de nuevas necesidades.

Por ejemplo, dado que en la mayoría de las operaciones bancarias es necesario firmar los documentos, con el uso de los ordenadores se requiere un nuevo planteamiento, donde una firma digital sustituye a la firma manual y cumple las mismas propiedades que ésta.

Se puede distinguir la firma:

• implícita (contenida dentro del texto) de la explícita (añadida al texto como una marca inseparable).
• privada (legible sólo para quien comparte cierto secreto con el emisor) de la pública (legible para todo el mundo).

La firma digital debe ser:

• única, pudiéndola generar solamente el usuario legítimo.
• no falsificable, el intento de falsificación debe llevar asociada la resolución de un problema numérico intratable.
• fácil de autentificar, pudiendo cualquier receptor establecer su autentidad aún después de mucho tiempo.
• irrevocable, el autor de una firma no puede negar su autoría.
• barata y fácil de generar.

Otra característica que han de tener las firmas digitales es que deben depender tanto del mensaje como del autor. Esto debe ser así porque en otro caso el receptor podría modificar el mensaje y mantener la firma, produciéndose así un fraude.

Si el emisor A envía un mensaje firmado digitalmente al receptor B, este último no sólo debe convencerse de que el mensaje fue firmado por el primero, sino que, además, debe ser capaz de demostrar a un juez que A realmente firmó ese mensaje.

Esta noción fue ideada por Diffie y Hellman en 1976. La firma digital y el correo electrónico ofrecen conjuntamente sustanciosas ventajas, una de ellas es hacer posible el correo certificado y la firma electrónica de contratos.

La idea principal de la firma digital es que solamente el emisor la pueda producir y además se pueda demostrar que, efectivamente, es él quien la produce. Representa por tanto, un control más fuerte que la autenticación.

Criptografía en Internet

Consejo ante un ataque informático

Nuestro consejo es que ante cualquier fichero desconocido, o inesperado, es conveniente no abrirlo y desde luego tiene que prevenir cualquier ataque informático mediante actualizaciones de antivirus, cortafuegos, etc., hoy es importante la seguridad informática y si ha observado que ha sido objeto de un ataque informático dañando su patrimonio o sus equipos, denuncie ante las autoridades correspondientes.