Nos damos cuenta de que está visitando el sitio del Reino Unido. ¿Le gustaría visitar nuestro sitio principal?

Una persona en una oficina con un teclado. Logotipos de correo y de escudo/cerradura superpuestos.

Documentos protegidos con contraseña en correos electrónicos: la nueva vulnerabilidad silenciosa

Dependemos mucho del correo electrónico

En la actualidad, el correo electrónico es una herramienta omnipresente tanto en el ámbito personal como en el profesional. A raíz de la pandemia de la COVID-19, las empresas han aumentado el uso de las reuniones virtuales en lugar de las visitas en persona. Como resultado, los empleados comparten muchos más archivos con compañeros, clientes o entidades externas, como proveedores de servicio, contratistas, socios de ingeniería, asuntos legales y financieros, etc. En este contexto, garantizar la seguridad de los archivos confidenciales que adjuntamos a nuestros correos electrónicos es más crucial que nunca. Es fundamental que podamos confiar en que nuestros datos confidenciales estén protegidos por proveedores de correo electrónico que cifren correcta y exhaustivamente nuestros mensajes.

Aunque eso no es todo. Muchas aplicaciones, como Word, Excel® y Adobe® Acrobat®, permiten a los usuarios proteger archivos con contraseña. Este cifrado integrado pretende garantizar la seguridad de la información que contengan los documentos, además de que solo puedan acceder a ellos quienes posean la contraseña correcta.

No obstante, esta «garantía» puede ser engañosa. Los departamentos de TI no suelen revisar de manera rutinaria los correos electrónicos salientes en busca de posibles vulnerabilidades de los datos protegidos, tanto de manera aislada como en servidores en la nube, tal y como exigen las leyes y los reglamentos vigentes. En muchos casos, es posible que los contratistas no notifiquen de manera proactiva las vulnerabilidades de correo electrónico a sus socios.

Entonces, ¿en qué medida están protegidos los datos adjuntos que enviamos por correo electrónico?

Debemos asumir que nuestros servidores de correo electrónico, los servidores de socios/clientes y proveedores de Internet están correctamente protegidos. Mientras que las noticias sobre vulnerabilidades de datos en empresas y en la nube son bastante frecuentes, las notificadas en relación con el correo electrónico no lo son tanto.

A pesar de ello, en julio de 2023 los hackers accedieron a las cuentas de correo electrónico del gobierno de Estados Unidos. Más recientemente, en enero de 2024, Microsoft® reveló haber sido víctima de una vulnerabilidad de correo electrónico de dos meses de duración, durante la que se robaron datos adjuntos y mensajes internos del equipo directivo.

¿Podemos seguir confiando en la seguridad de los datos confidenciales? Centrémonos en profesiones que gestionen información valiosa, como los abogados, los asesores financieros, los asesores fiscales y las aseguradoras, entre otras. Aunque proteger archivos mediante contraseña para su cifrado aporte una sensación de seguridad, esta medida ya no puede considerarse una garantía infalible.

Archivos protegidos con contraseña mediante cifrado de software

Una persona en un escritorio con un teclado y un ratón. Gráfico superpuesto de un documento protegido por contraseña.

Los archivos protegidos con contraseña, como las hojas de cálculo de Microsoft Excel con información de clientes, o archivos PDF de Acrobat cifrados con pruebas legales, pueden ofrecer cierta tranquilidad. Sin embargo, ¿qué sucede si los hackers se hacen con estos documentos?

Este tipo de archivos se cifran mediante software en el ordenador y se les añade una contraseña para que se pueda acceder a sus datos. Si el usuario introduce una contraseña incorrecta, no podrá acceder al archivo.

Desafortunadamente, esta protección no es infalible contra ataques de fuerza bruta (o ataques de «diccionario»), que intentan adivinar contraseñas probando todas las combinaciones posibles de caracteres.

Por ejemplo, pensemos en una contraseña segura y compleja que utilice tres de los cuatro conjuntos de caracteres: mayúsculas, minúsculas, números y caracteres especiales. Este es el tipo de contraseñas que suelen exigir las políticas de seguridad informática como práctica recomendada. Lo más habitual es que las contraseñas complejas tengan 8 caracteres.

En principio, un ordenador debería tardar muchos años en adivinar este tipo de contraseñas complejas. Los archivos protegidos con contraseña dependen en gran medida de la aleatoriedad (o entropía) de la contraseña seleccionada para mantener su seguridad.

Ordenadores y herramientas modernas

Los ordenadores actuales pueden adivinar más de 1.000 millones de contraseñas por segundo, un enorme avance respecto a cuando se crearon por primera vez los archivos protegidos con contraseña.

¿Cómo descifran los ciberdelincuentes los archivos protegidos con contraseña?

Existen numerosas herramientas gratuitas en Internet para eliminar contraseñas de archivos Excel o Acrobat. En el caso de los archivos con cifrado de seguridad especial, existen herramientas de pago que atacan el archivo protegido con contraseña utilizando un solo ordenador o una red de mil o más ordenadores (este último suele estar dirigido a datos de mayor valor). Algunas de estas potentes herramientas, comercializadas como herramientas forenses para las fuerzas de seguridad, son sorprendentemente accesibles y pueden adquirirse con una tarjeta de crédito.

Según Home Security Heroes, una herramienta de descifrado de contraseñas basada en IA es capaz de hackear una contraseña compleja de 8 caracteres en cuestión de minutos o en un máximo de siete horas. Con ordenadores en red, un ataque de fuerza bruta a un archivo protegido con contraseña podría completarse en un plazo aún más breve.

Cómo proteger los datos móviles

USB Kingston IronKey Vault Privacy 50 conectado a un concentrador de varios puertos en un escritorio y a un ordenador de oficina.

En la actualidad, es evidente que cualquier transmisión de datos confidenciales a través de medios electrónicos es objeto de vulnerabilidad si un archivo se intercepta o si los servidores que lo almacenan se ven comprometidos. Lo mismo ocurre con los archivos cifrados almacenados en la nube, ya que esta depende del cifrado de software. Si una persona recibe un archivo protegido con contraseña, podrá someterlo a ataques de fuerza bruta utilizando software específico para el tipo de archivo.

Para mitigar este riesgo, es fundamental mantener los datos «fuera de la red» o en una red desconectada; es decir, se pueden almacenar en un ordenador que no esté conectado a Internet o pueden transmitirse mediante medios reforzados contra ataques de fuerza bruta dirigidos a las contraseñas. Aunque pueda resultar engorroso, esta medida de mitigación está relacionada con el valor de los datos: ciertas vulnerabilidades pueden costar millones de dólares y ocasionar elevados gastos legales y liquidaciones en función de los datos que se pierdan. Por ejemplo, perder una hoja de cálculo con datos de cuentas de clientes puede ser muy perjudicial para una empresa. La pérdida de datos de propiedad intelectual de un cliente, que se empleen en un caso legal, puede repercutir gravemente en una empresa si estos datos se venden en la web oscura.

Una solución económica para proteger los datos móviles es utilizar unidades SSD o USB cifradas por hardware. Estas unidades disponen de un ecosistema de seguridad autónomo basado en hardware que brinda protección contra ataques de contraseña y emplea un cifrado AES de 256 bits siempre activo conocido por su robustez. Es crucial adquirir estos dispositivos de almacenamiento de fabricantes reconocidos y de confianza, ya que es posible que las unidades baratas disponibles en Internet no implementen correctamente las medidas de seguridad o el cifrado de contraseñas.

Las unidades SSD externas o USB cifradas por hardware, como las unidades Kingston IronKey, no son simples dispositivos de almacenamiento. Estas unidades están diseñadas específicamente como dispositivos de protección de datos con controladores especializados enfocados en la seguridad. Estas unidades brindan seguridad de grado empresarial y militar con certificación FIPS 140-3, nivel 3, facilitada por el NIST, la agencia gubernamental estadounidense que ha creado el cifrado AES de 256 bits y encargada de definir las normas para las agencias gubernamentales de los Estados Unidos. Kingston también lleva más de 20 años diseñando y fabricando unidades cifradas por hardware para empresas y gobiernos a nivel mundial.

Protección eficaz contra ataques de fuerza bruta

Todos los accesos a una unidad IronKey se gestionan a través de un microprocesador seguro. Para permitir el acceso a los datos, el microprocesador requiere una contraseña válida o un PIN en el caso de las unidades con teclado. Este microprocesador registra los intentos fallidos de contraseña (si alguna vez ha reiniciado un teléfono móvil, ya sabe cómo funciona). Las unidades IronKey permiten configurar varias contraseñas: de administrador, de usuario y de restauración única. Si se introducen incorrectamente las contraseñas de usuario o de restauración única 10 veces seguidas, la unidad se bloqueará. Si la contraseña de administrador principal se introduce incorrectamente 10 veces consecutivas, el microprocesador activará el modo de autodestrucción de datos, lo que implica la eliminación criptográfica de todos los parámetros de cifrado, el formateo del almacenamiento y el restablecimiento de la unidad a su estado de fábrica. En este momento, los datos almacenados en la unidad se perderán permanentemente. Esta medida brinda protección contra la mayoría de los ataques dirigidos a datos confidenciales.

Prácticas recomendadas para proteger los datos confidenciales

Desafortunadamente, la transmisión electrónica de archivos protegidos con contraseña a través de correo electrónico o su almacenamiento en servidores en la nube pueden ocasionar vulnerabilidades de datos, ya que los archivos como tal no pueden estar completamente protegidos con las tecnologías informáticas y de IA actuales. La mejor seguridad exige que los datos móviles se transporten físicamente en su posesión, ya sea en su bolsillo o en su bolso. Seguidamente, estos datos pueden compartirse con la otra parte o puede enviar la unidad a su cliente o socio, e indicarle cómo acceder a los datos. La unidad puede permanecer en sus instalaciones para mantener los datos seguros y fuera de la red. Las unidades SSD externas IronKey, con capacidades de hasta 8 TB, brindan una protección robusta para distintos profesionales, desde bufetes de abogados hasta proveedores de servicios médicos o financieros.

En la actualidad, muchos fabricantes prefieren no enviar información ni documentos clave de propiedad intelectual por correo electrónico. En cambio, envían unidades IronKey a distintas ubicaciones, incluso en diferentes países, y proporcionan instrucciones para que los destinatarios accedan a los datos. Las unidades IronKey permiten a los administradores definir un modo global de solo lectura con el fin de impedir que se modifiquen los archivos cuando se acceda a ellos con una contraseña de usuario.

Las unidades IronKey siguen las prácticas recomendadas de la tríada CIA (confidencialidad, integridad y disponibilidad) y son una solución económica para mantener los datos confidenciales seguros y protegidos de la mejor manera posible desde una perspectiva comercial. En última instancia, la seguridad de sus datos dependerá del valor que usted asigne a su información.

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Artículos relacionados