Entonces, ¿qué obtuvieron exactamente los hackers? Cada hack es diferente, pero casi definitivamente tienen tu dirección de correo electrónico, información de usuario, registros de tu actividad en el sitio, y posiblemente cosas mucho más dañinas. Buenas noticias, sin embargo: muchos de los datos más sensibles probablemente estaban encriptados. También hay una buena posibilidad de que no estuviera encriptado , pero tomemos el mejor escenario de robo de datos: su información fue robada, pero el material sensible fue encriptado con AES-256. ¿Qué tan seguro es?
¿Qué significa que los datos estén encriptados?
La «encriptación» en la seguridad de datos moderna generalmente se refiere a la criptografía basada en claves. En resumen, usted introduce los datos que desea encriptar y la clave (una cadena de letras, números y/o símbolos) que desea utilizar para encriptarlos. La combinación de estas dos cosas crea un desorden que sólo puede ser descifrado si se usa la clave apropiada. No debe confundirse con:
Saltar
Codificación: Utiliza el mismo algoritmo para codificar y decodificar datos, no requiere clave. Esto es como ASCII o Unicode – completamente inseguro.
Hashing : Proceso de cifrado unidireccional que produce el mismo resultado para una entrada idéntica, pero deja resultados muy diferentes si las entradas varían aunque sea un poco. Esto se utiliza normalmente para la gestión de contraseñas con un algoritmo como SHA-256 o bcrypt.
Por ejemplo:
MethodTextEncoding (ASCII, decimal)Mantenerlo en secreto. Mantenlo a salvo. Encriptación (AES 256-bit)Mantenlo en secreto. Mantenlo a salvo. Mantenlo en secreto. MétodoCon el método appliedEncoding (ASCII, decimal)75 101 101 112 32 105 116 116 32 115 101 114 101 116 116 46 32 75 101 101 112 32 105 116 116 32 115 97 102 101 46Encryption (AES 256-bit, key: Mellon )ddg18josC+1ouYRjv5CfPoo
jKJV+y3OLtxjIeCUsL+A=Hashing (bcrypt, doce rondas)$2y$12$3O1EiCPdVrqZFllHJ/
q9eZzsyzqdmLMluqlQKO1A
NtlYMva94.nSMethodDecryptedEncoding (ASCII, decimal)Mantenlo en secreto. Mantenlo a salvo. Encriptación (AES 256-bit)Mantenlo en secreto. Mantenlo seguro. Hashing (bcrypt) No puede ser descifrado.
Los dos tipos principales de cifrado son simétricos y asimétricos. La encriptación simétrica puede descifrarse utilizando la misma clave que se utilizó para encriptarla, mientras que la encriptación asimétrica requiere una clave (la clave pública) para encriptar y otra clave (la clave privada) para desencriptar. La mayoría de las encriptaciones modernas son asimétricas, ya que tener una sola clave para toda una base de datos de información es muy inseguro.
¿Qué tan segura es la encriptación? ¿Se puede romper?
La respuesta corta es sí: la encriptación puede ser descifrada. Un enfoque de fuerza bruta, que básicamente implica hacer montones y montones de conjeturas hasta que uno resulta ser correcto, ciertamente encontraría la respuesta correcta, dado el suficiente tiempo y poder de computación. Dadas nuestras capacidades actuales, la fuerza bruta del AES-256 podría tomar hasta 3 años de sexdecilio (3×1051), y se podrían adjuntar números similares a muchos algoritmos de encriptación ampliamente usados. En el futuro, los ordenadores cuánticos y otros avances podrían reducir significativamente la seguridad del cifrado, pero mientras tanto es impenetrable.
Pero eso no hace que la encriptación sea infalible. Los atacantes saben muy bien que los datos encriptados son inútiles sin claves, así que, ¿qué es lo que buscan? Las llaves. La violación de datos más catastrófica posible es aquella en la que se roban los datos cifrados y las claves de descifrado. Si la seguridad de los datos se está implementando correctamente, las claves (múltiples claves para diferentes datos, probablemente por usuario) se almacenarán de forma segura en una ubicación separada de los datos y probablemente deberían ser cifradas por sí mismas. Además, las claves deberán descifrarse de forma segura y recuperarse cada vez que sea necesario descifrar algunos datos, para que los atacantes no puedan interceptarlos. Además de todo eso, las llaves probablemente deberían ser cambiadas regularmente.
Si el sitio donde le robaron su información hizo todo eso, los atacantes probablemente no tomaron las llaves, y sus datos están a salvo hasta que el sol se queme o inventemos computadoras mucho más poderosas. Pero, ¿cuáles son las probabilidades de que los sitios estén haciendo esto, y qué cantidad de sus datos están encriptados, incluso en el mejor de los casos?
¿Quién cifra y qué se cifra?
¿Recuerdas la lista de violaciones de datos al principio de este artículo? Revisémoslos de nuevo.
BreachYearAffected recordsEncryptedNot encryptedYahoo2013/20143 billion- Hashed passwords (mayormente bcrypt, algunos MD5)
– Algunas preguntas de seguridad – Names
– Direcciones de correo electrónico
– Números de teléfono
– Fecha de NacimientoMarriott2014-20183-500 millones- 8.6 millones de números de tarjetas de crédito
– 20.3 millones de números de pasaporte – Names
– Direcciones
>
– Fechas de nacimiento
– Género
– Datos del programa de fidelización
– Información de la reservación
– 5,25 millones de números de pasaporteMySpace2016400 millones de contraseñas (SHA-1, sin salado)- Direcciones de correo electrónico
– Nombres de usuarioMyFitnessPal2018150 millionPasswords (bcrypt, salted, and SHA-1)- Nombres de usuario
– Direcciones de correo electrónico
– Contraseñas
Esta lista podría ser muy, muy larga, pero te haces una idea: Básicamente, lo único que se está cifrando en la mayoría de los sitios es su contraseña (que en realidad se está convirtiendo en hash) y la información de pago. A menos que sea un sitio que trate con mucha información sensible o que tenga algo de alta seguridad, su violación de datos probablemente expuso una buena parte de su IIP (Información Personalmente Identificable). Esto se debe principalmente a que para encriptar y descifrar cosas se necesita mucha más potencia, tiempo, esfuerzo y dinero que para almacenarlas en texto plano y enviárselas directamente a usted.
Incluso las cosas encriptadas en estos hacks no siempre fueron seguras. Yahoo y MyFitnessPal usaban bcrypt para sus contraseñas, que es un estándar de encriptación fuerte, pero también usaban MD-5 y SHA-1 respectivamente, principalmente para cuentas más antiguas. Estos son algoritmos de hash mucho más débiles. MySpace acaba de optar por SHA-1 sin sal para todo, lo que tiene sentido, pero también significa que su contraseña casi definitivamente se filtró. Yahoo tampoco ha sido claro acerca de si salaron sus contraseñas en el 2013 (probablemente no lo hicieron), lo que los hace bastante vulnerables a ser descifrados.
Marriott incluso perdió 5,25 millones de números de pasaporte de texto plano, que es no bueno. Ellos sabían claramente que deberían estar encriptando (después de todo, otros 20 millones lo estaban haciendo), pero dejaron caer la bola en el 20 por ciento de sus clientes. También encriptaron los números de las tarjetas de crédito, pero no están seguros de si los hackers obtuvieron la llave o no.
La moraleja de la historia: la mayoría de sus datos no están encriptados, incluso las cosas que usted pensaría que realmente debería ser.
Pero mis datos fueron encriptados
Correcto, así que estabas usando un sitio web con una seguridad fantástica que encriptaba hasta la última parte de tu información. Estos existen – muchos sitios de almacenamiento de archivos (Dropbox, Google Drive) encriptarán sus archivos en su base de datos, por ejemplo. Si ese es el caso, entonces mientras su juego de almacenamiento de claves fuera fuerte y sus expertos en seguridad hicieran un buen trabajo trabajando con los desarrolladores, las probabilidades son justas de que sus datos permanezcan intactos hasta la muerte calurosa del universo.El escenario más probable, sin embargo, es que una gran parte de su información fue desencriptada, e incluso la información sensible podría haber sido mal cifrada con la clave en algún lugar de la base de datos o en el sistema de archivos. No hay mucho que pueda hacer al respecto, ya que necesita dar a las empresas sus datos para poder utilizar sus servicios, pero puede intentar mantenerlos al mínimo – y no reutilizar contraseñas !
Y no olvide comprobar HaveIBeenPwned para ver si sus datos han aparecido en alguna violación.
Créditos de imagen: Claves de cifrado de clave pública , Interrupción en la seguridad de datos , Criptografía de clave pública azul naranja
Fuente: este post proviene de Vida Tecno, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: