Cómo garantizar la privacidad de los datos y la seguridad organizacional

Hoy, ^{28 de} enero, se conoce como el Día de la Privacidad de Datos (o, en la Unión Europea, Día de la Protección de Datos) en Estados Unidos, Canadá, Israel y los 47 países de la UE en los que se celebra.

La privacidad, especialmente la privacidad de los datos, es vital. Muchas constituciones nacionales (de hecho, más de 150) mencionan el “derecho a la privacidad”. También se ha mencionado en la Declaración Universal de Derechos Humanos de las Naciones Unidas y está protegido por el Convenio Europeo de Derechos Humanos. Se han promulgado varias regulaciones de privacidad en muchos países, regiones y estados, incluido el Reglamento General de Protección de Datos de la UE (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA).

El objetivo del Día de la Privacidad de Datos es concienciar a las empresas y a los consumidores sobre la importancia de proteger la privacidad de los usuarios y su información personal. Su objetivo es educar y fomentar el desarrollo de herramientas para que las empresas y los consumidores puedan gestionar y controlar mejor la información personal de los usuarios. También tiene como objetivo impulsar un mayor o mayor cumplimiento de las leyes y regulaciones de privacidad existentes, como GDPR y CCPA. Numerosos organismos, ministerios y consejos nacionales e internacionales, así como instituciones educativas y consorcios industriales, reconocen el Día de la Privacidad de Datos como un momento para iniciar o continuar debates sobre cómo proteger mejor la privacidad de los datos de los consumidores y usuarios.

Poniéndolo en práctica

Una de las formas más populares y mejores de aumentar la privacidad de los datos de consumidores y usuarios, ya sea en reposo o en tránsito, es mediante el cifrado. El cifrado de los datos de consumidores y usuarios, así como los métodos de transmisión de dichos datos, es vital para mantener privada la información de identificación personal.

Hoy en día, el cifrado es omnipresente. La atención a la privacidad de los usuarios y de sus datos ha contribuido a impulsar la explosión del tráfico cifrado. Además, ahora hay muchos proveedores que ofrecen certificados gratuitos o de bajo costo en un esfuerzo por mejorar la seguridad en línea, lo que beneficiaría a los usuarios, consumidores y empresas. ¡En esencia, están intentando cifrar toda la web! Según F5 Labs , el 86% de las cargas de páginas web nuevas se cifran con SSL o TLS. Y el cifrado Estándar de cifrado avanzado (AES) representa más del 96% del tráfico web cifrado actual. Las regulaciones y requisitos de privacidad antes mencionados, como GDPR, CCPA y otros, están impulsando la adopción del cifrado, incluso si la mayoría de estas regulaciones y requisitos no exigen el cifrado de los datos personales y de los usuarios. Sin embargo, muchas organizaciones utilizarán el cifrado para los datos y las comunicaciones de los usuarios para no infringir esas mismas regulaciones y requisitos.

Las desventajas inevitables

Si bien el cifrado es excelente para brindar privacidad a los usuarios y sus datos, al mismo tiempo existe un problema con el cifrado que crea un serio enigma tanto para los usuarios como para las empresas: A los atacantes y piratas informáticos también les encanta usar el cifrado para enmascarar malware, ransomware y otros vectores de ataque. Lamentablemente, el cifrado permite un punto ciego de seguridad.

Por ejemplo, los sitios web fraudulentos utilizados en campañas de phishing y spear phishing utilizan cada vez más HTTPS para parecer genuinos y engañar a usuarios desprevenidos para que hagan clic en enlaces infectados con malware o para que inserten su nombre de usuario y contraseña en páginas de inicio de sesión convincentes pero falsas, e incluso engañan a usuarios que han aceptado la apariencia del pequeño candado en la barra de direcciones como indicativo de un sitio web seguro. Según F5 Labs , el 72% de los sitios de phishing ahora utilizan cifrado. Pero, para empeorar las cosas, los atacantes, piratas informáticos y otros actores maliciosos no solo utilizan el cifrado para ocultar amenazas, sino que también aprovechan la privacidad que permite la criptografía para evadir la detección de los análisis forenses post mortem simplemente utilizando una campaña de amenazas específica que incluye malware y sitios de phishing solo una vez por víctima.

El phishing es un ataque contra el que es muy difícil defenderse porque explota la psicología humana, recurriendo a la ingeniería social y a la desinformación. El phishing se aprovecha de la naturaleza humana y de las emociones, como el miedo. Esto es especialmente cierto durante la pandemia de coronavirus. Y los atacantes lo saben y lo utilizan para su beneficio. F5 Labs descubrió que los nuevos certificados HTTPS que contenían las palabras “covid” o “corona” aumentaron al mismo tiempo que los picos de casos de COVID-19. Incluso fuentes de atención sanitaria bien conocidas como la Organización Mundial de la Salud (OMS) y la Organización Mundial de la Salud (OMS) de Estados Unidos. Los Centros para el Control y la Prevención de Enfermedades (CDC) han sido y siguen siendo suplantados por atacantes en campañas de phishing dirigidas que intentan atraer a las víctimas a dominios maliciosos y descargar malware u otros ataques maliciosos, o engañarlos para que ingresen sus credenciales de usuario en páginas de inicio de sesión falsas.

Qué puedes hacer al respecto

Entonces, ¿cómo puede hoy una organización defender la privacidad de los datos de los usuarios y consumidores y la información personal, al tiempo que se protege de diversos ataques y violaciones?

Las organizaciones deben emplear una solución que pueda descifrar a gran escala la avalancha de tráfico cifrado que se requiere diariamente para el tráfico entrante y saliente. Con el nivel de tráfico cifrado actual, la necesidad de garantizar la privacidad de los datos de los usuarios y consumidores y la tarea computacionalmente intensiva de descifrado y reencriptado, aprovechar una solución de seguridad existente para realizar una doble función: brindar seguridad y descifrar y reencriptar el tráfico es una mala idea. Un dispositivo de seguridad sobrecargado y con exceso de trabajo puede simplemente comenzar a eludir el tráfico cifrado o no realizar las tareas de seguridad para las que fue implementado.

Para garantizar la privacidad y seguridad de los datos de los usuarios y consumidores, y en un esfuerzo por no infringir las normas y requisitos de privacidad, las organizaciones deben emplear una solución que permita de forma inteligente que el tráfico de usuarios y consumidores que es privado (como datos financieros o de salud) evite el descifrado. Sin embargo, ese tráfico no debería quedar libre de obstáculos, sino que debería ser inspeccionado por un conjunto limitado de soluciones en la pila de seguridad. Sin embargo, esto solo se puede lograr si las soluciones en la pila de seguridad no están en una cadena estática, sino que se les permite participar en cadenas de servicios de seguridad dinámicas, aprovechando políticas conscientes del contexto para enrutar el tráfico cifrado entrante, una vez descifrado, a la cadena de servicios de seguridad adecuada.

Esto se llama orquestación SSL y la descripción anterior (con suerte) ilustra por qué es tan necesaria hoy en día, no solo para garantizar la seguridad organizacional, sino también para confirmar que la información del usuario y del consumidor esté protegida y se mantenga privada.

Para obtener más información sobre F5 SSL Orchestrator, haga clic aquí .