Deje de contemplarle el ombligo al cifrado

Estamos tan fascinados por nuestra propia brillantez en criptografía que olvidamos que la mayoría de los datos en reposo, guardados dentro de bases de datos, no están cifrados.

Un ejemplo concreto es el análisis de los controles de cifrado realizado por Skyhigh , que descubrió que el 81,8 % de los proveedores de servicios en la nube cifran los datos en tránsito mediante SSL o TLS, pero solo el 9,4 % de los proveedores cifran los datos una vez que están almacenados en reposo en la nube. Eso hace que el creciente número de organizaciones que ofrecen acceso sin restricciones a bases de datos en la nube y a depósitos de almacenamiento AWS S3 sea una pesadilla a punto de hacerse realidad.

Las ciberdefensas actuales se basan en gran medida en el hecho de que incluso las supercomputadoras clásicas más potentes necesitarían cantidades de tiempo casi inimaginables para desentrañar los algoritmos criptográficos que protegen nuestros datos, redes informáticas y otros sistemas digitales.
De < https://it.slashdot.org/story/18/12/05/2342226/las-computadoras-cuánticas-representan-una-amenaza-de-seguridad-para-la-que-todavía-no-estaban-preparadas >

Esta afirmación es indiscutiblemente cierta. El problema es que la criptografía no protege completamente nuestros datos, redes informáticas y otros sistemas digitales. Protege los datos en tránsito y, si tenemos suerte, en reposo. Aumenta el control de acceso para sistemas críticos. Pero la realidad es que para que las "redes" y los "sistemas" procesen datos y ejecuten lógica, deben poder ver los datos en texto simple y sin formato. Las organizaciones enfrentan un riesgo mayor por parte de aplicações desprotegidas y sin parches que por parte de mirones digitales.

En definitiva, esta es la razón por la que las infracciones siguen produciéndose a un ritmo cada vez mayor. No porque los datos no estén encriptados en tránsito o en reposo, sino porque las aplicações y las API no pueden procesar los datos en su forma encriptada. Debe estar sin cifrar, en cuyo caso es vulnerable a la exposición. Y las vulnerabilidades atraen a los atacantes.

Las aplicações y API que interactúan y operan con esos datos no cifrados son una amenaza más importante para la seguridad y la privacidad de los datos que el descifrado de la criptografía cuántica. Ésa es una de las razones por las que son tan frecuentemente atacados. En un análisis de F5 Labs a lo largo de una década de violaciones, "las aplicações fueron los objetivos iniciales en el 53 % de las violaciones". No sólo son la ruta más fácil para acceder a los datos, sino que son uno de los únicos lugares que quedan en la ruta de datos cada vez más encriptados, donde los datos no están encriptados y pueden ser fácilmente utilizados por quienes los buscan.

Hoy en día estamos casi insensibles a las violaciones de datos porque ocurren con una frecuencia tan alarmante que es normal ver noticias de millones de registros extraídos de alguna base de datos a través de una aplicação . Esto ocurre a pesar de los esfuerzos por obligarnos a utilizar el cifrado, a utilizar HTTPS en lugar de HTTP. Esto ocurre a pesar de que los navegadores imponen estándares criptográficos en los algoritmos y longitudes de claves utilizadas para encriptar datos frente a miradas "indiscretas".

Si las “ciberdefensas” actuales realmente dependen en gran medida de la fortaleza de la criptografía, entonces estamos en serios problemas. Porque no es solo la fortaleza de la criptografía lo que previene las violaciones y la exfiltración de datos que plagan nuestros canales de noticias y obstruyen nuestras bandejas de entrada. Es la fuerza –y cada vez más, la inteligencia– con la que podemos reconocer y prevenir un ataque que conduzca a la pérdida de datos.

El código malicioso cifrado sigue siendo malicioso. Las credenciales robadas cifradas introducidas en los sistemas de autenticación de aplicação siguen siendo credenciales robadas. La eliminación de los middleboxes no elimina la amenaza de que un servidor web o de aplicação vulnerable ejecute un exploit para obtener acceso a datos valiosos y desnudos.

No basta con contemplar con admiración nuestra capacidad para fortalecer el cifrado si ello conlleva ataques que amenazan con explotar aplicações y API directamente al corazón de nuestra economía digital.  Proteger nuestros activos digitales (aplicações) y los canales a través de los cuales se accede a ellos (API) requiere un enfoque más holístico para la protección de aplicação que combine inteligencia, identidad y detección de ataques además de criptografía sólida.