• Tweet

Un panel de expertos en seguridad alerto el lunes que el uso de cifrado de datos podria hacer que las organizaciones sean vulnerables a nuevos riesgos y amenazas.

Muchas organizaciones cifran sus datos con la finalidad de reducir el riesgo de robo de información. Sin embargo, expertos de IBM Internet Security Systems, Juniper, nCipher y otros lugares comentan que el cifrado de datos trae consigo otros riesgos, en particular se observan ataques – deliberada o accidentalmente – a la infraestructura de administración de llaves.

“Muchas organizaciones son nuevas en el tema del cifrado”, comentó Richard Moulds, encargado estrategias de productos en nCipher. “la única exposición a este tipo de ataques es con SSL, pero esto podría ser por sesión. Al cifrar los datos almacenados en un equipo portátil podría ponerse en riesgo la información. Si se pierde la llave, se perdería toda la información, esto podría verse como un ataque a si mismo, como una negación de servicio a nuestra propia infraestructura.”

“Para una empresa que tienen experiencia manejando el tema de cifrado de datos, esto podría significar dar un paso atrás y decir esto podría ser una pesadilla. Sería una forma de hacer que la empresa se bloqueara.”

“El cifrado es un tema que interesa tanto a los usuarios válidos como los mal intencionados, advirtió Anton Grashion, estratega del área de seguridad en Juniper de Europa. “El cifrado podría ser una buena oportunidad para atacar la infraestructura de llaves.”

“Es un tipo de ataque de negación de servicio”, agregó Moulds. “Si existe la posibilidad de obtener y revocar una llave y, a continuación, volver a obtener la clave; esto podría ser una forma de atacar a una empresa, la insistencia en la solicitud y revocación de llaves podría llegar a causar una negación de servicio.”

"Otro riesgo puede ser el uso excesivo de cifrado, esto puede dañar la capacidad para compartir información crítica en una organización", señaló Josué Corman, estratega de seguridad de IBM ISS.

"En muchas ocasiones, el resultado de aplicar tecnología de seguridad en una organización, podría ser un aumento neto en riesgo", agregó Richard Reiner, jefe de tecnologías de seguridad en Telus Security Solutions.