Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de cifrado

Como enviar información cifrada por email.

Hay ocasiones que es necesario enviar información cifrada por correo. Lo normal sería utilizar PGP o algún plugin que nos permitiese cifrar, o en otros casos ya en algunos clientes de correo  llevan algo, como thunderbird. En este post os dejo como utilizar algo más sencillo y que nos valdrá no solo para correo sino para llevar la información en un pendrive, por ejemplo. En este blog hay varios sistemas para cifrar discos tambien.

Si lo que queremos es cifrar sólo un fichero aconsejo utilizar 7zip, que aunque sea un compresor e ficheros además se pude cifrar la información. Lo puedes decargar de https://www.7-zip.org/

 

Para comprimir y cifrar lo que tenemos que hacer es abrir 7zip en windows, aperecerá una ventana como esta

Debemos situarnos en el directorio donde tengamos el fichero cifrar, seleccionamos el fichero y pulsamos agregar.

A continuación aparece una ventana para poner la clave al cifrado.

Debemos escribir la contraseña para la encriptación, dos veces. Nos creará un fichero con la extensión 7z que es descrifrable con cualquier compresor zip, pero  ahora cuando se quiera descomprimir hay que darle la contraseña que hayamos elegido.

El fichero que deberiamos enviar es el fichero terminado en .7z

Cuando hay intercambio de ficheros es bueno concretar una contraseña entre los interlocutores, nunca pasarla en el mismo mensaje donde está el fichero para guardar la privacidad.

 

Por otra parte si tenemos ordenadores MAC podemos utilizar keka, podemos descargarlo de https://www.keka.io/es/

Los instalamos ejecutamos y nos aparecera una ventana donde podemos arrastrar el documento a comprimir, pero previamente debemos poner la clave para cifrarlo. Generará un fichero con la extensión .7z , o la que le indiquemos.

Ofuscación parte del DNI en anuncios. Nueva Ley de Protección de Datos.

El día 5 de diciembre de 2018 se aprobó la nueva ley de Protección de Datos Personales y garantía de los derechos digitales. Entre otros temas nos obligan a que el dni se vea de forma parcial en las noticaciones por medio de anuncios o publicaciones de actos adminitrativos. Cito la disposición adicional séptima:

Disposición adicional séptima. Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.

Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

2. A fin de prevenir riesgos para víctimas de violencia de género, el Gobierno impulsará la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos, con la participación de los órganos con competencia en la materia.”

 

En las listas del Foro Técnico de la Comunidad RedIRIS el compañeros Marc Vives de la universidad Pompeu Fabra nos aconseja un algoritmo para un procedimiento que nos podría valer para cumplir este cometido , aunque no tiene que ser el único siempre que se cumpla con esta disposición adicional. El algoritmo sugerido y mejorable, ya que no contempla pasaportes, es el siguiente:

String.prototype.replaceAt=function(index, replacement) {

    return this.substr(0, index) + replacement+ this.substr(index + replacement.length);
}

var dni = this.getField("DNI").value;
var cadena="TRWAGMYFPDXBNJZSQVHLCKET";
var posicion = dni % 23;
var letra = cadena.substring(posicion,posicion+1);
var dni_string = dni.toString();

var masks= Array("00110110","10001011","10011100","10110100","01111000",
                "11000101","01100011","10010011","10010101","11100100",
                "00111001","01011001","11000110","01101010","10111000",
                "11010100","10101100","10100101","10100110","11010001",
                "01010110","00011110","00101011","01100101","10001110",
                "00110101","10101001","00010111","01100110","10110010",
                "01110100","01011100","11100010","01101100","00111010",
                "01110001","11100001","01000111","11001001","11000011",
                "01101001","10011010","11011000","01010011","11001010",
                "10000111","11101000","10110001","10001101","10100011",
                "01001110","01011010","11010010","01110010","00011101",
                "00101110","01001011","01010101","11001100","00100111",
                "10011001","01001101","00101101","10010110","00111100",

                "00011011","00110011") ;
var mask = masks[dni % 67];

var dni_enmascarado = dni_string;
var i;

for (i=0; i<8; i++)
    if (mask[i] == "0") dni_enmascarado = dni_enmascarado.replaceAt(i,"*");

this.getField("NIF").value = dni_string.substring(0,2)+"."+dni_string.substring(2,5)
+"."+dni_string.substring(5,8)+"-"+letra;
this.getField("MASK").value = mask;
this.getField("NIF_enmascarado").value = dni_enmascarado.substring(0,2)+"."+dni_enmascarado.substring(2,5)
+"."+dni_enmascarado.substring(5,8)+"-*";

 

Protege la información mediante técnicas criptográficas (Cifrado)

El INCIBE nos da estos pautas para cifrado publicado el 27/11/2018 en su web:

En el funcionamiento diario de cualquier organización, se procesa multitud de información que en función de su contenido puede considerarse sensible y confidencial. Debido a la trascendencia o el impacto que este tipo de información podría tener en nuestro negocio, deberá estar especialmente protegida tanto en su tránsito, como cuando esté almacenada.

Para proteger la información, además de contar con políticas de control de acceso y de clasificación de la información, también existe la posibilidad de hacer uso de herramientas criptográficas. Éstas se encargarán de cifrar los datos haciéndolos ilegibles, salvo para aquellos casos en que se disponga de las claves de descifrado. De esta forma, se garantiza la confidencialidad e integridad de la información, principal activo de cualquier organización.

Además, en sectores como el administrativo, donde se trabaja con facturas, contratos e información privada similar, se puede utilizar la firma digital en los documentos y correos electrónicos. De esta forma, garantizaremos la autenticidad, confidencialidad, integridad y no repudio de los mismos.

Por otro lado, también será muy importante utilizar protocolos de comunicación seguros, haciendo uso de certificados web de validación extendida para aquellos servicios que se gestionen vía web (como los pagos online), o el uso de VPN para acceder en casos de teletrabajo.

Con el objetivo de proteger la información a través de las técnicas criptográficas tendremos que tener en cuenta los siguientes puntos:

Qué información deberá ser cifrada. Para ello, tendremos que clasificar la información para diferenciar cuál deberá ser cifrada (información sensible o confidencial, información almacenada en servicios cloud o dispositivos extraíbles, etc.).

Uso de firma electrónica. Será necesario utilizarla en aquellos escenarios que requieran especial garantía de autenticidad y no repudio de la información (trámites con la Administración Pública, facturación, etc.).

Certificados web. Necesarios para garantizar la seguridad de la información de un sitio web. En caso de trabajar con trámites o ventas online contaremos con un certificado SSL/TLS.

Cifrado de datos cuando se contraten servicios externos. Especialmente si estos servicios trabajan con datos personales o confidenciales de nuestra organización (nóminas, seguridad social, etc.). Además, también será necesario cifrar cuando se realicen copias de seguridad en la nube o si se cuenta con pasarelas de pago para nuestra tienda online (se recomienda no almacenar datos en nuestra web de las transacciones que se realicen optando mejor por servicios externos).

Cifrado de datos en el desarrollo de aplicaciones. Por norma, cualquier desarrollo de una aplicación que trate datos personales o credenciales de acceso, deberá contemplar criterios de privacidad por defecto como el cifrado de la información.

Accesos a través de VPN. En aquellas situaciones en las que se cuenta con accesos externos autorizados, como puede ser por motivos de teletrabajo, se habilitarán canales VPN cifrados que garanticen la confidencialidad de las comunicaciones.

Algoritmos de cifrado. Es recomendable utilizar algoritmos de cifrado actuales evitando hacer uso de aquellos que hayan quedado obsoletos. Además es preferible que sean conocidos, hayan sido evaluados ampliamente y siempre que sea posible de cifrado asimétrico.

Aplicaciones autorizadas para usos criptográficos. Es conveniente contar con una lista de aplicaciones permitidas con fines criptográficos, detallando el uso concreto de cada una.
Protocolos seguros de comunicación. Deberemos formar a todos los empleados para garantizar la confidencialidad. Para ello, se emplazará a que hagan uso de mecanismos y herramientas de comunicación que utilicen protocolos criptográficos (SSH, SFTP,FTPS o HTTPS).

Cifrado del wifi. Será necesario configurar la red wifi de tu empresa con el estándar de cifrado más seguro, el WPA2-AES y cambiar la clave de acceso por defecto.

La información corporativa, confidencial o sensible con la que se trabaja en una organización debe contar con un nivel de seguridad y protección alto. Además de establecer protocolos en el acceso y tratamiento de la misma, implantaremos políticas para su cifrado, aumentando considerablemente el nivel de confidencialidad y garantizando la integridad de la información.