Según un estudio de Ponemon Institute y Entrust, en el año 2020 un 50% de las empresas declaran tener un plan de cifrado de datos que es aplicado de manera consistente en toda la empresa. Otro 37% de las mismas también tiene un plan, aunque solo se aplica a ciertos tipos de datos y aplicativos. Quedando solamente un 13% de empresas que no tienen ningún plan. De ahí nuestra pregunta, ¿seguirán aumentando las fugas de datos?

A pesar de estas estadísticas, durante el año 2021 se ha registrado la escalofriante cifra de 1.480 millones de credenciales de usuario robadas, lo que supone un 450% más que en el año anterior, en el que además se produjo en solo seis meses la exfiltración de 4.100 millones de registros de datos.

Estas fugas de datos han tenido para las empresas un coste global de 288.000 millones de dólares, incluyendo tanto daños reputacionales y de recuperación de datos, como multas y rescates pagados.

El crecimiento de la industria del cibercrimen y su avidez, unidos al aumento de exposición que conllevan la proliferación de activos en la nube, el trabajo remoto y el internet de las cosas nos están conduciendo a esta espiral en el robo de datos, que no deja de crecer cada año.

Una alternativa para contrarrestar esta tendencia sería extender el cifrado a todos los datos existentes en una organización, sin embargo, a efectos prácticos esto plantea tres dificultades fundamentales:

  • El aumento de recursos y tiempo de computación en los procesos de descifrado cada vez que se necesita operar con los datos. Los tiempos de computación pueden ser de un orden de magnitud mayores con respecto a la misma operación sobre datos sin cifrar.
  • El proceso de generación y custodia de claves para el descifrado de los datos, ya que si estas claves son gestionadas por el proveedor de cloud, por un proveedor de tratamiento de datos, o por los administradores de la base de datos, esta dependencia constituye una debilidad adicional.
  • La dificultad de las organizaciones para conocer todos los repositorios de datos que existen en las mismas.

Nuevas tecnologías y soluciones de cifrado de datos

Sin embargo, en los últimos años han aparecido nuevas tecnologías y soluciones de cifrado de datos que resuelven total o parcialmente algunos de estos retos, y que continúan madurando cada año, incorporando nuevas capacidades y mejoras.

  • Las soluciones de cifrado homomórfico (Full Homomorphic Encryption) permiten realizar todo tipo de operaciones con los datos cifrados, de tal manera que solo se descifra el resultado final. El beneficio de esto es que un robo de datos no sirve de nada al delincuente, al estar robando un dato cifrado.
  • Asimismo, la tecnología ESSE (Enhanced Searchable Symmetric Encryption) permite realizar búsquedas en bases de datos cifradas, sin necesidad de descifrar los datos, gracias a la computación previa de tablas de índices cifradas. Esto hace que solo sea necesario descifrar el resultado de la query.

Estas soluciones suelen venir acompañadas de, o integrarse con, sistemas de gestión de claves que no dependen de terceros, en los que la clave está distribuida en varios componentes, y solo se genera de manera efímera en el punto y momento en que se necesita.

Las empresas que ofrecen estas soluciones están adscritas al segmento PEC (Privacy-Enhancing Computation, uno de los bloques tecnológicos a los que la consultora Gartner pronostica mayor crecimiento para los próximos años.

Una categoría de soluciones a tener en cuenta en las decisiones tecnológicas para seguir avanzando frente a los retos crecientes que se plantean en la protección de datos.

¿El futuro? … En la opinión de un servidor será el procesamiento con datos cifrados extremo a extremo. Y no estamos lejos de ello.

Juan José Martínez Pagán, SP Regional Sales manager SonicWall y presidente del Grupo IT Digital de Autelsi.