13 de junio de 2020. Bryan Fernandez, miembro de ISOC-DO comparte sus reflexiones sobre el cifrado en la Republica Dominicana, en el marco de las capacitaciones en la materia, impartidas por Internet Society America Latina y el Caribe.
por Bryan Fernandez
El cifrado es un componente clave de la confianza en Internet. El cifrado sólido es fundamental para nuestra seguridad, confidencialidad y privacidad de los datos que se almacenan o transmiten. Es clave para el funcionamiento de muchos elementos clave de nuestra sociedad. Un ejemplo de esto, en la Navegación Web, Comercio Electrónico, plataformas de mensajería segura (iMessage, WhatsApp, Telegram, otros).
Algunos creen erróneamente que el cifrado y la seguridad y privacidad resultantes de nuestros datos no son tan importantes si no tenemos nada que ocultar. Pero nuestros datos caen en manos equivocadas, se pueden usar para:
- Dañar su reputación.
- Dañarlo financieramente, como mediante el robo de identidad.
- Hacerse pasar por usted, redirigir un pago financiero, etc.
- Exponer aspectos privados de su vida al mundo.
Es importante saber que Internet Society está trabajando activamente para:
- Proteger el cifrado de ser socavado, ya sea por propuestas gubernamentales para el acceso de las fuerzas del orden público o por intentos del sector privado para permitir una mayor recopilación de datos y monetización.
- Mejorar la implementación y la adopción de cifrado fuerte en todo el ecosistema de Internet
- Para tener éxito a largo plazo, Internet Society no puede estar sola: necesitamos crear conocimiento y sumar aliados.
- Ayudar a otros a entender lo que hace el cifrado.
- Apunte al cifrado como solución.
- Enseñar a otros a usar cifrado fuerte.
- Hacer que el uso del cifrado sea normal y reconocible.
- Políticas Nacionales de Ciberseguridad.
La pérdida de privacidad es uno de los principales temas de nuestros tiempos, en la medida en que se promueven nuevas regulaciones para la protección de datos personales. Sin embargo, en las comunicaciones surgen riesgos de que los mensajes que son intercambiados, sean interceptados, interpretados y utilizados malintencionadamente. La criptografía es un recurso informático que codifica o cifra los datos en un proceso de comunicación, de tal forma que solo sea interpretable por el originado y el destinatario.
En la Republica Dominicana, el Instituto Dominicano De Las Telecomunicaciones – INDOTEL, realizó una publicación sobre las normas complementarias a la Ley 126-02 sobre Comercio electrónico, documentos y firmas digitales y a su reglamento de aplicación, donde encontramos lo siguiente:
La lista de los algoritmos criptográficos recomendados para ser utilizados por los mecanismos de firmas digitales, cifrado de datos y claves públicas que deben sustentar las diferentes implementaciones que se desarrollen a partir de esta norma, en el marco de la Ley No.126-02 sobre Comercio Electrónico, Documentos y Firmas Digitales, su Reglamento de Aplicación y sus normas complementarias.
Las siguientes especificaciones se basan principalmente en los algoritmos criptográficos definidos en los documentos “Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and CRL Profile” [RFC3279] y “Cryptographic Message Syntax (CMS) Algorithms” [RFC3370] e incluyen especificaciones suplementarias y recomendaciones adicionales a las ya definidas en los documentos originales.
Además, esta elaboración ha tomado en cuenta los documentos referentes al formato “S/MIME Version 3 Certificate Handling” [RFC2632] y “S/MIME Version 3 Message Specification” [RFC2633].
Los algoritmos se han clasificado de la siguiente manera para facilitar una mejor comprensión de estos:
- Funciones de hash;
- Algoritmos de firma;
- Algoritmos de cifrado de contenido;
- Algoritmos de cifrado de clave;
- Algoritmos de clave pública;
- Algoritmos de autentificación de mensaje.
Los algoritmos de cifrado de contenido se utilizan para cifrar datos. Estos son utilizados para codificar mensajes PKCS#10, PKCS#7, S/MIME y PEM.
Los documentos almacenados en un archivo o transferidos vía Internet (mediante los protocolos FTP o HTTP) pueden ser cifrados y/o firmados. El formato de cifrado/firmado está basado en PKCS#7 [RFC3369].
PKCS#7 describe tres técnicas de manejo de claves que se deben proveer para una clave simétrica para cifrado de contenido: transporte de claves, acuerdo de claves, y claves previamente distribuidas. Los componentes DEBEN sustentar solamente el mecanismo de transporte de claves, dado que éste es el apropiado para los tipos de comunicación más comunes basados en PKI.
Se PUEDEN sustentar otros mecanismos, pero no deben ser utilizados si no se sabe si el componente destinatario tiene los mecanismos necesarios para proveer el soporte a la opción usada.
En el mecanismo de transporte de claves, la clave simétrica de cifrado de contenido es cifrada utilizando la clave pública del destinatario. Los usuarios que cifren archivos en sus propias computadoras pueden utilizar su propia clave pública para este propósito.
Como la información del destinatario DEBE estar siempre presente en el archivo cifrado, incluyendo la clave simétrica cifrada, se indica el uso del tipo de contenido “enveloped-data” (el tipo “encrypted-data” no permite que se guarde esta información) [véase: https://www.indotel.gob.do/media/1066/normas-complementarias-especificaciones-tecnologicas.pdf].
Según el Mapa mundial de leyes y políticas de cifrado, nos dice El cifrado es un habilitador crucial de los derechos a la privacidad y la libertad de expresión. Pero en todo el mundo, su situación legal varía. Algunos países garantizan un derecho general a la encriptación; en otros, está severamente restringido.
Por estas razones en nuestro país deben existir leyes y políticas públicas sobre:
- Derecho general a la encriptación.
- Fuerza de cifrado mínima o máxima obligatoria.
- Requisitos de licencia / registro.
- Controles de importación / exportación.
- Obligaciones de los proveedores de ayudar a las autoridades.
- Obligaciones de las personas para ayudar a las autoridades.
- Otras restricciones.
Cabe resaltar que la Republica Dominicana cuenta con el Centro Nacional de Ciberseguridad – CNCS, CSIRT-RD, equipo responsable de asistir en la respuesta a incidentes cibernéticos de la infraestructura critica nacional y de TI del Estado dominicano. Así como asesorar y difundir información de valor para incrementar los niveles de seguridad cibernética, incluyendo metodologías de ataques y amenazas emergentes y alertas de amenazas comunes.
Boletines orientados a brindar consejos e informar a la comunidad objetivo sobre conceptos básicos y tendencias actuales relacionados con la ciberseguridad.
Servicio que abarca el monitoreo y observación de nuevos mecanismos de intrusión, campañas de ataque, amenazas políticas, daños ambientales, tendencias tecnológicas, entre otros.
Avisos de seguridad y alertas orientados a las tecnologías más usadas en las redes y sistemas de las comunidades atendidas.
Abarca tareas asociadas a la gestión de eventos e incidentes incluyendo detección y reporte, triaje, análisis y respuesta.
Abarca el recibimiento de información y reporte acerca de elementos de hardware/software vulnerable, análisis, estructura y posibles efectos de las vulnerabilidades, así como desarrollo de estrategias de respuestas para la detección y corrección de estas.
Servicios que buscan mejorar el estado general de la ciberseguridad mediante la retroalimentación y lecciones aprendidas basadas en el conocimiento adquirido respondiendo a incidentes cibernéticos a través de formación especializada y la promoción de eventos de sensibilización.
Y por último recién inaugurado el Centro de Comando, Control, Comunicaciones, Computadoras, Ciberseguridad e Inteligencia del Ministerio de Defensa (C5i), en las nuevas instalaciones se utiliza tecnología de punta con la participación de todos los cuerpos de seguridad nacional. La misión de este C5i, es servir como puesto de mando principal de las Fuerzas Armadas, para el control de las operaciones que se ejecutan en las instituciones militares, garantizando la defensa y la seguridad de la nación. Se trata de un cerebro informático, analítico y cibernético que se ajusta a las diferentes situaciones “como las mejores herramientas.
En otras palabras que la República Dominicana avanza en materia de seguridad y sus mejores practicas y herramientas.