Esta firma es consciente de la importancia que posee la información de Carácter Personal, tanto desde la perspectiva del afectado como desde la propia de las corporaciones públicas y privadas.
Por ello Perkins human media dedica, en dos entradas, contenidos relativos al cifrado de datos -en calidad de mecanismo que preserve el derecho al honor y a la intimidad de los propietarios de aquella-.
Desde la firme intención de poner en antecedentes, así como de adoptar una actitud pedagógica, se publica la primera bajo el título «cifrado de Datos I – La Escritura Oculta». El objetivo de la misma: ilustrar la importancia de la «reserva» de los Datos de modo que se respeten las siguientes propiedades: Confidencialidad, Integridad y Disponibilidad de la Información en los Sistemas que la tratan.
El cifrado de datos, por tanto, va mas allá de un conjunto de buenas prácticas, ética… código deontológico. El sentido legal también existe.
En este último sentido, lo que dispone el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, entre otros aspectos cita su artículo 104:
«Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros»
Por otro lado, la Agencia Española de Protección de Datos, en su informe jurídico 0494/2009, manifiesta la importancia del cifrado correcto, de modo que ello sea reglamentario y apto:
«La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación»
Pero… ¿A qué se hace referencia como medidas de seguridad de nivel alto?
A todas aquellas de carácter técnico y organizativo para ficheros de Datos de Carácter Personal que por su especial sensibilidad deban ser necesariamente protegido. Esto es, aquellos cuyo nivel de seguridad se hayan tipificado y declarado, ante la Agencia Española de Protección de Datos –AEPD-, como de Nivel Alto.
La ley nos pone de manifiesto que existen dos grupos:
- Datos especialmente protegidos: Ideología, Afiliación sindical, Religión, Creencias
- Otros Datos especialmente protegidos: Origen racial o Étnico, Salud, Vida sexual
Y para cifrar… ¿Qué mecanismos existen? ¿Son todos válidos en este contexto?
Ante de continuar se hacer necesario definir cifrado como método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación de su contenido, de manera que sólo pueda leerlo la persona que cuente con la clave de cifrado adecuada para descodificarlo.
En cuanto a mecanismos –como algoritmo de cifrados- existe una amplia gama que se implementan en programas informáticos, o elementos hardware, para que la información que trate quede protegida. A modo de ejemplo: Cifrado AES, Twofish, Serpent, ARC4, CuaimaCrypt, SSL, TSL, etc.
Ahora bien, no todos cumplen con un objetivo de seguridad absoluta puesto que pueden ser vulnerados. En este sentido a la hora de su implementación se deberá tener en cuenta estas estrategias de evaluación: Si se ha hecho público el algoritmo, la rotura de romper la seguridad, el grado de seguridad teórica -si éste es seguro bajo cualquier caso o si es seguro sólo en ciertas ocasiones- y por último su enfoque.
La AEPD manifiesta, según el informe jurídico anteriormente citado, que NO todos son suficientes puesto que se han desarrollado técnicas que en la actualidad se pueden emplear como alternativas al cifrado de datos.
En este sentido:
1. La Esteganografía (A nivel de aplicación).
2. El espectro ensanchado (para el caso inalámbrico a nivel físico)
Por tanto y a modo de ejemplo:
1. Aquellos responsables de ficheros que tengan instalados soluciones informáticas tipo WinZip (compresor de fichero ZIP con algoritmo de cifrado AES de 128 y 256 bits), o
2. Aquellos que cifren en formato PDF (módulo criptográfico RSA BSAFE Crypto-C Micro Edition (ME) 3.0.0.1.) y RC4,
Según la propia AEPD en el informe de referencia dice:
“Los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener en Internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable”
O lo que es lo mismo, si se utiliza los algoritmos anteriores, no estamos cumpliendo de manera eficiente lo dispuesto en el artículo 104. Esto es, la información sigue situada en riesgo de inteligibilidad y manipulación por terceros.
Pero realmente… ¿En qué le repercute a la corporación la vulnerabilidad –o descifrado- hecha por un tercero sin autorización?
En que el responsable del fichero está haciendo realmente una cesión de datos o comunicación pública de éstos –aunque sea de manera involuntaria-. Esta se define como “toda revelación de datos realizada a una persona distinta del interesado” (Artículo 3).
Sería denunciable, bien de oficio por la propia AEPD o por los afectados –del fichero-. La sanción económica oscila entre 40.001 y 300.000 euros. Además habrá que sumar las indemnizaciones propias de los afectados ¿Una ruina?
Por tanto, el cifrado de datos, no es para tomarlo a la ligera. Es necesario. Redoble sus esfuerzos en Recursos (humanos y tecnológicos) y tiempo, éstos son la clave.
Entonces… Si no se debe utilizar claramente los cifrados anteriores ¿Qué alternativas existen?
Se ha de tener en cuenta que la publicación del informe jurídico data del año 2009. En este tiempo la criptografía naturalmente ha seguido su camino y ello lleva implícito nuevos algoritmos.
En alternativa a los planteados inicialmente bajo útiles para archivos ZIP y PDF, existen los siguientes (en la familia de internet):
| AÑO | ALGORITMO |
|---|---|
| 1993 | API de Secure Network Programming |
| 1995 | SSL 3.0 |
| 1999 | TLS 1.0 |
| 2006 | TLS 1.1 |
| 2008 | TLS 1.2 |
| 2014 | TLS 1.3 (Aún en borrador) |
Se ha de aclarar que estos algoritmo de cifrados trabajan a nivel de capa de transporte de la información, es decir en aplicaciones con protocolos HTTPS, IMAPS, POP3S, SMTPS.
A modo de ejemplos:
Las clínicas privadas, a la hora de transferencia de Datos de Carácter Personal con entidades aseguradoras o Mutuas, lo hacen en TLS.
Google y Hotmail -para acceso a sus dominios de cuentas de correo electrónico- trabajan con conexión cifrada de grado alto (algoritmo de firma del certificado: PKCS #1 SHA-1 con cifrado RSA).
Así pues, en la medida de lo posible, utilice aplicaciones informáticas que soporten algoritmos evolucionados conforme se han expresado.
¿Qué aporta a la corporación el cifrado de datos?
Para una amplia mayoría, una obligación, por las mejorías que conlleva en factores de seguridad y confidencialidad. Para otras es una ventaja que robustece la seguridad.
En todo caso, tratándose de Datos de Carácter Personal, es recomendable cifrar. El Informe 0477/2009 dice que, aun cuando no sea absoluta, “la medida de cifrado de los datos puede ser adoptada voluntariamente por el responsable del fichero” para superar los mínimos exigibles marcados por la norma.
FUENTES:
Textos: AEPD informes jurídicos 0494/2009 y 0477/2009; Wikipedia; RAE.
Imagenes: © de su autor/Publicación.
