viernes, 23 de julio de 2010

¿Conoces la diferencia entre firmar y cifrar?

En nuestra experiencia con empresas constato continuamente que existe un gran desconocmiento en temas de seguridad electrónica. Es habitual que la empresa, sobre todo la pequeña y mediana, no esté familiarizada con conceptos como la firma digital, los certificados electrónicos y el cifrado de información.

Una de las confusiones más habituales se da entre los conceptos de firmar y cifrar, sobre todo en relación con el correo electrónico. La mayoría de usuarios, tanto particulares como empresas, envían sus e-mails sin ningún tipo de seguridad. Se intercambian datos personales, ofertas y presupuestos, currículums e información más delicada sin ningún tipo de preocupación sobre la seguridad del envío. Nadie enviaría una carta con el sobre abierto pero muchos usuarios envían e-mails sin aportarles seguridad.

Y es una pena, porque no es un proceso especialmente complicado. Si que puede tener cierta complejidad elevar el nivel de seguridad de los programas, pero una vez configurados correctamente, el uso de medidas de seguridad es muchas veces incluso totalmente transparente para el usuario.

Lo que hay que tener claro es la diferencia entre firmar y cifrar.
Firmar significa garantizar nuestra identidad como autores del envío.
Cifrar significa ocultar el contenido para que sólo el destinatario real del mensaje pueda leerlo.

En otras palabras, firmar un mensaje digitalmente no aporta seguridad en cuanto a que el contenido no sea visto por terceros; aporta la seguridad -para quien lo recibe- de que ha sido enviado por la persona que aparece en el campo "De" (que en estos tiempos tampoco es poco).


Se calcula que para finales de 2010 habrán sido expedidos unos 20 millones de DNI electrónicos. Sin embargo, su uso continúa siendo marginal, pese a las campañas de regalo de lectores. Y -oportunidad perdida- no sirven para cifrar mensajes. Es decir, no incoporan las librerías criptográficas necesarias para mandar un mensaje con la seguridad de que sólo el destinatario pueda leerlo. Así pues, su utilización queda reducida a identificarnos ante páginas web que reconozcan el DNI-e como sistema de demostración de nuestra identidad (en su mayoría páginas de la administración pública).

¿Cómo podemos cifrar, entonces, un correo electrónico?

La forma más sencilla es utilizando un certificado electrónico. La Fábrica Nacional de Moneda y Timbre (http://www.fnmt.es) expide de forma gratuita certificados electrónicos que podemos instalar en nuestro ordenador. A la hora de enviar un correo podemos elegir si queremos firmar, cifrar o ambas opciones. La mayoría de los programas de correo electrónico más populares incorporan esta posibilidad.
 

Para poder enviar un mensaje cifrado por e-mail primero hemos tenido que enviarle nuestra clave pública. Este proceso, que podría acobardar a más de uno, afortunadamente es hecho de forma automática por los programas de correo. Cuando alguien nos envía un mensaje firmado digitalmente, nuestro programa de correo se «aprende» su clave pública. De esa forma, ya podemos recibir mensajes cifrados de esa persona.

Pero lo más importante es que las empresas y los usuarios sepan que existe la posibilidad de aportar seguridad a sus envíos electrónicos y, una vez mentalizados, tomen las medidas oportunas. Mientras tanto, más de uno se seguirá llevando algún que otro susto.

1 comentario: