La tokenización y el cifrado a menudo se mencionan juntos como medios para proteger la información cuando se transmite en Internet o se almacena en reposo. Además de ayudar a cumplir con las políticas de seguridad de datos de su organización, ambos pueden ayudar a satisfacer los requisitos reglamentarios, como los de PCI DSS, HIPAA-HITECH, GLBA, ITAR y el RGPD de la UE. Si bien la tokenización y el cifrado son tecnologías efectivas de ofuscación de datos, no son lo mismo y no son intercambiables. Cada tecnología tiene sus propias fortalezas y debilidades y, en función de estas, una u otra debería ser el método preferido para proteger los datos en diferentes circunstancias. En algunos casos, como con los datos de pago electrónico, tanto el cifrado como la tokenización se utilizan para asegurar el proceso de extremo a extremo.
Definición de cifrado
El cifrado es el proceso de usar un algoritmo para transformar información de texto sin formato en una forma no legible llamada texto cifrado. Se requiere un algoritmo y una clave de cifrado para descifrar la información y devolverla a su formato original de texto sin formato. Hoy en día, el cifrado SSL se usa comúnmente para proteger la información a medida que se transmite en Internet. Utilizando las capacidades de cifrado integradas de los sistemas operativos o herramientas de cifrado de terceros, millones de personas cifran los datos en sus computadoras para protegerse contra la pérdida accidental de datos confidenciales en caso de robo de su computadora. Y el cifrado se puede usar para frustrar la vigilancia gubernamental y el robo de datos corporativos confidenciales.
En el cifrado de clave asimétrica (también llamado cifrado de clave pública), se utilizan dos claves diferentes para los procesos de cifrado y descifrado. La clave pública se puede distribuir libremente ya que solo se usa para bloquear los datos y nunca para desbloquearlos. Por ejemplo, un comerciante puede usar una clave pública para cifrar los datos de pago antes de enviar una transacción para que la autorice una empresa de procesamiento de pagos. Esta última empresa necesitaría tener la clave privada para descifrar los datos de la tarjeta para procesar el pago. El cifrado de clave asimétrica también se utiliza para validar la identidad en Internet mediante certificados SSL.
Independientemente del tipo de clave que se utilice, los usuarios de cifrado suelen practicar la rotación de claves con regularidad para reducir la probabilidad de que se utilice una clave comprometida para descifrar todos los datos confidenciales. La rotación de claves limita la cantidad de datos que se cifran con una sola clave. En el caso de que una clave de cifrado se vea comprometida, solo los datos cifrados con esa clave serían vulnerables.
Hasta ahora, uno de los inconvenientes del cifrado de datos dentro de las aplicaciones es que el cifrado interrumpe la funcionalidad de la aplicación, como la clasificación y la búsqueda. Debido a que el texto cifrado tiene un formato diferente al de los datos originales, el cifrado también puede interrumpir la validación de campos si una aplicación requiere formatos específicos dentro de los campos, como números de tarjetas de pago o direcciones de correo electrónico. Los nuevos esquemas de cifrado que conservan el orden, el formato y la búsqueda están facilitando a las organizaciones la protección de su información sin sacrificar la funcionalidad del usuario final dentro de las aplicaciones críticas para el negocio. Sin embargo, suele haber un equilibrio entre la funcionalidad de la aplicación y la solidez del cifrado.
Casos de uso para la tokenización y el cifrado
El caso de uso más común para la tokenización es proteger los datos de la tarjeta de pago para que los comerciantes puedan reducir sus obligaciones bajo PCI DSS. El cifrado también se puede usar para proteger los datos de la cuenta, pero debido a que los datos aún están presentes, aunque en formato de texto cifrado, la organización debe asegurarse de que toda la infraestructura tecnológica utilizada para almacenar y transmitir estos datos cumpla con los requisitos de PCI DSS. En 2011, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), la organización responsable de hacer cumplir PCI DSS, emitió un conjunto de pautas de tokenización. Si bien la guía aún no se ha agregado al estándar PCI DSS oficial, los evaluadores PCI calificados ahora aceptan la tokenización como una solución viable para cumplir con los requisitos del estándar.
Cada vez más, los tokens se utilizan para proteger otros tipos de información confidencial o de identificación personal, incluidos números de seguro social, números de teléfono, direcciones de correo electrónico, números de cuenta, etc. Los sistemas back-end de muchas organizaciones se basan en números de seguridad social, números de pasaporte y números de licencia de conducir como identificadores únicos. Dado que este identificador único está entretejido en estos sistemas, es muy difícil eliminarlos. Y estos identificadores también se utilizan para acceder a información de facturación, estado de pedidos y servicio al cliente. La tokenización ahora se usa para proteger estos datos y mantener la funcionalidad de los sistemas de back-end sin exponer la PII a los atacantes.
Si bien el cifrado se puede usar para proteger campos estructurados, como los que contienen datos de tarjetas de pago y PII, también se puede usar para proteger datos no estructurados en forma de pasajes de texto largos, como párrafos o incluso documentos completos. El cifrado también es la forma ideal de proteger los datos intercambiados con terceros y proteger los datos y validar la identidad en línea, ya que la otra parte solo necesita una pequeña clave de cifrado. SSL o Secure Sockets Layer, la base para compartir datos de forma segura en Internet hoy en día, se basa en el cifrado para crear un túnel seguro entre el usuario final y el sitio web. El cifrado de claves asimétricas también es un componente importante de los certificados SSL que se utilizan para validar la identidad.
La tokenización y el cifrado se utilizan regularmente hoy en día para proteger los datos almacenados en servicios o aplicaciones en la nube. Según el caso de uso, una organización puede usar cifrado, tokenización o una combinación de ambos para proteger diferentes tipos de datos y cumplir con diferentes requisitos reglamentarios. McAfee CASB, por ejemplo, aprovecha un proceso unidireccional irreversible para tokenizar la información de identificación del usuario en las instalaciones y ofuscar la identidad de la empresa.
A medida que más datos se trasladan a la nube, la tokenización y el cifrado se utilizan para proteger los datos almacenados en los servicios de la nube. En particular, si una agencia gubernamental solicita los datos almacenados en la nube, el proveedor de servicios solo puede entregar información cifrada o tokenizada sin forma de desbloquear los datos reales. Lo mismo es cierto si un ciberdelincuente obtiene acceso a los datos almacenados en un servicio en la nube.
Este articulo puede interesarle Pasos para el éxito en 2022: Gestión de inventario de construcción