Que este título no le haga pensar, que escribiré un artículo lleno de artilugios y sofismos técnicos complejos, en lo absoluto. La criptografia, es tan común como los expertos « Polítogos » en Twitter y los « Influencers» en Instagram. Es un tema, apasionante y el cual espero convertir en el corazón de mi próxima Tesis doctoral.
Ahora bien, para atacar el tema, debemos hacer unas cuantas interrogantes (si han leído mis otros artículos saben que soy fiel, al silogismo aristótelico) : I) ¿Cuáles son los grandes principios de la criptologia ; II) ¿Cómo se utiliza la criptografía ?; III) Quid del cifrado y el RGPD. Exploremos.
I. Antes de definir la criptografía, debemos entender que la misma es una de las disciplinas de la : criptología, la cual corresponde a la ciencia del secreto (es decir la encriptación). Siempre me recuerda a Harpócrates, la deidad griega (de nombre Horpajard en Egipto) representante del secreto y del silencio (cualidades de las cuales muchos y muchas carecen).
La criptología, más allá de asegurar la confidencialidad, se ha ampliado para complementar matemáticamente otras nociones : a) asegurar la autenticidad de un mensaje (¿quién ha enviado este mensaje?) o b) asegurar su integridad (¿ha sido modificado?).
Uno de los campos más conocidos (y en ocasiones confundido) de la criptología es la : criptografía (“escritura secreta”) que incluye el estudio de mecanismos para garantizar la confidencialidad.
En general, la criptografía se utiliza principalmente para proteger un mensaje que se considera confidencial. Este método se utiliza en un gran número de campos, como la tecnología de la información, milicia, la e-justice, etc.
Exáminemos las funciones principales de la criptografía : 1) el hashing con o sin clave; 2) la firma digital y 3) el cifrado.
II. El hashing: Que asegura la integridad del mensaje. Gracias a la criptología podemos identificar si el mensaje o la información ha sido modificada involuntariamente. Con lo que se denomina una “función de hash” la cual permitirá asociar un mensaje, a un fichero o un directorio con una huella única que podrá ser calculada y verificada por todos.
Atención, a no confundir el cifrado, que garantiza la confidencialidad, con el “hashing”, que garantiza que el mensaje esté intacto, es decir, que no ha sido alterado. Se usa el hashing, cuando guardas tus fotos en “las nubes” e.g., dropbox o cuando sincronizas tus carpetas.
El propósito de cifrado es codificar los datos para hacerlos ilegibles. Pero también es para permitir que alguien con la clave y el método de desencriptación pueda leer los datos. En el hashing, uno no debe ser capaz de leerlos. El objetivo es obtener una huella dactilar de los datos que los identifique.
El hash con clave y su propósito
Este ejerce “funciones de comprobación de claves” que hacen que el cálculo de la huella dactilar sea diferente según la clave utilizada. Esta también se utiliza en muchos algoritmos de cifrado.
Entre estas funciones de control de claves, se encuentran las que se usan para almacenar de forma segura las contraseñas e.g. ¿Su servicio reconoce su contraseña cuando se conecta? y ¿Quieres ser capaz de saber si alguien modifica los documentos sin decírtelo?
La firma digital (Unión europea)
Persigue garantizar la integridad de un documento eléctronico y este mecanismo de “firma” digital verifica que el titular de una “clave pública” ha enviado un mensaje. Este proceso criptográfico permite a cualquier persona verificar la identidad del autor y garantizar la integridad de un documento eléctronico.
En la legislación europea, la firma digital ha sido reconocida desde enero del año 2000, gracias a la Directiva 1999/93/CE, sin embargo es a partir del 2016, cuando entra en vigor el Reglamento eIDAS (identification électronique et services de confiance) cuando su valor legal es idéntico en toda la Unión Europea (y en algunos países asociados: Liechtenstein, Noruega e Islandia).
El Reglamento “eIDAS” n° 910/2014 del 2014 tiene por objeto aumentar la confianza en las transacciones electrónicas en el interior (de la Unión). Establece una base común para las interacciones electrónicas seguras entre las personas físicas, las empresas y las autoridades públicas.
Se reconocen tres niveles de firma: simple, avanzado y calificado.
III. Cifrado y el RGPD
El cifrado puede ser definido como : el sistema de protección informática para garantizar la integridad e inviolabilidad de los datos durante la transmisión o el almacenamiento.
Transforma un mensaje denominado "mensaje claro", en otro mensaje, ininteligible para un tercero, denominado "mensaje cifrado", a fin de garantizar el secreto de su transmisión. El cifrado a su vez puede ser simétrico o asimétrico.
El primero, es el más simple y aunque seguro, sólo utiliza una clave. Esa clave la tiene que poner el destinatario para poder descifrarlo. En el asimétrico se utiliza dos claves, una privada y una pública. El remitente conserva la clave privada y la pública puede entregarse a cualquier receptor.
No extraña, la idea de depositar un enorme grado de confianza al cifrado como garante al respeto de la protección de la data personal. En vista, de que los riesgos en el tratamiento de los datos son altamente reducidos.
Es en el considerando 83 del Reglamento General de Protección de Datos dit RGPD (UE) 2016/679 donde encontramos la mención de cifrado como medida de mitigación de riesgos en el tratamiento de datos de carácter personal : A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsible o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado.
Luego en el artículo 6, párrafo 4 y letra (e), disposición referente a la Licitud del tratamiento (uno de los principios y/o pilares de la protección de data a carácter personal) establece que : la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. Es también mencionado en los artículos : 32.1 y 34.3
En un interesante artículo de la Agencia española de protección de datos i.e. AEPD, órgano similar al « watchdog » de la protección de data francés el CNIL establece que aunque el cifrado es un mecanismo que permite hasta cierto grado garantizar la anonimización de datos, pero que no debe ser considerado como una garantía absoluta y cito : « Es engañoso fiarse exclusivamente de la solidez del mecanismo de cifrado, como medida del grado de anonimización de un conjunto de datos ».
Para la CNIL (Commission nationale de l’informatique et des libertés) el enfoque es similar y esta entiende que el cifrado es una de las exigencias elementales (ver básicas, mínimas) en materia de seguridad de la información.
Este, pasado, 7 de diciembre la CNIL impuso dos multas de 3.000 y 6.000 euros a dos médicos privados por no proteger adecuadamente los datos personales de sus pacientes y por no notificar una violación de datos a la CNIL en franca violación de los artículos 32 y 33 del RGPD. Es necesario señalar que en las investigaciones se estableció que las imágenes médicas almacenadas en sus servidores no se cifraban sistemáticamente, es decir una ausencia de cifrado de data médica, la cual es una de las más sensibles dentro del marco de protección del RGPD.
La criptografía, en esta era digital y su conformidad dit « compliance » con el RGPD es esencial para la seguridad de los sistemas de información. Se constituye como una de las más importantes garantías de confianza para la : mensajería electrónica, el comercio electrónico, los procedimientos en línea y las aplicaciones cotidianas…
Bibliografía
1) Agencia Española de protección de datos – AEPD. Enlace : https://www.aepd.es/es/prensa-y-comunicacion/blog/cifrado-y-privacidad-cifrado-en-el-rgpd
2) Agence International de la sécurité des systèmes d’information – ANSSI. Enlace : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/
3) Commission nationale de l’informatique et des libertés – CNIL. Enlace: Comprendre les grandes principes de la criptologie https://www.cnil.fr/fr/comprendre-les-grands-principes-de-la-cryptologie-et-du-chiffrement
4) Délibération SAN-2020-014 du 7 décembre 2020, CNIL. Enlace : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720
5) Dictionnaire Larousse. Enlace : https://www.larousse.fr/dictionnaires/francais/cryptage/20841
6) Eidas – Le Règlement « eIDAS » n°910/2014 du 23 juillet 2014. Enlace :
https://eur-lex.europa.eu/legal content/FR/TXT/PDF/?uri=CELEX:32014R0910&from=PL
7) Étude KPMG 2020. Enlace : https://www.oracle.com/fr/security/qu-est-ce-que-la-cryptographie.html
8) GB Advisors. Enlace : https://www.gb-advisors.com/es/encriptacion-simetrica-y-asimetrica-conoce-sus-diferencias/
9) Introducción a la Criptografía. Elvira Mayordomo Cámara, Octubre 2009.
Enlace : http://webdiis.unizar.es/~ftricas/Asignaturas/seguridadD/Transparencias/masterCripto09.pdf
10) Oracle. Enlace : https://www.oracle.com/fr/security/qu-est-ce-que-la-cryptographie.html
11) Reglamento General de Protección de Datos – RGPD. Enlace : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
12) Universalis. Enlace : https://www.universalis.fr/encyclopedie/cryptologie/