El cifrado de los archivos almacenados en una unidad local los protege de la lectura en caso de que un atacante los exfiltre del entorno de red o del dispositivo de un usuario. Los datos cifrados en reposo son un componente importante de la ciberseguridad, la protección de datos y el cumplimiento normativo. Si un atacante compromete un sistema y roba archivos, el atacante no podrá leer los archivos cifrados, ya que están almacenados en un formato ilegible sin la clave de cifrado.
¿Qué es el cifrado a nivel de archivo?
Con el cifrado a nivel de archivo, también conocido como cifrado basado en archivos o cifrado a nivel de sistema de archivos, los archivos y carpetas individuales almacenados en un dispositivo local o en un almacenamiento de red pueden cifrarse sin necesidad de cifrar todo el medio de almacenamiento en sí. Los archivos cifrados parecen una larga cadena de caracteres aleatorios, pero la clave utilizada para cifrar los archivos traducirá los caracteres al estado original del archivo. Los administradores pueden especificar archivos y datos que deben cifrarse, por lo que es posible que una estación de trabajo de usuario tenga algunos archivos en un estado no cifrado. Normalmente, los archivos con datos corporativos confidenciales, propiedad intelectual, secretos comerciales o información de clientes están cifrados.
Un entorno de red hospitalario es un buen ejemplo de un caso de uso de cifrado a nivel de archivo. Los hospitales almacenan los datos de los pacientes, incluida la información de identificación personal (IIP), la información de pago y las historias clínicas electrónicas confidenciales. Cualquier organización sanitaria de los Estados Unidos —incluidos los hospitales— está obligada por las normativas de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act, HIPAA). La HIPAA exige que los proveedores de atención sanitaria cifren la información médica protegida electrónica (IMPe). Usando el cifrado a nivel de archivo, los hospitales cumplirían las normativas locales y evitarían divulgar datos confidenciales a un tercero después de un compromiso.
>> Pure Storage ofrece una manera sencilla y segura de almacenar los datos sanitarios sin comprometer la eficiencia. Siga leyendo para obtener más información.
¿Cómo funciona el cifrado a nivel de archivo?
Los procesos implicados en el cifrado a nivel de archivo son invisibles para el usuario en la estación de trabajo o el dispositivo local. Un usuario debe autenticarse en el entorno para descifrar los archivos y el sistema cifra automáticamente los archivos cuando se almacenan en la unidad de almacenamiento local. Para cada solicitud de acceso a archivos, el sistema intercepta la solicitud y garantiza que el usuario se autentique en el entorno antes de descifrarla.
Para cifrar y descifrar un archivo, el usuario debe tener acceso a una clave. Para preservar el rendimiento, la mayoría de los servicios de cifrado a nivel de archivo utilizan el Estándar de Cifrado Avanzado (AES), que es un algoritmo simétrico. Un algoritmo simétrico utiliza la misma clave para cifrar y descifrar los datos. Como la clave puede usarse para descifrar archivos, a menudo se mantiene en una ubicación segura en el sistema y se cifra con una clave privada solo disponible para el administrador.
Tecnologías y Servicios de Cifrado a Nivel de Archivo
Tanto Microsoft como Apple tienen su propia forma de cifrado a nivel de archivo integrado en sus sistemas operativos. El sistema operativo Microsoft Windows incluye BitLocker. Los usuarios pueden activar o desactivar BitLocker en sus dispositivos locales y los administradores de una red de Windows pueden forzar el cifrado a nivel de archivo usando políticas globales.
Apple incluye FileVault en su sistema operativo Mac. Todos los archivos están cifrados en el dispositivo de almacenamiento local, por lo que los datos no pueden robarse después del robo de un ordenador portátil Mac. Solo los usuarios con credenciales en el ordenador portátil local pueden acceder a los archivos cifrados.
Una tercera opción para el cifrado a nivel de archivo es el software de código abierto VeraCrypt. Es una aplicación gratuita de cifrado de archivos de terceros para Windows, Linux y macOS. Es una opción de terceros si no quiere usar las herramientas de cifrado populares disponibles en los principales sistemas operativos, pero puede ser más difícil de gestionar que el software de sistema operativo integrado si no tiene experiencia con el cifrado a nivel de archivo.
En el centro de datos, la seguridad del cifrado en reposo puede pasar al siguiente nivel. FlashArray ™ de Pure Storage® implementa el estándar AES-256 líder del sector para el cifrado de datos en reposo. FlashArray cifra los datos usando tres capas dependientes de claves internas: una clave de cabina, una clave de SSD y una clave de cifrado de datos. La clave de la cabina se genera con un secreto aleatorio y luego se distribuye en múltiples SSD, lo que garantiza que la mitad de las unidades de la cabina, más dos más, sean necesarias para recrear las claves de acceso actuales.
Ventajas y desventajas del cifrado a nivel de archivo
Las empresas y los centros de datos utilizan el cifrado a nivel de archivo para preservar los datos confidenciales, incluso después de un compromiso. Después de que un hacker o un malware acceden a un entorno, la red se escanea en busca de cualquier dato sensible. Los datos suelen enviarse a un servidor controlado por un atacante, donde se utilizan para la extorsión o se venden en mercados de redes oscuras.
Cuando los archivos están cifrados, los archivos exfiltrados son ilegibles y no pueden venderse o usarse con fines malintencionados. Solo los usuarios con la clave de cifrado pueden descifrar los archivos y los usuarios tienen acceso a los archivos automáticamente cuando se autentican en el entorno y reciben autorización. Los administradores pueden controlar el acceso a los archivos usando políticas de grupo o permisos específicos en el dispositivo local. Algunas normativas de cumplimiento, incluida la HIPAA, exigen el cifrado a nivel de archivo, por lo que la implementación de herramientas de cifrado mantiene el cumplimiento de las organizaciones.
Los administradores deben mantener el sistema en buen estado, porque la pérdida de las claves de cifrado provoca la pérdida de archivos. Las claves de cifrado solo deben estar disponibles para las personas autorizadas. Si un tercero tiene acceso a las claves, cualquier archivo robado puede descifrarse. Se añaden algunas complejidades al entorno mediante el cifrado a nivel de archivo, pero una buena aplicación hace que sea conveniente para los administradores y invisible para los usuarios.
Alternativas al cifrado a nivel de archivo
El cifrado a nivel de archivo está separado del cifrado de disco completo (FDE), en el que este último cifra todo el sistema de archivos y todos los datos de la unidad. Los administradores pueden elegir archivos para el cifrado con cifrado a nivel de archivo, pero el cifrado de disco completo suele considerarse un entorno más seguro. Las entidades gubernamentales suelen usar FDE para proteger mejor el sistema de archivos local y los datos confidenciales.
El cifrado a nivel de aplicación es otra opción para los administradores que gestionan software crítico, como motores de bases de datos. La mayoría de los principales motores de bases de datos tienen un cifrado a nivel de aplicación integrado en sus características. Una función de cifrado a nivel de aplicación cifra un subconjunto de datos, como campos específicos de tablas de bases de datos que contienen información muy sensible. Por ejemplo, Microsoft SQL Server tiene un cifrado a nivel de aplicación en su versión empresarial.
Conclusión
Para una mayor protección de los datos y el cumplimiento normativo, los centros de datos y las empresas que aprovisionan servicios en la nube deben plantearse el uso de un cifrado a nivel de archivo. Los archivos robados después de una vulneración son inutilizables para el atacante, por lo que las empresas pueden proteger mejor su información confidencial incluso después de una vulneración de datos. El software utilizado en el cifrado de archivos se ejecuta en segundo plano de un servidor o dispositivo de usuario, para que no interfiera con la productividad u otras operaciones diarias.