Santiago, julio de 2025.- Ante la filtración de más 16 mil millones de contraseñas desde distintas plataformas que fue alertada hace pocos días en nuestro país, la Asociación de Empresas de Tecnología (Chiletec) llamó a los usuarios a actualizar las claves. Esto deja en evidencia lo expuestos que están los datos confidenciales, y genera una voz de alerta.
A propósito de esta situación, desde Kingston Technology advierten que otra vulnerabilidad recurrente se da en los correos electrónicos. El envío de emails es omnipresente en nuestra forma de vida moderna. Luego de la pandemia, las empresas dependen cada vez más de reuniones remotas. Como resultado, los trabajadores comparten más archivos y por ende, es más importante que nunca que nos sintamos seguros cuando adjuntamos información sensible a nuestros correos electrónicos, que podamos confiar en que nuestros datos están seguros con proveedores de email que cifran adecuadamente nuestros mensajes, de extremo a extremo.
Muchas personas van más allá. Aplicaciones como Word, Excel, Adobe Acrobat y otras permiten a los usuarios proteger un archivo con contraseña. Este encriptado incorporado busca aumentar la confianza de que los datos se mantendrán seguros, accesibles solo a los destinatarios previstos con la contraseña correcta. Sin embargo, los departamentos de TI no revisan rutinariamente los correos salientes en busca de posibles infracciones de datos protegidos, como los datos en sí mismos o en servidores en la nube, según lo exigen las leyes y regulaciones. En muchos casos, un contratista con una vulneración de correo electrónico puede no informar a sus socios.
¿Qué tan seguros son los archivos adjuntos enviados por correo?
Debemos asumir que nuestros servidores de email, proveedores de Internet y servidores de clientes/socios están debidamente protegidos. Hay historias constantes de filtraciones de datos en la nube o de empresa, e incluso mediante correos. En Chile, según el recién lanzado reporte The State of Ransomware, entre enero y marzo de este año el 20% de ataques perpetrados fue mediante el uso de emails maliciosos.
Archivos protegidos por contraseña usando cifrado por software
Las hojas de cálculo de Microsoft Excel protegidas con contraseña o los PDFs de Acrobat encriptados con evidencia legal pueden proporcionar tranquilidad, pero ¿qué pueden hacer los piratas informáticos si obtienen estos documentos? Archivos como estos están encriptados por software y se agrega una puerta de contraseña para acceder a los datos. Cuando se introduce una password incorrecta, el archivo no permite el acceso y permanece inaccesible.
Desafortunadamente, estos archivos carecen de protección contra la fuerza bruta (también conocida como “dictionary attacks” (la adivinación de todas las combinaciones de caracteres que podrían formar una contraseña).
Suponiendo que una contraseña segura y compleja utiliza tres de las cuatro configuraciones de caracteres: mayúsculas, minúsculas, números y caracteres especiales (el típico requerido como mejor práctica por las políticas de seguridad de TI) y tiene 8 caracteres de longitud. En principio, un computador debería tardar muchos años en adivinar contraseñas tan complejas. Pero los archivos protegidos con password no tienen defensas contra la adivinación, excepto la aleatoriedad (o entropía) de la contraseña seleccionada.
Los PC actuales pueden adivinar mil millones o más de contraseñas por segundo. Ese es un gran salto desde que se crearon por primera vez los archivos protegidos con contraseña.
¿Cómo irrumpen los ciberdelincuentes los archivos protegidos con contraseña?
Hay muchas herramientas gratuitas para eliminar una contraseña de los archivos de Excel o Acrobat. Los archivos encriptados pueden ser atacados por herramientas pagadas que apuntan a un archivo protegido con un solo equipo o escalar hasta mil o más equipos en red (para atacantes determinados que buscan datos de alto valor). Algunas de estas herramientas son altamente accesibles. Además, se estima que una herramienta de descifrado de contraseñas basada en IA puede acceder ilegalmente a una password compleja común de 8 caracteres en minutos o tardar un máximo de siete horas. Con los equipos en red, un ataque de fuerza bruta en un solo archivo protegido podría completarse en un período de tiempo más corto.
En este punto, está claro que cualquier transmisión de datos confidenciales por medios electrónicos está sujeta a una filtración si se intercepta un archivo, o los servidores que contienen el archivo adjunto. Lo mismo ocurre con los archivos encriptados almacenados en una nube que depende del encriptado por software. Si alguien obtiene el archivo protegido por contraseña, puede someterlo a ataques de fuerza bruta utilizando un software personalizado.
La solución para mitigar este riesgo es mantener esos datos «fuera de la red» o con espacio vacío (air-gapped). Se puede almacenar en un PC offline, o los datos se pueden transmitir a través de un medio que se endurece contra los ataques de contraseña por fuerza bruta. Esto puede ser engorroso, pero esta es una mitigación relacionada con el valor de los datos, algunos tipos de filtraciones pueden costar millones de dólares.
Protección física de los datos móviles: una gran alternativa
Existe una solución económica para datos móviles que hace precisamente eso, unidades USB o SSD encriptadas por hardware. Tienen un ecosistema de seguridad autónomo basado en hardware que protege contra ataques de contraseñas y utiliza un cifrado AES de 256 bits siempre activo que, en sí mismo, no se sabe que haya sido comprometido. Es importante obtener dichos dispositivos de almacenamiento de fabricantes conocidos y de confianza, ya que las unidades de bajo costo vendidas en línea pueden no implementar adecuadamente la seguridad de la contraseña o el encriptado.
Una unidad USB encriptada por hardware o un SSD externo, como las unidades Kingston IronKey, no son los típicos USB o SSD. Están diseñados desde cero como dispositivos de protección de datos, utilizando controladores especializados con la seguridad como objetivo principal de diseño. Estas unidades pueden proporcionar seguridad de nivel empresarial y seguridad de nivel militar (que agrega una certificación FIPS 140-3 de nivel 3 por parte del NIST, la agencia del gobierno de los EE. UU. que crea el encriptado AES-256 bit y que establece los estándares para las agencias del gobierno de los EE. UU.). Kingston también ha estado diseñando y fabricando unidades encriptadas por hardware durante más de 20 años para empresas y gobiernos de todo el mundo.
Equipo Prensa
Portal Innova
