El concepto mismo de Encryption genera muchas dudas a cualquier persona que no tenga muchos conocimientos de ciberseguridad. Naturalmente, cuando se oye el término «cifrado de nivel militar», la confusión aumenta todavía más. Pero si conoces algo sobre los servicios cifrados, probablemente habrás oído ese término muchas veces, sobre todo en el contexto de los diversos servicios de VPN.
Índice
Algunos expertos en ciberseguridad dirán que esta expresión es un truco de marketing. Otros, en cambio, afirmarán que sirve para transmitir un concepto difícil de una manera fácil de entender. Pero ¿qué significa realmente el cifrado de nivel militar?
¿Qué es el cifrado de nivel militar?
El cifrado de nivel militar se refiere al AES (Advanced Encryption Standard) con claves de 256 bits. En 2001, el National Institute of Standards and Technology (NIST), una sección del Departamento de Comercio de Estados Unidos, anunció el AES como nuevo estándar de seguridad de la información.
Tradicionalmente, el cifrado de nivel militar utiliza claves de 128 bits o más. El gobierno de Estados Unidos especifica que el AES-128 se utiliza para información secreta (no clasificada) y El AES-256 se utiliza para información de alto secreto (clasificada). Si una entidad maneja información en ambos niveles, suele adoptar el AES-256 como norma.
Para las personas sin muchos conocimientos tecnológicos, estas letras y números no significan mucho. En un intento de hacer el cifrado asequible para la gente corriente, las empresas de seguridad empezaron a buscar un término que designase el nivel más elevado de seguridad sin usar tecnicismos. Como el gobierno estadounidense utiliza AES para proteger la información clasificada y la NSA lo utiliza para proteger los datos nacionales de seguridad, el término «de nivel militar» parecía apto.
¿Alguna vez se ha logrado descifrar el AES?
Hasta la fecha, nadie ha conseguido piratear el cifrado por bloques AES-256, pero se han realizado varios ataques contra las claves AES. El primer ataque de recuperación de claves sobre el AES completo lo publicaron en 2011 Andrey Bogdanov, Dmitry Khovratovich y Christian Rechberger. Utilizaron el ataque biclique, que es unas cuatro veces más rápido que un ataque por fuerza bruta. Sin embargo, tuvo un éxito reducido. La clave de 126 bits no se utiliza mucho, ya que la clave más pequeña del cifrado AES contiene 128 bits.
Y aun así, se tardaría miles de millones de años en descifrar una clave de 126 bits por fuerza bruta. Por eso, este ataque no representa ningún peligro para la información cifrada con el AES. No se conoce ningún ataque práctico que permita a una persona acceder a datos cifrados mediante AES si el cifrado está implementado correctamente.
¿Cuánto durará el AES?
Según el NIST, nadie puede saber con certeza cuánto tiempo seguirá siendo seguro el AES o cualquier otro algoritmo criptográfico. Sin embargo, el gobierno de Estados Unidos utilizó el Data Encryption Standard (DES) del NIST como estándar durante aproximadamente 20 años antes de que se pudiera piratear. El AES permite claves considerablemente más grandes que el DES. En ausencia de ataques contra AES que sean más rápidos que agotar todas las claves, e incluso teniendo en cuenta los futuros avances tecnológicos, AES tiene potencial para seguir siendo seguro mucho más de 20 años.
¿Necesitas seguridad de nivel militar?
Muchos escépticos dirán que no es necesario, ya que otros algoritmos de cifrado también hacen un buen trabajo. Sin embargo, ningún sector o servicio es inmune a los ataques. Y los servicios que guardan información confidencial, como contraseñas o datos financieros, no deben aplicar otra cosa que no sea el estándar recomendado.
Cuando el NIST presentó este estándar al público en 2001, ya contaban con que se adoptaría ampliamente en el sector privado. Lo consideraban, y lo siguen considerando, beneficioso para millones de consumidores y empresas que necesitan proteger su información confidencial.
Entonces, la respuesta es sí: si quieres demostrar que te preocupan tus usuarios y sus datos personales, debes utilizar el mejor cifrado que existe.
¿Nivel militar o AES-256?
Es una elección personal. Si eres una persona experta en tecnología, probablemente prefieras utilizar los términos técnicos correctos. Sin embargo, expresar ideas tecnológicas complejas en un lenguaje cotidiano puede resultar complicado. Por eso, en ocasiones conviene utilizar términos más corrientes para que los usuarios entiendan el mensaje. Si el término «de nivel militar» ayuda a transmitir mejor el mensaje, no hay nada de malo en usarlo.