La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía sobre cifrado para ayudar a autónomos y a pequeñas y medianas empresas (PYMES) a reforzar sus medidas de ciberseguridad. La Guía tiene un enfoque predominantemente práctico y se analizan casos reales de diversos sectores en los que se aprecian las consecuencias de no aplicar medidas de cifrado y otras medidas de ciberseguridad.
La Guía empieza abordando el concepto de cifrado, actividad que “consiste en transformar la información en un formato ilegible para cualquier persona que no disponga de la clave de descifrado”. Posteriormente, se señala que es vital para cualquier organización conocer qué tratamientos de datos suponen un mayor riesgo para las personas físicas y, consecuentemente, aplicar medidas apropiadas al nivel de riesgo de cada tratamiento; dicho de otro modo, no es necesario aplicar medidas de cifrado a todos los datos tratados por una organización.
Después de abordar las posibles consecuencias de la falta de adopción de medidas técnicas y organizativas, entre ellas las sanciones impuestas por la misma AEPD, procede a examinar una serie de casos concretos. Por ejemplo: psicólogos que dan servicios a un centro de educación primaria que extravían un portátil con datos de los alumnos que terminan en la deep web; envío de archivos cifrados con la clave en el mismo correo; envío de correos con múltiples destinatarios por error; asociaciones de personas en proceso de rehabilitación que sufren un robo en su sede; entre otras. Para cada uno de estos escenarios, se proponen medidas de ciberseguridad que podrían (deberían) haberse adoptado: cifrados de discos duros, de archivos, MFA, seudonimización o control de acceso con mínimos privilegios.
La Guía aclara que el uso de técnicas de cifrado reconocidas (como AES-256 o TLS 1.2) demuestra diligencia por parte del responsable del tratamiento en relación con el principio de responsabilidad proactiva; no obstante, matiza señalando que el cifrado no garantiza por sí mismo un cumplimiento de la normativa de protección de datos, ya que no abarca otros puntos como bases de legitimación, deber de informar, etc., ni tampoco equivale, en ningún caso, al proceso de anonimización.
Además, concentra una serie de recomendaciones prácticas como utilizar conexiones seguras cuando se navega por internet (https) y pautas para cifrar correos electrónicos, archivos adjuntos, videoconferencias y apps de mensajería. Finalmente, termina con 12 recomendaciones generales, que reproducimos a continuación:
- Aplicar el principio de minimización de datos.
- Cifrar los ficheros sensibles antes de enviarlos por correo electrónico o almacenarlos en la nube.
- Enviar la clave de descifrado por un canal separado del archivo cifrado.
- Cifrar el disco duro de los dispositivos utilizados para gestionar información confidencial.
- Utilizar servicios de correo electrónico con cifrado o herramientas seguras para el intercambio de documentos.
- Habilitar la autenticación en dos pasos en cuentas de correo, plataformas de almacenamiento en la nube y otros servicios críticos.
- Ser cuidadoso al compartir información sensible, verificando los destinatarios antes de enviar correos o mensajes.
- Evitar incluir en el asunto del correo información que pueda revelar datos sensibles.
- Utilizar aplicaciones de mensajería con cifrado de extremo a extremo.
- Realizar copias de seguridad cifradas de la información importante en dispositivos y en la nube.
- Implementar controles de acceso y permisos basados en roles.
- Capacitar y concienciar al personal sobre protección de datos.