El cifrado con capacidad de búsqueda ha sido durante mucho tiempo un misterio, un oxímoron, un sueño inalcanzable para los profesionales de la ciberseguridad de todo el mundo. Las organizaciones saben que deben cifrar sus datos más valiosos y confidenciales para evitar el robo y las filtraciones de datos. También entienden que los datos de la organización existen para ser utilizados, para ser buscados, vistos y modificados para que las empresas sigan funcionando. Desafortunadamente, a nuestros ingenieros de seguridad de datos y redes se les enseñó durante décadas que no se pueden buscar ni editar datos mientras están en estado cifrado. Lo mejor que pudieron hacer fue envolver esos datos sin cifrar en un capullo de hardware, software, políticas, controles y gobernanza complejos. ¿Y cómo ha funcionado eso hasta la fecha? Basta con observar la filtración de datos de T-Mobile, la filtración de datos de United Healthcare, Uber, Verizon, Kaiser Foundation Health Plan, Bank of America, Prudential… y la lista continúa. Todos los datos que se robaron en esas filtraciones permanecieron sin cifrar para respaldar las operaciones diarias. Es seguro concluir que la forma en que estamos protegiendo esos datos simplemente no está funcionando. Es fundamental que evolucionemos nuestro pensamiento y enfoque. Es hora de cifrar todos los datos en reposo, en tránsito y también EN USO. Entonces, ¿cómo ciframos eficazmente los datos que necesitan usarse? El desafío del cifrado Como se dijo, está bien establecido que la mayoría de los datos no están cifrados. Solo observe la tasa de crecimiento continua y bien documentada de la actividad delictiva cibernética. En resumen, todas las violaciones de datos y los casos de rescate de datos tienen un hilo común evidente: cada objetivo mantiene millones de registros privados, sensibles y confidenciales en un estado no cifrado. Almacenes de datos, completamente indexados, estructurados y no cifrados como texto sin formato fácil de leer simplemente para respaldar los casos de uso operativo. Este desafío cae bajo los auspicios de «Riesgo aceptable». A menudo se considera que si una organización tiene una buena higiene cibernética, esa organización está cifrando datos en reposo (en almacenamiento, archivados o respaldados) y en tránsito o movimiento (es decir, cifrado de correo electrónico o envío de datos de un punto a otro). Y muchos pueden pensar que es suficiente, o que es lo mejor que pueden hacer. Después de todo, el cifrado en reposo y en movimiento es el único enfoque de cifrado de los organismos de cumplimiento y gobernanza actuales, donde abordan el cifrado de bases de datos. En verdad, la mayoría de los organismos de cumplimiento carecen de una definición real de lo que se consideraría un cifrado de base de datos sólido. Desafortunadamente, la mentalidad de muchos sigue siendo «si el cumplimiento no lo aborda, no debe ser tan importante, ¿verdad?». Analicemos esto un poco. ¿Por qué no ciframos los datos? El cifrado tiene reputación de ser complejo, costoso y difícil de administrar. Si solo analizamos el cifrado tradicional de datos en reposo (archivos y datos estáticos), estas soluciones de cifrado generalmente implican un «elevación y traslado» completo de la base de datos a la solución de cifrado en reposo. Este ejercicio a menudo requiere un arquitecto de red, un administrador de base de datos, un mapeo detallado y tiempo. Una vez cifrados, y suponiendo que se utilice un cifrado de cadena larga como AES 256, los datos solo están seguros hasta el punto en que se necesitan. Los datos eventualmente serán necesarios para respaldar una función comercial, como servicio al cliente, ventas, facturación, servicio financiero, atención médica, auditoría y/o operaciones de actualización general. En ese punto, todo el conjunto de datos requerido (ya sea la base de datos completa o un segmento) debe descifrarse y trasladarse a un almacén de datos como texto sin formato vulnerable. Esto genera otra capa de complejidad: la experiencia de un administrador de bases de datos o un experto en bases de datos, el tiempo para descifrar, la creación de un enclave de seguridad de soluciones complejas diseñadas para monitorear y «asegurar» el almacén de datos de texto sin formato. Ahora bien, este enclave de soluciones complejas requiere un equipo especializado de expertos con conocimiento de cómo funciona cada una de esas herramientas de seguridad. Si a eso le sumamos la necesidad de aplicar parches y actualizar cada una de esas herramientas de seguridad solo para mantener su eficacia, ahora entendemos por qué se comprometen tantos datos a diario. Por supuesto, una vez que se ha utilizado el conjunto de datos, se supone que debe volver a su estado cifrado. Entonces, el ciclo de complejidad (y gasto) comienza de nuevo. Debido a este ciclo de complejidad, en muchas situaciones, estos datos confidenciales permanecen en un estado vulnerable y completamente sin cifrar, por lo que siempre están disponibles. El 100 % de los actores de amenazas coinciden en que los datos sin cifrar son el mejor tipo de datos al que pueden acceder fácilmente. Este ejemplo se centra en el cifrado de datos en reposo, pero es importante señalar que los datos cifrados en tránsito pasan por gran parte del mismo proceso: solo se cifran en tránsito, pero deben descifrarse para su uso en ambos extremos de la transacción. Existe un enfoque mucho mejor, que va más allá del cifrado básico. Una estrategia de cifrado de bases de datos moderna y más completa debe tener en cuenta el cifrado de datos críticos de bases de datos en tres estados: en reposo, en movimiento y ahora EN USO. El cifrado con capacidad de búsqueda, también llamado cifrado en uso, mantiene esos datos completamente cifrados mientras aún se pueden usar. Elimina la complejidad y los gastos relacionados con el soporte de un proceso arcaico de cifrado, descifrado, uso y recifrado. Fusión de tecnologías para un mejor cifrado Entonces, ¿por qué, ahora, el cifrado con capacidad de búsqueda se está convirtiendo de repente en un estándar de oro en la seguridad de datos privados, sensibles y controlados críticos? Según Gartner, «la necesidad de proteger la confidencialidad de los datos y mantener su utilidad es una de las principales preocupaciones de los equipos de análisis de datos y privacidad que trabajan con grandes cantidades de datos. La capacidad de cifrar los datos y, al mismo tiempo, procesarlos de forma segura se considera el santo grial de la protección de datos». Anteriormente, la posibilidad de cifrar los datos en uso giraba en torno a la promesa del cifrado homomórfico (HE), que tiene un rendimiento notoriamente lento, es muy caro y requiere una cantidad obscena de potencia de procesamiento. Sin embargo, con el uso de la tecnología de cifrado simétrico con capacidad de búsqueda, podemos procesar «datos en uso» mientras permanecen cifrados y mantener un rendimiento de consulta casi en tiempo real, en milisegundos. La analista de IDC Jennifer Glenn dijo: «La transformación digital ha hecho que los datos sean más portátiles y utilizables por todas las partes de la empresa, al mismo tiempo que los deja más expuestos. El cifrado con capacidad de búsqueda ofrece una forma poderosa de mantener los datos seguros y privados, al tiempo que se libera su valor». «Tecnologías como el cifrado con capacidad de búsqueda se están convirtiendo rápidamente en un elemento básico para que las organizaciones mantengan los datos utilizables, al tiempo que garantizan su integridad y seguridad», dijo Glenn. Paperclip, una empresa de gestión de datos con más de 30 años de antigüedad, ha creado una solución para lograr lo que alguna vez se denominó el «santo grial de la protección de datos»: el cifrado de los datos en uso. Al aprovechar la tecnología de destrucción patentada utilizada para el almacenamiento de datos y el cifrado simétrico con capacidad de búsqueda, nació una solución que elimina la complejidad, la latencia y el riesgo inherentes a las estrategias de cifrado y seguridad de datos heredadas. La solución de cifrado SAFE Entendiendo que la necesidad es la madre de todas las invenciones, Paperclip, fundada en 1991 como un innovador en la cadena de suministro de contenido, se dio cuenta de que ellos mismos necesitaban hacer más para proteger el conjunto de datos confidenciales que sus clientes les habían confiado. Al analizar el creciente número de violaciones de datos y ataques de rescate de datos, una realidad se volvió muy clara: los actores de amenazas no están comprometiendo ni robando datos cifrados. Están concentrados en las grandes cantidades de datos sin cifrar y en texto plano que se utilizan para respaldar actividades operativas clave. Ahí es donde pueden hacer el mayor daño. Esos son los mejores datos para mantener como rehenes. Eran estos datos críticos los que debían abordarse. Era hora de evolucionar la forma en que encriptamos nuestros datos más activos, en la capa de base de datos. Este fue el origen de SAFE, primero como una solución y luego para llevarlo al mercado comercial. Por supuesto, identificar el desafío fue fácil. Todas las organizaciones tienen datos confidenciales que proteger y todas las organizaciones tienen datos confidenciales de los que dependen para ejecutar sus operaciones principales. La siguiente etapa fue crear una solución práctica. Paperclip SAFE es una solución SaaS que hace que el cifrado de datos totalmente cifrado y con capacidad de búsqueda sea una realidad práctica. Ya no se requiere todo el proceso de cifrado, descifrado, uso y recifrado, ni los recursos necesarios para realizar esas tareas. Más importante aún, SAFE elimina la excusa relacionada con el motivo por el cual millones de registros quedan totalmente expuestos al robo de datos y a los ataques de rescate en este momento. El cifrado con capacidad de búsqueda de SAFE se conoce comúnmente como una plataforma de tecnología de mejora de la privacidad (PET). Como PET, SAFE evoluciona la forma en que se protegen los datos en la capa central de la base de datos. SAFE es único entre todas las demás soluciones de cifrado porque ofrece las siguientes características: Cifrado completo AES 256 compatible con bóvedas de claves del propietario y del titular de los datos: un actor de amenazas debe comprometer ambas claves dispares. Incluso entonces no obtiene acceso a los datos. Almacenamiento de datos triturados con clip patentado (SDS): incluso antes de que se cifren los datos con AES 256, un cifrado complejo, los datos se trituran en pedazos, se salan y se procesan. Esto rompe todo el contexto y crea entropía. Imagine que un actor de amenazas compromete ambas claves de cifrado. Lo que termina teniendo es como tomar una micro trituradora de corte transversal, pasar un millón de documentos por ella, tirar un tercio de los pedazos triturados, reemplazar ese tercio con enciclopedias antiguas trituradas, sacudirlo y tirarlo al suelo como un rompecabezas enfermo y demente. Según la tecnología actual, se necesitarán unos 6000 años para volver a ensamblar todas esas piezas. Conjunto de datos Always Encrypted que admite la funcionalidad completa de creación, lectura, actualización y eliminación (CRUD). – De manera inherente, cuando los datos no están en uso, están en reposo, todavía completamente cifrados. No más cifrados, sin cifrar… Siempre están cifrados. Búsqueda compuesta cifrada rápida (<100 milisegundos en una consulta SQL estándar). Los usuarios finales ni siquiera se darán cuenta de que SAFE se está ejecutando en segundo plano. Aprendizaje automático continuo y detección y respuesta de amenazas de IA (TDR) - SAFE se basa en Zero Trust, por lo que la solución monitoreará y aprenderá las tendencias de los usuarios. Cualquier actividad fuera de banda se bloqueará y requerirá una acción administrativa. La solución también monitorea las inyecciones SQL, el fuzzing de datos y otras acciones de actores de amenazas. Como parte de la solución, SAFE produce una gran cantidad de telemetría que puede alimentar el servicio de monitoreo de SOC de un cliente. Integración de API JSON simple. Hay algo de desarrollo involucrado, pero el resultado no es ninguna interrupción para el usuario final y un conjunto de datos siempre disponibles y siempre cifrados. Flexibilidad de implementación: SAFE es una solución SaaS, pero también fue diseñada para implementarse como una solución liviana en las instalaciones. Además, SAFE se puede integrar en una aplicación de terceros donde ese tercero mantiene datos confidenciales en nombre del Cliente (aplicación subcontratada como recursos humanos, nóminas, plataformas bancarias, EMR y PHR de atención médica, etc.). Si subcontrata sus datos confidenciales a un proveedor externo, es hora de preguntarse cómo están cifrando esos datos. ¿Qué sucede si ese proveedor sufre una infracción? ¿Están cifrados sus datos? Estamos en una carrera, una que los actores de amenazas parecen estar ganando. Es hora de construir un mejor motor de cifrado. Es hora de SAFE. En el panorama empresarial cibernético actual, la necesidad de cifrado con capacidad de búsqueda abarca muchas industrias y casos de uso como servicios financieros, atención médica, banca, fabricación, gobierno, educación, infraestructura crítica, venta minorista e investigación, por nombrar algunos. No hay un área donde los datos no necesiten ser más SEGUROS. SAFE como una solución SaaS se puede implementar en menos de 30 días sin interrupciones para los usuarios finales o la arquitectura de la red. Para obtener más información sobre el cifrado con capacidad de búsqueda SAFE, visite paperclip.com/safe. Nota: Este artículo fue escrito y aportado por Chad F. Walter, director de ingresos de Paperclip desde junio de 2022, quien lidera iniciativas de ventas y marketing y tiene más de 20 años de experiencia en ciberseguridad y tecnología. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.