Nuevas directrices de la ICO sobre seguridad, cifrado y contraseñas, en servicios online

06-11-2018 — AR/2018/080

La Information Commissioner’s Office o ICO publica sus directrices sobre el principio de seguridad, el cifrado y las contraseñas usadas en los servicios online, que se suman a su guía de buenas prácticas en la protección de datos, con indicaciones sobre los elementos que deben considerarse para implantar un cifrado y el uso de contraseñas como medio de autentificación.

La autoridad de control para la protección de datos en el Reino Unido, la Information Commissioner’s Office o ICO, publicó el 1-11-2018 sus directrices sobre el principio de seguridad, el cifrado y las contraseñas usadas en los servicios online, que se suman a su guía de buenas prácticas en la protección de datos.

La seguridad es un principio contemplado por el RGPD que reviste la máxima importancia al tratar datos personales. En efecto, no se puede perder de vista la triada “CID” ―“Confidencialidad”, “Integridad” y “Disponibilidad” de la información―, fundamental para garantizar la seguridad de la información.

Para ello, los artículos 5 y 32 del RGPD requieren la implantación de medidas técnicas y organizativas de seguridad adecuadas al tratamiento de datos personales en cuestión. El mismo artículo 32 cita el cifrado o la encriptación como un ejemplo de posible medida de seguridad, dependiendo del riesgo identificado, para un tratamiento dado. El cifrado, función matemática que codifica los datos de tal manera que solo los usuarios autorizados pueden acceder a ellos, es un medio para luchar contra los accesos no autorizados y así evitar posibles daños.

Pero, ¿cuáles son los elementos que deben considerarse para implantar un cifrado?

Además de considerar el tipo de cifrado (simétrico o asimétrico), habrá que tener en cuenta los cuatro elementos siguientes:

  • Elegir un algoritmo de encriptación adecuado y revisarlo a menudo para comprobar sus vulnerabilidades.
  • Elegir un tamaño de clave de encriptación suficientemente largo.
  • Elegir un buen software de encriptación que cumpla con los estándares FIPS 140-2 y FIPS 197.
  • Guardar de forma segura la clave de encriptación restringiendo su acceso e implantar procesos que permitan la generación de nuevas claves cuando resulte necesario.

Otra medida técnica y organizativa contemplada por la ICO, aunque ausente del RGPD, es el uso de contraseñas como medio de autentificación, muy común para proteger el acceso a sistemas que tratan datos personales. Al implantar contraseñas, la ICO recomienda valorar, entre otros, los siguientes aspectos:

  • Cumplir desde el inicio del proyecto con el principio de privacy by design.
  • Evaluar si resulta oportuno acudir al sistema SSO (single sign-on) por la proliferación de servicios online para no aumentar la cantidad de contraseñas usadas.
  • No almacenar las contraseñas en texto plano (plaintext). Es importante aplicar funciones resumen o hashing, tales como bcrypt, scrypt o PBKDF2, y descartar los conocidos como el MD5 y el SHA1, que ya no son apropiados (el último era el usado cuando se descubrió la brecha de seguridad que sufrió Linked-In en 2012).
  • Usar páginas web seguras (HTTPS) para el inicio de las sesiones que requieren las contraseña.
  • Usar contraseñas largas (como mínimos 10 caracteres), incentivar el uso de caracteres especiales y poner en la lista negra las contraseñas consideradas muy débiles.
  • Limitar el número de intentos fallidos de contraseña. La ICO sugiere, por ejemplo, limitar dicho número a 100 en un periodo de 30 días.
  • Reforzar el sistema de autentificación cuando se detecta que la contraseña se marcó en un dispositivo distinto del habitual o desde otro sitio geográfico.
  • En su caso, y cuando sea factible, compaginar el uso de varios tipos de autentificaciones además de las contraseñas, como, por ejemplo, el uso de las huellas dactilares, siempre que el tratamiento de estos datos personales cumpla con lo previsto por el RGPD.