Generando datos falsos tras cada intento fallido en la introducción de la clave o contraseña. Así protege Honey Encryption nuestros datos más privados
Según el experto en seguridad informática, Ari Juels, se podría mejorar la protección de datos encriptando información falsa introducida de forma automática para enmascarar nuestros datos más privados. Según explican Juels y el investigador Thomas Ristenpart el concepto aplicado es muy simple, consiste en generar señuelos con información falsa durante el ataque para que pase por información creíble, salvaguardando así nuestros datos reales.
Este método de encriptado de Juels y Ristenpart, bautizado por los investigadores como Honey Encryption, proporciona un nivel de protección extra a los datos encriptados introduciendo datos falsos tras cada intento fallido en la introducción de la clave o contraseña. De forma que, en caso de que nuestros datos sean hackeados, el ciberdelincuente obtenga nuestros datos privados enmascarados entre un montón de información falsa generada por el software de protección.
Normalmente, los ciberdelincuentes suelen utilizar software específico para generar miles de contraseñas o claves criptográficas con las que desbloquear y finalmente acceder de forma ilícita a los datos privados de los usuarios. Si el software utilizado genera un total de 10.000 intentos de desencriptado para un número de tarjeta de crédito, por ejemplo, con Honey Encryption tan sólo obtendría 10.000 números falsos que pasarían por reales a la vista del atacante. Aunque el método de encriptado Honey Encryption no evita el ataque, al menos garantiza que nuestros datos no quedan totalmente expuestos a los ojos de los ciberdelincuentes, ya que no tienen forma de distinguir cuáles son los reales de los falsos.
Este novedoso sistema contaba ya con un precedente llamado Honey Words, un sistema desarrollado anteriormente por Juels y Ron Rivest para proteger bases de datos con el mismo sistema de contraseñas falsas autogeneradas. No obstante, y a pesar de las bondades del sistema, los expertos siempre aconsejan utilizar contraseñas fuertes y cambiarlas con cierta frecuencia, sobretodo cuando exista la más mínima sospecha de que algo no va bien.
Al margen de este sistema que se presentará en la conferencia anual de criptografía Eurocrypt de este año, Juels también está aplicando este método en el desarrollo de un sistema para proteger los datos almacenados en servicios de gestión de contraseñas como LastPass y Dashlane.
Estos servicios almacenan encriptadas y protegidas por una clave maestra todas las contraseñas de un usuario, para que el software las introduzca de forma automática en lo sitios web. Por tanto, no es de extrañar que se hayan convertido últimamente en el blanco de la ciberdelincuencia. Para fortificar la seguridad de estos dispositivos Juels está aplicando el sistema Honey Encryption para desarrollar un generador de cajas fuertes de contraseñas falsas para despistar a los atacantes en sus intentos por extraer la clave de desbloqueo de las cuentas.
Imágenes | vía pixabay
