Fuga de información
En seguridad de la información se entiende por fuga de información una salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control. Ocurre cuando un sistema de información o proceso diseñado para restringir el acceso solo a sujetos autorizados revela parte de la información que procesa o transmite debido a errores en los procedimientos de diseño o trabajo. Por ejemplo, un protocolo de comunicación por Internet sin cifrar que sea interceptado por un atacante puede ser fácilmente leído; una carta con información confidencial enviada en un sobre sin mayor medida de seguridad, puede ser abierta y leída por una persona no autorizada; a partir de las emanaciones electromagnéticas que se producen en los cables de datos por los que viaja la información, se puede reconstruir la información transmitida, si bien se requieren técnicas complejas. En todos los casos, estaremos hablando de una fuga de información.
Al diseñar sistemas seguros con frecuencia se olvida tomar en cuenta elementos que pueden producir fugas de información. Un ejemplo clásico es el de un mecanismo que facilitaba las comunicaciones por líneas analógicas, líneas telefónicas diseñadas por el gobierno francés. Se trataba de un dispositivo que se colocaba en los teléfonos del emisor y del receptor, realizaba el cifrado y enviaba las señales sobre las líneas de comunicación públicas. Desafortunadamente, la cinta con la que se unía el dispositivo al teléfono no aislaba completamente el sonido y si bien el cifrado era bastante sólido, al escuchar con cuidado se percibía la voz de los interlocutores. La fuga de información puede ser un factor que destruye sutil o completamente la seguridad de un sistema que de otra forma podría ser considerado como seguro.
Generalmente, solo los sistemas muy avanzados utilizan mecanismos de defensa contra la fuga de información – hay tres formas principales de hacerlo:
- Utilizar esteganografía para esconder el hecho de que se está transmitiendo un mensaje.
- Utilizar camuflaje para evitar dejar claro cuál es el verdadero mensaje entre una colección de mensajes transmitidos (sin esconder el hecho que se están transmitiendo mensajes).
- Retardar de forma aleatoria la transmisión de mensajes, dividir la información en paquetes y enviarlos en forma desordenada. Estos mecanismos ayudan a disimular el envío de un mensaje y su ruta, especialmente si en el camino hay nodos del tipo reenvío anónimo de correo Mixmaster.
Definición
Se define como fuga de datos o fuga de información cómo:
«es la pérdida de la confidencialidad de la información privada de una persona o empresa (INCIBE, pág. 22).»[1]
Referencias
- Glosario de Términos de Ciberseguridad, Resolución 1523/2019 (Anexo II).