Laura Marín nos ha echo llegar a través del buzón editores@seguridadparatodos.es un resumen sobre qué es la solución Prot-ON.
En una sociedad digital, en la que cada vez más la documentación en papel desaparece, los archivos se comparten por correo electrónico o se almacenan en la nube, y se intercambian fotos y comentarios a través de blogs o redes sociales, surge la duda sobre la seguridad de esa información. Casos recientes como los de Wikileaks o los de Sony solo consiguen incrementar la preocupación de empresas y particulares por tener que confiar sus datos a la red.
En este contexto, Prot-On lanza una aplicación que permite, por primera vez, proteger y gestionar los accesos a todo tipo de archivos que se comparten en Internet, se suben a la nube o se intercambian en un USB. Así, Prot-On permite al usuario decidir quién, cómo y cuándo accede a sus documentos y saber qué actividad se realiza sobre cualquiera de las copias existentes.
El objetivo de Prot-On es devolver a los profesionales, empresas y particulares su confianza en Internet como herramienta de trabajo y entretenimiento. La aplicación permite proteger sus archivos fácilmente y gestionar los permisos de acceso desde su panel personal, ampliando o restringiendo esos permisos en cualquier momento y desde cualquier navegador. Además, para que el usuario no pierda nunca el control sobre los documentos, Prot-On no almacena copias, sólo las claves y permisos de uso.
Prot-On es una solución pensada para todo tipo de públicos. Ofrece servicios de protección básica gratuitos para particulares y funcionalidades avanzadas para profesionales y empresas que les ayudarán a trabajar online y proteger sus archivos para compartirlos sin preocuparse por fugas de información, usos o reenvíos indebidos de propuestas profesionales, cumplimiento de la Ley de Protección de Datos, etc.
ANÁLISIS
Pero la pregunta que nos hacemos desde la redacción de www.seguridadparatodos.es es: ¿Cómo funciona realmente? ¿Qué nivel de protección nos proporciona? ¿Ventajas e inconvenientes de la solución?
Analizamos la respuesta a estas y otras preguntas desde nuestro Laboratorio de Seguridad (SecLabs):
¿Cómo funciona Prot-ON?
Uno de las cosas que saltan a primera vista es lo sencillo que resulta utilizar la solución de Prot-ON, no requiere configuraciones complejas, generación de contraseñas, solamente instalar y listo.
Se ha procedido a instalar la aplicación de Prot-ON en Windows 7 Profesional, que no requiere complicación alguna, como es habitual en la mayoría de las aplicaciones para esta plataforma. Una vez instalada la aplicación, aparecerá un proceso guiado para comenzar a familiarizarse con la aplicación, pero lo primero de todo el proceso es "crear un cuenta en Prot-ON", esta puede realizarse desde la propia aplicación, evitando el abrir el navegador web.
Configuración de la aplicación Prot-ON
La configuración de la aplicación base (cliente) de Prot-ON permite seleccionar el nivel de cifrado que se desea utilizar para proteger los documentos.
Por defecto, el nivel de cifrado se encuentra en AES-128, pero se puede configurar la aplicación para que cifre los documentos con AES-256, tal y como se observa en la siguiente imagen:
Otra de las opciones interesantes es que permite la autenticación (login) con los servidores de Prot-ON desde la propia aplicación o desde el navegador WEB, una vez autenticado y autorizado en los servidores, la aplicación (cliente) Prot-ON solicitará la autorización y la identificación del usuario para trabajar con los permisos que éste disponga.
La gestión de los permisos se realiza desde la página web de Prot-ON, los permisos disponibles para la versión gratuita del servicio son lectura (acceso) e impresión, sin embargo copia, modificación y/o gestión queda reservada para la versión de pago (40€/año para particulares).
Seguro que os estaréis preguntando que ocurre si no tengo conexión a Internet, existe la opción (en versión de pago) de configurar la aplicación para su funcionamiento offline (no se ha analizado), pero es de suponer que en el momento de proteger (cifrar) los archivos incluirá información en el archivo para permitir que los usuarios con "permisos" puedan abrir el documento. El tipo de información que se añade al archivo queda fuera del alcance de este análisis.
Se ha visto la configuración, fácil y rápida de la aplicación, y ahora ¿Qué?, ¿Cómo funciona? ¿Qué hace?
El funcionamiento es muy sencillo, una vez tenemos instalada la aplicación en nuestro equipo y se ha obtenido una cuenta de usuario en la página web Prot-ON, se puede comenzar a proteger aquellos documentos que se desean compartir.
Para proteger el fichero, solamente se tendrán que buscar el documentos en concreto y hacer "click" en el botón de "Proteger", la aplicación hará el resto. Esta opción de "Proteger" podrá realizarse de varias formas, utilizando el navegador de ficheros que proporciona la propia solución Prot-ON o desde un menú contextual en el navegador del sistema, un plug-in de Internet Explorer / Firefox o incluso un plug-in para Microsoft Office.
Una vez que se ha protegido el documento, se tendrá que gestionar los permisos de acceso en la WEB de Prot-ON, existe una configuración por defecto (configurable), donde se puede crear grupos de amigos, etc. De modo que solamente en casos particulares tengas que acceder a la interfaz WEB para gestionar los permisos. Es cierto que en este punto, la aplicación podría mejorar y permitir elegir en el momento de proteger el documento los permisos de acceso.
Para compartir el documento, se puede realizar de cualquier forma, a través de Internet (correo electrónico), almacenamiento en la nube (dropbox, Google Drive, etc), incluso mediante dispositivos USB. Además, se podrá proteger el texto de un correo electrónico, de modo que con este servicio (gratuito) se podrá enviar correos electrónicos protegidos independientemente de la aplicación que se utilice.
El requisito, como ya intuiréis, es que el destinatario (amigo, compañero, cliente, etc) deberá disponer una cuenta de usuario Prot-ON y la aplicación (cliente) instalada.
Más información sobre el uso de Prot-ON.
Análisis Técnico:
Tráfico de red
Se ha procedido a realizar un análisis del tráfico de red entre la aplicación Prot-ON y sus servidores. Este análisis revela que la aplicación realiza una conexión HTTPS para comunicar al servidor las claves cada vez que se protege y/o realizar cualquier acción sobre un archivo utilizando su aplicación (cliente). Se observa una comunicación cifrada en todo momento con el servidor de Prot-ON. Cada vez que se protege un archivo la aplicación se comunica con el servidor y genera la clave (RSA) para el documento y/o archivo protegido.
Captura del tráfico de red de la aplicación Prot-ON. |
Trazabilidad
Uno de los puntos más interesantes de la solución ofrecida es la "trazabilidad" y seguimiento del uso (actividad) que se realiza sobre el documento. Ofrece la capacidad de registrar la actividad (habilitada por defecto) del uso que hacen los usuarios de los archivos compartidos, de este modo conocerás cuando, quién y qué se ha realizado sobre el documento.
Ejemplo: Caso de uso
Por ejemplo, supongamos un hipotético caso, donde se produce un intercambio de información entre una empresa y un auditor, utilizando esta solución podrá enviar documentación "sensible" por Internet con la garantía que en el momento que finalice la relación contractual con el Auditor, el propietario de los archivos podrá revocar los permisos de manera inmediata, a través del portal WEB, quedando estos inservibles (cifrados AES-256) en manos del Auditor.
Por lo tanto la solución permite un mayor control sobre la información que se comparte, reduciendo los riesgos de "fuga" de información. Por supuesto, no se debe olvidar firmar un acuerdo de confidencialidad con el Auditor, pues el sistema no podrá evitar que una vez se tiene "acceso" (lectura) está pueda copiarse por otros medios ajenos al sistema (Prot-ON). Lo que si proporciona la solución es "garantizar" quién y cuando se ha accedido al documento, de forma que se tienen "evidencias" suficientes para conocer la identidad de la persona que acceder a la información, por lo que podrían iniciarse acciones legales en caso de incumplimiento del acuerdo de confidencialidad.
Conclusiones
Es una solución pensada para todo tipo de público, sencilla y segura. Presenta algunas desventajas como es la dependencia de Internet (versión gratuita), y la necesidad, por consiguiente, de registrar al usuario en el portal WEB. Por otro, lado el registro de usuario es fundamental e imprescindible para llevar a cabo la "trazabilidad" de los usuarios y gestión de los permisos, no obstante, la comprobación de la identidad de los usuarios se limita a una verificación de la cuenta de correo electrónico, que podría llegar a ser insuficiente, legalmente hablando, en caso de "fuga" de información, aunque se considera adecuado a nivel "particular".
A favor, hay que decir que descarga al usuario de la responsabilidad de la gestión de las contraseñas, proporciona una interfaz rápida y sencilla, de forma que cualquiera pueda utilizar la solución propuesta por Prot-ON sin necesidad de conocimiento previos.
Es posible que a nivel profesional, una integración del DNI-e con la solución Prot-ON hubiera sido una opción muy interesante de cara a garantizar tanto la integridad como la confidencialidad de la información con validez legal; que junto con la capacidad de trazabilidad de la plataforma, proporcionaría una buena solución ante la fuga de información.
Para finalizar, Prot-ON se presenta como una buena y segura solución para la protección de la información que compartes por Internet, sobretodo aquella información que se almacena en la nube (dropbox, google drive, etc).
Tips# Tanto si utilizáis Prot-ON como cualquier otra solución de cifrado similar, se debe "proteger" la información antes de almacenar el archivo en la carpeta local que se sincroniza automáticamente con dropbox, google drive o similares, para garantizar que el archivo que se sincroniza con la "nube" es el que esta protegido (cifrado).
0 comentarios:
Publicar un comentario