Cifrar Online

Seguridad

¿Es posible que alguien obtenga mi información? ¿Es seguro criptográficamente?

La respuesta corta es que nada es completamente seguro. Siempre existe riesgo de que alguien obtenga tu información.

Por ello, en este apartado detallaremos las principales razones de peligro.

El principal punto de peligro se debe a la propia seguridad de tu dispositivo. Es importante mantener nuestro software de trabajo libre de malware.

Por ejemplo, un keylogger podría guardar todo lo que tecleas, pudiendo así visualizar toda la información.

En principio, los keyloggers se puedan evitar con teclados en pantalla, y en general la mayoría de malware se podría detectar y eliminar con un antivirus. Pero, ¿es esto suficiente?. Puesto que los antivirus no tienen una tasa de efectividad del 100%, si manejas datos muy delicados como por ejemplo información bancaria, deberías tomar medidas de seguridad adicionales.

Una solución definitiva, aunque quizás algo engorrosa, podría ser crear una máquina virtual o bien un live USB para realizar este tipo de operaciones delicadas.

Otro punto débil sería nuestra conexión a Internet. Ya sea nuestra red local o cualquiera de los pasos entre nuestro ordenador y el servidor que cifre la información. La solución sería conectarse únicamente mediante redes privadas a Internet, y forzar la conexión segura mediante el protocolo HTTPS, siempre desde un navegador actualizado, con el servidor de destino si este no viene habilitado por defecto. Es esencial, para asegurar la privacidad de la conexión segura, que el servidor de destino esté actualizado y cuente con una correcta configuración.

Debemos también usar una clave segura todo lo larga que permita el algoritmo que estemos usando. Además de eso, y por supuesto, nunca debemos guardar ni escribir esta clave. Si a la hora de pensarla la escribes en un papel, no lo borres o lo cortes y después lo tires. Lo mejor es quemarlo.

Aunque parezca una obviedad, debemos asegurarnos de que ninguna persona ve la información mientras la ciframos, ni se guarde en texto plano en ningún sitio. También deberíamos salir de la web una vez terminamos de cifrar para evitar que alguien pudiera extraer información.

Si la información antes de cifrarla se encontraba guardada en un archivo en tu disco duro, asegúrate de eliminarla y reescribir todos los bytes del archivo. Puedes usar HardWipe para esto.

Por otra parte, todo el proceso de cifrado en el lado del servidor se realiza de forma criptográficamente segura. Usando un algoritmo robusto y una buena configuración no deberías de preocuparte.

Una buena combinación sería, por ejemplo, usar AES en modo CBC, con el vector de iniciación automático y SHA-256 como hash de verificación.

Puedes crear una máquina virtual con VirtualBox, VMware Player o QEMU.

Tienes una guía para crear un Live USB aquí. Algunas opciones son Ubuntu, Fedora y Debian

Puede comprobar la seguridad de la conexión de un servidor en SSL Labs.

Manejo de los datos

¿Qué ocurre cuando cifras un texto? ¿Guardáis algún dato en el servidor?

Los datos que se enviarán desde el navegador en el momento de cifrar son los siguientes.

  • Texto plano a cifrar
  • Clave de cifrado
  • Identificador del algoritmo
  • Identificador del modo
  • Identificador del hash
  • Vector de iniciación
  • Valor que indica si se debe incluir el vector en el resultado
  • Token de verificación

Estos datos son enviados mediante una petición asíncrona al propio servidor, usando el método POST.

El servidor recibe la información, verifica que el token sea correcto y que la procedencia sea legítima. Posteriormente se procede a leer y configurar las opciones seleccionadas por el usuario en el servidor, para que se cifre o descifre el texto.

Se elimina cualquier rastro de la información recibida y se envía el resultado.

Por lo tanto, no guardamos ninguno de tus datos en nuestros servidores.

Finalmente el navegador recibe el resultado y lo muestra en pantalla al usuario.

Tenemos pensado soportar parcialmente el cifrado directamente en el navegador en un futuro.

Compatibilidad

¿Puedo descifrar los datos en otra aplicación? ¿Qué ocurre si se cae esta web?

Puedes descifrar los datos con cualquier herramienta, siempre y cuando sea compatible con las opciones usadas a la hora de cifrar.

Nuestro objetivo es lograr una aplicación completa y flexible. Intentamos simplificar y realizar el cifrado de la forma más estándar posible.

De esta forma, y aunque haremos lo posible para continuar este servicio, si en algún momento se cae esta web usted podrá continuar usando otra herramienta.

Un ejemplo de otra web de cifrado compatible podría ser, aun sin que tengamos relación con esta web, Tools4noobs.

Queremos ofrecer un servicio completo y continuar mejorándolo, motivo suficiente como para que confiemos en que los usuarios seguirán usando esta aplicación. A su vez, si veis alguna carencia en Cifrar Online podéis realizar una sugerencia.