Diferentes niveles de seguridad en archivos PDF

noviembre 5, 2007 § Deja un comentario

Hace más de quince años, Adobe Systems Incorporation introdujo en el mercado mundial el concepto del documento electrónico ubicuo, logrando posicionar un formato que ha sido adoptado como estándar “de facto” para el intercambio de documentos electrónicos; me refiero al formato PDF, por sus siglas en inglés Portable Document Format (Formato de Documento Portable), un PDF puede ser visualizado en casi cualquier computadora o dispositivo móvil utilizando un producto gratuito llamado Adobe Reader (antes conocido como Acrobat Reader). En la actualidad, PDF es un formato reconocido por la organización de estándares internacionales (ISO, International Standards Organization)

Este formato PDF es el complemento ideal para trabajar con documentos electrónicos firmados digitalmente, dado que entre otras propiedades puede proteger su contenido, puede evitar que sea modificado y mantiene todas sus propiedades independientemente de la computadora que se use para visualizarlo.

Es muy importante que todas las empresas, grandes y pequeñas, evalúen el impacto que tendrá el uso de documentos electrónicos con validez oficial y que definan una estrategia a seguir en el corto y mediano plazo.

El tener un documento electrónico o un formato electrónico trae muchas ventajas a una organización, por ejemplo, una orden de compra electrónica puede tener catálogos que ayuden a la persona que está llenándola, reduciendo los errores típicos de la captura, agregando validaciones de la información; incluso se puede tener un documento “inteligente”, capaz de mostrar y ocultar información de acuerdo como sea necesario.

Con la evolución de la tecnología hemos observado grandes cambios en la forma de operar de los negocios, en la calidad del servicio que ofrecen empresas de todos los ramos y en la creciente necesidad de tener acceso a servicios “en línea” para poder realizar trámites personales; sin embargo, con todos estos avances, hoy dependemos más que nunca de grandes cantidades de papel, con sellos y firmas que le dan autenticidad y que, en ocasiones, estamos obligados a conservar por muchos años.

Por supuesto, el gran reto para estos documentos es el garantizar su autenticidad, para lo cual se ha acuñado el concepto de “firma electrónica”, que es una analogía digital de la firma autógrafa que usamos cotidianamente. Esta firma electrónica se vale de mecanismos de cifrado de información (también llamado encripción) que garantizan la autenticidad del documento; de tal forma que se puede asegurar que el documento no ha sido alterado desde que fue firmado, además de identificar plenamente a la persona que firmó el documento.

Seguridad Básica
El nivel de seguridad más básico que se puede aplicar a un archivo PDF se consigue mediante una contraseña de administrador que bloquea algunas características del archivo, por ejemplo, pedir una clave para abrir el documento, prevenir que se modifique el contenido del documento, evitar que se pueda copiar el contenido y pegarlo en otra aplicación e incluso no permitir la impresión del mismo.

Este nivel de seguridad existe en un PDF desde hace mucho tiempo y ha permitido proteger parcialmente la información, sin embargo, la contraseña reside dentro del PDF y, por lo tanto, es susceptible de ataques conocidos como “fuerza bruta”, en los cuales un programa intenta posibles combinaciones de letras y palabras hasta que se logre “adivinar” la clave.

La ventaja de este mecanismo de seguridad es que no requiere de ningún componente adicional para ser implementado y es adecuado para documentos con información pública o información de bajo nivel de sensibilidad.

Para la implementación de esta funcionalidad Adobe utiliza algoritmos de cifrado con llave simétrica como AES (128 y 256 bits) y RC4 (128 bits).

Seguridad por cifrado (encripción)
Mediante el uso de certificados digitales es posible tener un mayor nivel de seguridad en un documento PDF, para lo cual es necesario contar con certificados digitales con llave asimétrica, es decir, un una pareja de llaves pública y privada.

En este caso, no hay suficiente información dentro del documento PDF que permita romper la seguridad con un ataque de fuerza bruta, solamente mediante el uso de la llave pública correspondiente a la llave privada utilizada para encriptar (cifrar) el documento, se podría abrir o modificar la configuración de seguridad.

Para este tipo de implementación Adobe utiliza el algoritmo RSA (512, 1024 y 2048 bits).

Seguridad máxima
El mayor nivel de seguridad que se puede lograr actualmente en un documento PDF está relacionado con un concepto que se utiliza en la actualidad llamado “administración digital de derechos” (DRM, Digital Rights Management), en este caso, además de poder controlar la modificación o la impresión de un documento, se puede controlar la autorización de quien puede hacer qué con un documento PDF e incluso la vigencia del mismo.

En resumen, se puede tener el control de acceso a un PDF, sin importar el lugar donde se encuentre el mismo, es decir, puede estar en un repositorio, en un disco portátil, en un disco óptico, incluso en la computadora de la casa de una persona y se sigue teniendo el control del documento.

¿Cómo se puede lograr esto?, en realidad, se utiliza un servidor (Adobe LiveCycle Policy Server) que encripta un documento cuando se le aplica una política y cada vez que alguien intenta abrirlo, se establece una conexión hacia el servidor para identificar el documento, autenticar a la persona (via una conexión con el directorio corporativo LDAP) y, en caso de que todo sea válido y la apertura este permitida, se envía una llave temporal para desencriptar y abrir el documento.

Con esta solución se puede tener incluso una historia de los eventos relacionados con el documento, por ejemplo, se puede saber quién abrió un documento, quién lo mandó a impresión, desde qué computadora lo hizo, entre otras cosas.

Este nivel de seguridad es ideal para documentos confidenciales que deben ser preservados en todo momento.

Conclusión
Existen diferentes niveles de seguridad que deben ir relacionados con el contenido de cada archivo PDF, en algunos casos es suficiente con la seguridad básica, en otros casos es necesario utilizar una firma electrónica o encriptar el contenido; y para la información confidencial se puede utilizar la seguridad máxima; pero siempre bajo el entendido que el documento sigue siendo un PDF y puede ser abierto en cualquier plataforma donde está disponible el Adobe Reader gratuito.

Por Luis Carselle Gerente de Cuentas Corporativas en Adobe Systems Latino América

Fuente: http://www.tynmagazine.com/notas.php?id=734

About these ads

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Diferentes niveles de seguridad en archivos PDF en Seguridad Informática.

meta

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores

%d personas les gusta esto: