El estándar de cifrado FIPS 140-3 y sus casos de uso

Para Estados Unidos, la ciberseguridad se basa fundamentalmente en la resiliencia. Por eso, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. establece normas y directrices, en particular para los sistemas conectados que utilizan el Gobierno y los contratistas públicos. La organización se encarga de las Normas Federales de Procesamiento de la Información (FIPS). La versión actual es FIPS 140-3. La estrategia tiene como objetivo reforzar las infraestructuras críticas, el ciberespacio mundial y los servicios de inteligencia estadounidenses frente a los ciberataques.

En un momento en el que las nuevas tecnologías, como la inteligencia artificial y la computación cuántica, plantean tanto oportunidades como amenazas, la norma FIPS 140-3 desempeña un papel importante en la mejora de la ciberseguridad.

Aunque esta norma de ciberseguridad es empleada por los gobiernos de Estados Unidos y Canadá, cualquiera puede adoptarla. En este artículo se describe el propósito de esta norma, así como casos de uso importantes y se recomiendan productos validados por FIPS que pueden satisfacer sus necesidades.

Ir a:

• Descripción general de FIPS 140-3
• Casos de uso de la norma criptográfica FIPS
• Trabaje con un proveedor de soluciones de confianza

Descripción general de FIPS 140-3

El NIST elaboró la norma FIPS 140 para ayudar a proteger la información confidencial del Gobierno frente a los piratas informáticos. La organización ofrece directrices para la implementación de la norma FIPS 140-3 con el fin de garantizar que los fabricantes de equipos originales y otras entidades que producen y utilizan sistemas conectados que manejan datos confidenciales comprendan plenamente los requisitos y sepan cómo garantizar su cumplimiento. La norma FIPS 140-3 abarca todo el hardware, el software y el firmware criptográficos que implementan funciones de seguridad aprobadas.

En otras palabras, para que los módulos criptográficos sean conformes, deben integrar las características descritas en la norma. Por lo tanto, si sus módulos criptográficos no cumplen los requisitos de validación, no podrá vender sus soluciones a la Administración. Si se pregunta cómo son estos requisitos, aquí tiene un breve resumen.

La norma FIPS 140-3 establece cuatro niveles de seguridad crecientes, sobre los que puede obtener más información en nuestro informe técnico sobre la norma FIPS 140-3.

Casos de uso de la norma criptográfica FIPS

Garantizar que los módulos criptográficos (tanto de hardware como de software) que gestionan las comunicaciones y los datos cumplan con la norma FIPS 140-3 ayuda tanto a los organismos públicos como a los contratistas del sector público a ajustarse a un marco normativo para proteger los datos, las operaciones y los activos frente a las ciberamenazas. Además de las aplicaciones gubernamentales obligatorias, otros casos de uso incluyen las infraestructuras críticas, la industria manufacturera, el transporte y otros sectores. En la siguiente sección, analizaremos algunos casos de uso en el ámbito público y en otros sectores.

Aplicaciones en las que se requiere la validación según la norma FIPS 140-3

• Organismos gubernamentales y contratistas: El Gobierno de los Estados Unidos es uno de los mayores consumidores y productores de datos digitales. La seguridad de los datos reviste una importancia fundamental. Por este motivo, se exige la certificación FIPS 140-3 a todas las entidades que manejan información no clasificada controlada (CUI), lo que incluye a cientos de organismos gubernamentales, entre ellos el FBI, el Departamento de Defensa y la Patrulla Fronteriza de los Estados Unidos, así como a todos los contratistas de defensa y otros servicios que tienen contratos con el Gobierno.
• Fuerzas del orden: Los cuerpos de seguridad utilizan el Sistema de Información de Justicia Penal (CJIS), lo que implica que tienen acceso a información altamente sensible. Por este motivo, las fuerzas policiales están obligadas a utilizar dispositivos validados según la norma FIPS 140-3. Además, utilizan dispositivos como los lectores automáticos de matrículas (ALPR) como parte de su arsenal de tecnologías integradas en los vehículos que transmiten y comparten datos. El cumplimiento de la norma FIPS 140-3 garantiza la seguridad de los datos de los ALPR durante el almacenamiento y la transmisión de los datos de las matrículas.
• Servicios financieros: El sector financiero es uno de los más regulados del mundo. Las instituciones financieras que forman parte del Gobierno federal, entre ellas el IRS y la Reserva Federal, están obligadas a utilizar dispositivos validados según la norma FIPS 140-3 para proteger los datos financieros frente a las ciberamenazas. Cada vez son más las instituciones y empresas de servicios financieros que adoptan esta norma como referencia en materia de ciberseguridad.
• Instituciones médicas: al igual que las instituciones financieras, aquellas que se encuentran bajo la jurisdicción del gobierno están obligadas a utilizar dispositivos validados según la norma FIPS 140-3. Además, las instituciones que deben cumplir con la HIPAA deben seguir esta norma, y la mayoría de las instituciones sanitarias deben cumplirla para proteger los datos de los pacientes. Los riesgos son elevados. Por ejemplo, Quest Diagnostics fue víctima de un robo cibernético en el que se sustrajeron más de 12 millones de registros confidenciales de pacientes cuando unos atacantes piratearon la página web de pagos de un proveedor. El cumplimiento de la norma FIPS 140-3 puede ayudar a los fabricantes de dispositivos médicos y a los proveedores de software sanitario a garantizar que sus métodos de cifrado protejan los datos confidenciales de los pacientes y la seguridad de los dispositivos médicos de los que depende la vida de estos.

Otras aplicaciones en las que resulta beneficioso cumplir con la norma FIPS 140-3

No se pueden subestimar las ventajas del cumplimiento de la norma FIPS 140-3, ya que hoy en día todas las organizaciones deben reforzar su ciberseguridad ante la creciente sofisticación de los piratas informáticos. La norma FIPS 140-3 reduce drásticamente el perfil de vulnerabilidad de las organizaciones que gestionan desde datos de consumidores hasta transacciones financieras.

• La empresa Plasma Ruggedized Solutions fabrica recubrimientos conformados y ofrece servicios de encapsulado y sellado diseñados específicamente para obtener la certificación FIPS. En otras palabras, sus productos recubren los componentes electrónicos sensibles para impedir el acceso a los datos almacenados en los conjuntos de placas de circuito impreso tratados. De hecho, incluso ofrece medidas especiales para garantizar que el producto se autodestruya si detecta cualquier tipo de manipulación, como el acceso no autorizado, la modificación o la ingeniería inversa.
• Empresas de energía y servicios públicos: Las infraestructuras energéticas, que incluyen los servicios de gas, agua y electricidad, son fundamentales para todo lo que hacemos. Son esenciales para nuestra economía y nuestro modo de vida. Además, están estrechamente conectadas a miles de puntos finales, entre los que se incluyen la generación de energía, los proveedores de energía e incluso los contadores inteligentes. Por eso es necesario protegerlas frente a ciberataques cada vez más sofisticados. Más allá de la mala prensa y el daño a la reputación, los hackers pueden causar pérdidas económicas y robar valiosa propiedad intelectual. Por ejemplo, recientes ciberataques en el sector energético inutilizaron los controles remotos de parques eólicos y provocaron filtraciones de datos con información confidencial de los clientes. Prevenir las amenazas cibernéticas significa proporcionar los más altos niveles de protección para todos los puntos finales y los datos. Las empresas de servicios públicos que deseen desarrollar resiliencia frente a los ciberataques pueden obtener la validación FIPS 140-3 en todos los módulos de cifrado.
• Centros de datos en la nube: Los proveedores de servicios en la nube, como Google Cloud, IBM, AWS, Dell y Microsoft, utilizan cifrado validado según la norma FIPS 140-3. Esto significa que tanto los datos transmitidos como los almacenados se cifran mediante un cifrado validado según la norma FIPS.
• Vehículos no tripulados: Los vehículos no tripulados abarcan desde aeronaves no tripuladas, como los drones, hasta vehículos submarinos no tripulados e incluso coches autónomos. Dado que los sistemas informáticos controlan prácticamente todas las operaciones de los vehículos no tripulados, garantizar la seguridad de los datos y la información que se transmiten sigue siendo una prioridad absoluta. DJI, una empresa de drones y robótica, solicitó la validación FIPS 140-3 para algunos de sus drones. Según DJI, todos los drones equipados con el DJI Core Crypto Engine garantizan que los clientes «disfruten de estándares de seguridad fiables, autorizados y reconocidos a nivel mundial». Muchos clientes de DJI representan al gobierno federal o trabajan en contratos gubernamentales, por lo que tiene sentido que DJI solicitara la validación FIPS para sus productos.
• Vehículos autónomos: A medida que mejoran las tecnologías de conducción autónoma, los vehículos con inteligencia artificial controlados por software cobrarán mayor importancia para el futuro de la movilidad. Estos vehículos dependen en gran medida de los datos y las comunicaciones para funcionar de forma segura, por lo que la ciberseguridad sigue representando un riesgo enorme. El informe preliminar de 2022 del Departamento de Transporte de EE. UU., titulado «Cybersecurity Best Practices for the Safety of Motor Vehicles» (Mejores prácticas de ciberseguridad para la seguridad de los vehículos de motor), cita la norma FIPS 140-3 como una forma de garantizar que «las técnicas criptográficas sean actuales y no queden obsoletas para la aplicación prevista».

Trabaje con un proveedor de soluciones de confianza

Aunque trabajar para el Gobierno federal o como proveedor de este implica cumplir con los requisitos de la norma FIPS 140-3, cualquier organización que necesite un nivel sólido de protección en materia de ciberseguridad puede adoptar esta norma. Ahí es donde Digi puede ayudar. Desde 1985, Digi ha sido pionera en el ámbito de las comunicaciones inalámbricas. Hoy en día, Digi ofrece desde soluciones basadas en sensores y una sofisticada plataforma de monitorización remota hasta equipos profesionales de diseño, implementación y certificación con servicio integral. Cuando se trata de ciberseguridad, estamos a su disposición.

Las soluciones de Digi son compatibles con FIPS 140-2 en toda la gama de dispositivos basados en el sistema operativo Digi Accelerated Linux (DAL OS):

 

• Routers celulares Digi EX, IX y TX
• Servidores de consola de TI Digi Connect
• Servidores de terminales y dispositivos serie Digi Connect EZ
• Digi AnywhereUSB USB sobre IP

El cifrado es fácil de implementar. Digi Remote Manager, la solución basada en la nube de Digi para supervisar y gestionar dispositivos, ofrece un proceso sencillo para mantener los dispositivos actualizados. Solo tienes que actualizar el firmware y activar FIPS. Eso es todo. No te quedes estancado con soluciones caras y complicadas. El enfoque de Digi garantiza que tus sistemas reciban actualizaciones periódicas de forma sencilla y sin coste adicional.

Próximos pasos

• ¿Está preparado para hablar con un experto de Digi? Póngase en contacto con nosotros
• ¿Quiere saber más de Digi? Suscríbase a nuestro boletín de noticias
• O compre ahora las soluciones Digi: Cómo comprar