Recientemente he tenido la ‘suerte’ de encontrarme algunos ejemplos de auto-cifrado. Con esta expresión me refiero a lo siguiente: Software en manos de un usuario que tiene cierta información cifrada a la que él no puede acceder pero cuya clave se almacena en el código o configuración que utiliza el código.

Por eso lo llamo ‘auto-cifrado’. Es curioso porque da la impresión de que la información local cifrada es segura hasta que preguntas “¿y con qué clave se descifra esto?”. En los casos que me he encontrado, la empresa que desarrolla la solución le ha dicho al cliente “no te preocupes, que está cifrado”. Pero claro, para evitar que cualquier pueda descifrarlo, la clave no puede estar ‘en el mismo equipo’.

Por lo tanto, si tenéis que analizar un software de escritorio o applet y os encontrais un fichero cifrado, buscad entre la configuración o el código para ver si han sido tan descuidados como para guardar la clave por ahí.

Y si contratáis una solución a una empresa externa y os dicen que tal o cual está cifrado, preguntad dónde se almacena la clave.

Creo que este tweet que vi el otro día ejemplifica perfectamente lo que digo.

En fin, esto que parece algo simple me he sorprendido de verlo recientemente en varias ocasiones, así que, ¡tened cuidado con el auto-cifrado!