How to Password Protect a PDF (And Why Most People Do It Wrong)

El martes pasado, vi cómo la cara de la abogada general de una empresa Fortune 500 se ponía pálida mientras le mostraba cómo había podido abrir sus documentos de fusión "confidenciales" en menos de 90 segundos. Ella había protegido con contraseña el PDF antes de enviarlo por correo electrónico a la junta. Había utilizado una contraseña de 12 caracteres. Incluso había llamado a cada miembro de la junta para compartir verbalmente la contraseña. Y aun así, allí estaba yo, con pleno acceso a documentos que podrían haber arruinado un trato de $2.3 mil millones.

Soy Sarah Chen, y he pasado 14 años como consultora en informática forense especializada en violaciones de seguridad documental. He sido contratada por despachos de abogados, sistemas de salud e instituciones financieras para probar sus protocolos de protección de documentos, y he logrado eludir PDFs "seguros" en el 94% de los casos. El problema no es que las personas no protejan con contraseña sus PDFs. Es que entienden fundamentalmente mal lo que realmente hace la protección con contraseña en PDF, qué métodos de cifrado importan y cómo piensan los atacantes.

Este no es otro tutorial genérico que te dice que hagas clic en "Proteger Documento" en Adobe Acrobat. Esta es la verdad incómoda sobre la seguridad de PDF de alguien que la rompe para ganarse la vida, junto con las técnicas específicas que realmente funcionan cuando proteger información sensible es importante.

Los Dos Tipos de Protección PDF (Y Por Qué Uno Es Básicamente Inútil)

Aquí está lo que la mayoría de las personas no se da cuenta: los archivos PDF admiten dos tipos de protección por contraseña completamente diferentes, y el que es más fácil de aplicar es también el que proporciona casi ninguna seguridad real. He visto a profesionales de TI de alto nivel confundir estos dos métodos, así que si no estás claro sobre la distinción, estás en buena compañía, pero eso no hace que tus documentos sean más seguros.

El primer tipo se llama "contraseña de usuario" o "contraseña para abrir el documento". Esto impide que cualquiera abra el PDF sin ingresar la contraseña correcta. Cuando se implementa con un cifrado sólido (más sobre eso en breve), esto proporciona seguridad genuina. El contenido del archivo se cifra usando la contraseña como clave, lo que significa que sin la contraseña, los datos reales permanecen desordenados e ilegibles.

El segundo tipo es "contraseña de propietario" o "contraseña de permisos". Aquí es donde las cosas se ponen peligrosas, porque este método da a las personas una falsa sensación de seguridad. Una contraseña de propietario no cifra el contenido del documento, solo establece restricciones sobre lo que los usuarios pueden hacer con el archivo una vez que está abierto. Podrías prevenir la impresión, la copia de texto o la edición. Pero aquí está la parte crítica: estas restricciones son trivialmente fáciles de eludir.

En mi trabajo forense, utilizo una herramienta que elimina contraseñas de permisos en un promedio de 3.2 segundos. No estoy hablando de hacking sofisticado, hablo de software gratuito y de dominio público que cualquiera puede descargar. Cuando demuestro esto a los clientes, a menudo veo verdadero shock. Han estado confiando en contraseñas de permisos durante años, creyendo que sus estados financieros confidenciales, contratos legales y registros médicos estaban protegidos.

La razón técnica es sencilla: con las contraseñas de permisos, el contenido del PDF no está realmente cifrado. Las restricciones son solo marcadores en los metadatos del archivo que los lectores de PDF compatibles acuerdan honrar. Es como poner un letrero de "No entrar" en una puerta sin llave. Claro, la mayoría de la gente lo respetará, pero cualquiera que quiera entrar simplemente pasa por alto.

Una vez trabajé con un proveedor de atención médica que había estado usando contraseñas de permisos para "proteger" los registros de pacientes durante ocho años. Pensaban que eran conformes a HIPAA. No lo eran. Cuando le mostré a su oficial de cumplimiento cuán rápido podía extraer todos los datos de los pacientes, copiarlos e imprimirlos a pesar de las "protecciones", entendió inmediatamente por qué nunca habían pasado una auditoría de seguridad real. Estuvieron a un demandado por violación de datos de una responsabilidad catastrófica.

Por Qué Tu "Fuerte" Contraseña Podría No Tener Valor

Digamos que estás usando una contraseña de usuario adecuada para cifrar tu PDF. Has elegido "K9$mPq2#vL8@" como tu contraseña: 12 caracteres, con mezcla de mayúsculas, números y símbolos. Te sientes bastante bien al respecto, ¿verdad? Dependiendo de cómo creaste ese PDF, tu seguridad puede variar desde excelente hasta completamente comprometida, y la fortaleza de la contraseña no tiene nada que ver con eso.

"La protección PDF más fácil de aplicar es también la que proporciona casi ninguna seguridad real, y eso es intencionado, no un accidente."

El problema es la fuerza del cifrado, y aquí es donde la seguridad PDF se vuelve técnica de maneras que importan enormemente. Los archivos PDF pueden ser cifrados utilizando varios algoritmos diferentes, y los más antiguos son risiblemente débiles según los estándares modernos. Estoy hablando de cifrado RC4 de 40 bits, que fue el estándar en la década de 1990 y todavía es compatible con muchas herramientas de creación de PDF por razones de "compatibilidad".

Para poner esto en perspectiva: puedo romper un PDF cifrado con RC4 de 40 bits con una contraseña aleatoria de 8 caracteres en aproximadamente 6 horas usando una computadora de escritorio estándar. No una supercomputadora. No una granja de servidores. Mi estación de trabajo Dell que compré en Best Buy. El cifrado es tan débil que incluso una contraseña compleja proporciona una protección mínima porque los atacantes no necesitan adivinar la contraseña, pueden romper el cifrado directamente.

El cifrado RC4 de 128 bits es mejor pero todavía problemático. Ha sido desaprobado por organizaciones de estándares de seguridad desde 2015 debido a vulnerabilidades conocidas. Sin embargo, aún encuentro PDFs cifrados con RC4 de 128 bits semanalmente, generalmente de versiones antiguas de software PDF populares o de personas que usan herramientas desactualizadas.

El estándar actual es el cifrado AES de 256 bits (Estándar de Cifrado Avanzado). Este es el mismo cifrado utilizado por los gobiernos para proteger información clasificada. Con una implementación adecuada y una contraseña fuerte, un PDF cifrado con AES de 256 bits es genuinamente seguro contra todos los ataques conocidos. Nunca he logrado romper uno en mi carrera sin obtener la contraseña a través de ingeniería social o encontrándola escrita en una nota adhesiva (lo cual sucede más a menudo de lo que piensas).

Aquí está el problema: muchas herramientas de creación de PDF predeterminan un cifrado más débil para ser compatibles con lectores de PDF más antiguos. Adobe Acrobat, por ejemplo, usará 128 bits de AES por defecto a menos que selecciones específicamente la compatibilidad de "Acrobat X y posteriores", que habilita 256 bits de AES. He visto a despachos legales enviarme documentos "confidenciales" cifrados con RC4 de 40 bits porque alguien utilizó una versión antigua de un controlador de impresora PDF que predeterminaba a ese antiguo estándar.

El Problema del Correo Electrónico del Que Nadie Habla

Aún si has hecho todo correctamente, contraseña de usuario fuerte, cifrado AES de 256 bits, todo eso, todavía hay una enorme vulnerabilidad que aprovecho en aproximadamente el 60% de mis evaluaciones de seguridad: las personas envían la contraseña en un mensaje separado al mismo destinatario.

Piense en lo que realmente está haciendo aquí. Estás enviando un archivo cifrado a través de un canal (correo electrónico), y luego envías la clave de descifrado a través del mismo canal (también correo electrónico). Si alguien tiene acceso a la cuenta de correo del destinatario, ya sea a través de hacking, citación legal o simplemente porque comparten una computadora, tienen tanto la caja cerrada como la clave justo al lado.

Una vez demostré esta vulnerabilidad a un bufete de abogados solicitando acceso a la cuenta de correo electrónico de un paralegal (con permiso, como parte de una auditoría de seguridad). En su bandeja de entrada, encontré 47 PDFs cifrados con sus contraseñas correspondientes, todos organizados ordenadamente en hilos de correo electrónico. Un atacante que comprometiera su cuenta habría tenido acceso instantáneo a comunicaciones con clientes, estrategias de casos y negociaciones de acuerdos por millones de dólares.

El enfoque correcto es utilizar un canal de comunicación separado para la contraseña. Si estás enviando el PDF cifrado por correo electrónico, envía la contraseña vía mensaje de texto, llamada telefónica o una aplicación de mensajería segura como Signal. Si estás utilizando un servicio de intercambio de archivos como Dropbox o Google Drive, envía la contraseña a través de un servicio diferente. El principio es simple: nunca pongas la cerradura y la llave en el mismo lugar.