Planificar configuración de cifrado y criptografía de Office 2013
Se aplica a: Office 2013, Office 365 ProPlus
Última modificación del tema: 2016-12-16
Resumen: información sobre la configuración que se puede utilizar para cifrar datos en Office 2013 y sobre la compatibilidad con versiones anteriores de Office.
Público: profesionales de TI
Office 2013 contiene opciones de configuración que permiten controlar cómo se cifran los datos al utilizar Access 2013, Excel 2013, OneNote 2013, PowerPoint 2013, Project 2013 y Word 2013.
En este artículo se describen la criptografía y el cifrado en Office 2013, se describe la configuración que puede utilizar para cifrar datos y se suministra información sobre la compatibilidad con versiones anteriores de Office. Para obtener más información Outlook 2013, consulte Planeación de la criptografía de mensajes de correo electrónico en Outlook 2010.
|
Este artículo forma parte de Guía de seguridad de Office 2013. Use esta guía como punto de partida para acceder a artículos, descargas, pósters y vídeos de utilidad para evaluar la seguridad de Office 2013. ¿Busca información sobre la seguridad de las distintas aplicaciones de Office 2013? La encontrará si busca “seguridad 2013” en Office.com. |
.jpg "Flecha del mapa de ruta para consulta sobre la seguridad de Office.")
Al planificar su configuración de cifrado, tenga en cuenta lo siguiente:
Le recomendamos que no cambie la configuración de cifrado predeterminada a menos que el modelo de seguridad de su organización requiera una configuración de cifrado que sea distinta a la configuración predeterminada.
Le recomendamos que respete la longitud y la complejidad de la contraseña para asegurar el uso de contraseñas seguras al cifrar datos. Para obtener más información, consulte Planear la configuración de complejidad de contraseña para Office 2013.
Le recomendamos que no use cifrado del tipo RC4. Para obtener más información, consulte Compatibilidad con versiones anteriores de Office que encontrará más adelante en este artículo.
No existe ninguna configuración administrativa que fuerce a los usuarios a cifrar documentos. Sin embargo, existe una configuración administrativa que evita que los usuarios agreguen contraseñas a los documentos y, por lo tanto, evita cifrar los documentos. Para obtener más información, consulte Configuración de criptografía y cifrado más adelante en este artículo.
El almacenamiento de documentos en ubicaciones de confianza no afecta a la configuración de cifrado. Si un documento se cifra y se guarda en una ubicación de confianza, el usuario todavía tiene que proporcionar una contraseña para abrir el documento.
Si permite que los usuarios protejan los documentos con una contraseña, y la olvidan o la pierden, puede usar la herramienta DocRecrypt para restablecer o eliminar la contraseña. Para obtener más información, consulte el artículo Quitar o restablecer contraseñas de archivos en Office 2013.
En este artículo:
Acerca de la criptografía y el cifrado en Office 2010
Configuración de la criptografía y el cifrado
Compatibilidad con versiones anteriores de Office
Acerca de la criptografía y el cifrado en Office 2010
Los algoritmos de cifrado que están disponibles para su uso con Office dependen de los algoritmos a los que se puede acceder mediante las API (interfaz de programación de aplicaciones) en el sistema operativo de Windows. Office 2013, además de mantener la compatibilidad de Cryptography API (CryptoAPI), también incluye compatibilidad con CNG (CryptoAPI: Next Generation), que ya estaba disponible en 2007 Microsoft Office system con el Service Pack 2 (SP2).
CNG permite un cifrado más ágil, en la que los algoritmos de cifrado y de hash que se admiten en el equipo host se pueden especificar para su uso durante el proceso de cifrado del documento. CNG también permite un cifrado con una mejor extensibilidad, en el que se pueden usar módulos de cifrado de terceros.
Si Office usa CryptoAPI, los algoritmos de cifrado dependen de los que están disponibles en un proveedor de servicios de cifrado (CSP), que forma parte del sistema operativo de Windows. La clave de registro siguiente contiene una lista de los CSP que hay instalados en un equipo:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
Los siguientes algoritmos de cifrado CNG, o cualquier otra extensión de cifrado CNG instalada en el sistema, se pueden usar con el 2007 Office System SP2, Office 2010 o Office 2013:
AES, DES, DESX, 3DES, 3DES_112 y RC2
Los siguientes algoritmos de hash CNG, o cualquier otra extensión de cifrado CNG instalada en el sistema, se pueden usar con en 2007 Office System SP2, Office 2010 o Office 2013:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 y SHA512
Aunque hay opciones de configuración de Office 2013 para cambiar el modo en que se realiza en cifrado, cuando cifra archivos con formato XML abierto (.docx, .xslx, .pptx, etc.) los valores predeterminados — AES (Estándar de cifrado avanzado), longitud de la clave de 128 bits, SHA1, y CBC (Encadenamiento de bloques de cifrado) — proporcionan cifrado fuerte, que debe valer para la mayoría de las organizaciones. El cifrado AES es el algoritmo estándar más fuerte que está disponible y ha sido seleccionado por la Agencia de seguridad nacional (NSA) para que el gobierno de los Estados Unidos lo use como predeterminado. El cifrado AES es compatible en Windows XP SP2, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012.
Configuración de la criptografía y el cifrado
En la tabla siguiente se enumeran las opciones de configuración de algoritmos de cifrado que se pueden usar con las versiones de Office con acceso a CryptoAPI. Esto incluye las versiones hasta Office y Office 2013.
Configuración del algoritmo de cifrado para su uso con CryptoAPI
| Configuración | Descripción |
|---|---|
Tipo de cifrado para archivos XML abiertos de Office protegidos con contraseña |
Esta configuración le permite especificar el tipo de cifrado para archivos XML abiertos de los proveedores de servicios de criptográficos disponibles (CSP). Esta configuración es obligatoria si usa un complemento de cifrado COM personalizado. Esta configuración también es obligatoria si usa el 2007 Office System SP1 o una versión del módulo de compatibilidad anterior al Módulo de compatibilidad de Microsoft Office para formatos de archivo Word, Excel y PowerPoint y desea cambiar el algoritmo de cifrado por otro que no sea el predeterminado. |
Tipo de cifrado para archivos de Office 97-2003 protegidos con contraseña |
Esta configuración le permite especificar un tipo de cifrado para archivos de Office 97–2003 (binarios) de los proveedores de servicios criptográficos disponibles (CSP). El único algoritmo de cifrado admitido con esta configuración es RC4, que no recomendamos. |
En Office 2013, si tiene que cambiar la configuración del tipo de cifrado de los archivos XML abiertos de Office protegidos con contraseña, primero tiene que habilitar la configuración Especificar compatibilidad de cifrado y seleccionar la opción Usar formato heredado. La configuración Especificar compatibilidad de cifrado está disponible para Access 2013, Excel 2013, PowerPoint 2013 y Word 2013.
En la tabla siguiente se enumeran las opciones de configuración disponibles para cambiar los algoritmos de cifrado al usar Office 2013. Estas opciones de configuración son aplicables a Access 2013, Excel 2013, OneNote 2013, PowerPoint 2013, Project 2013 y Word 2013.
Nota
Todas las opciones de configuración siguientes, excepto Establecer parámetros para contexto CNG y Especificar algoritmo generador de números aleatorios CNG, son aplicables, incluso si usa un sistema operativo compatible con Office 2013, como por ejemplo Windows XP SP3, que no incluye compatibilidad con CNG. En este caso, Office 2013 usa CryptoAPI en lugar de CNG. Estas opciones de configuración se aplican solo si usa Office 2013 para cifrar archivos XML abiertos.
Opciones de configuración que cambian el algoritmo de cifrado
| Configuración | Descripción |
|---|---|
Establecer algoritmo de cifrado CNG |
Permite configurar el algoritmo de cifrado CNG que se usa. El predeterminado es AES. |
Configurar modo de encadenamiento de cifrado CNG |
Permite configurar el modo de encadenamiento de cifrado que se usa. El predeterminado es Encadenamiento de bloques de cifrado (CBC). |
Establecer longitud de la clave de cifrado CNG |
Permite configurar el número de bits que se debe usar al crear la clave de cifrado. El número predeterminado es de 128 bits. |
Especificar la compatibilidad de cifrado |
Permite especificar el formato de compatibilidad. El predeterminado es Usar formato de última generación. |
Establecer parámetros para contexto CNG |
Permite especificar los parámetros de cifrado que debe usar el contexto CNG. Para usar esta configuración, primero se debe crear un contexto CNG con CryptoAPI: Next Generation (CNG). Para obtener más información, consulte Funciones de la configuración criptográfica CNG. |
Especificar el algoritmo de hash CNG |
Permite especificar el algoritmo de hash que se usa. El predeterminado es SHA1. |
Establecer número de recombinaciones de contraseña de CNG |
Permite especificar el número de recombinaciones del verificador de contraseñas. El predeterminado es 100000. |
Especificar algoritmo de generador de números aleatorios de CNG |
Permite configurar el generador de números aleatorios de CNG a usar. El predeterminado es RNG (Generador de números aleatorios). |
Especificar longitud de contraseña CNG con sal |
Permite especificar el número de bytes de sal que se deben usar. Sal es la entrada adicional a la contraseña y al hash. El predeterminado es 16. |
En la tabla siguiente se enumeran las opciones de configuración CNG adicionales que se pueden configurar para Excel 2013, PowerPoint 2013 y Word 2013.
Configuración CHG específica de Excel 2013, PowerPoint 2013 y Word 2013
| Configuración | Descripción |
|---|---|
Usar una clave nueva al cambiar la contraseña |
Permite especificar si se debe usar una clave de cifrado nueva al cambiar la contraseña. El valor predeterminado es no usar una clave nueva al cambiar las contraseñas. |
Puede usar la configuración que se enumera en la tabla siguiente para evitar que los usuarios agreguen contraseñas a los documentos. Esto evita que los usuarios cifren documentos.
Configuración usada para evitar que los usuarios protejan documentos con contraseñas
| Configuración | Descripción |
|---|---|
Deshabilitar contraseña para abrir la interfaz de usuario |
Esta configuración controla si los usuarios de Office 2013 pueden agregar contraseñas a los documentos. De forma predeterminada, los usuarios pueden agregar contraseñas. |
Nota
Para obtener más información sobre cómo configurar la configuración de seguridad en la Herramienta de personalización de Office (OCT) y las plantillas administrativas de Office 2013, consulte Configurar la seguridad con la OCT o la directiva de grupo en Office 2013.
Compatibilidad con versiones anteriores de Office
Si tiene que cifrar documentos de Office, le recomendamos que guarde los documentos como archivos de formato Open XML (.docx, .xlsx, .pptx, etc.), en lugar de archivos de formato Office 97-2003 (.doc, .xls, .ppt, etc.). Para cifrar documentos binarios (.doc, .xls, .ppt) se usa RC4. No es lo recomendado, como se indica en Consideraciones de seguridad (secciones 4.3.2 y 4.3.3) de Especificación de la estructura de la criptografía de los documentos de Office. Los documentos que se guardan en formatos binarios de Office anteriores solo se pueden cifrar con RC4 para mantener la compatibilidad con versiones anteriores de Office. AES, el algoritmo de cifrado recomendado y predeterminado, se usa para cifrar archivos de formato Open XML.
Office 2013, Office 2010 y 2007 Office System permiten guardar documentos como archivos de formato XML abiertos. Además, si tiene Office XP o Office 2003, puede usar el módulo de compatibilidad para guardar documentos como archivos de formato XML abierto.
Los documentos que se guardan como archivos de formato XML abierto y que se cifran con Office 2013 solo se pueden leer mediante el módulo de compatibilidad de Office 2013, Office 2007 SP2 y Office 2003 con el módulo de compatibilidad de Office 2007 SP2. Para garantizar la compatibilidad con todas las versiones anteriores de Office, puede crear una clave de registro (en caso de que no exista) en HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ denominada CompatMode y deshabilitarla estableciéndola en 0. Los valores que puede introducir para <application> representan la aplicación específica de Office para la que está configurando esta clave de registro. Por ejemplo, puede introducir Access, Excel, PowerPoint, o Word. Es importante saber que, si establece CompatMode en 0, Office 2013 usa un formato de cifrado compatible con Office 2007 en lugar de la seguridad mejorada que se proporciona de forma predeterminada al usar Office 2013 para cifrar archivos de formato XML abiertos. Si opta por esta configuración por motivos de compatibilidad, le recomendamos que use también un módulo de cifrado de terceros que permita una seguridad mejorada, como por ejemplo el cifrado AES.
Si su organización usa el módulo de compatibilidad de Microsoft Office para los formatos de archivo de Word, Excel, y PowerPoint para cifrar archivos de formato XML abiertos, debe revisar la información siguiente:
De forma predeterminada, el módulo de compatibilidad usa la configuración siguiente para cifrar archivos de formato XML abierto:
Proveedor de servicios criptográficos RSA y AES mejorado de Microsoft (prototipo), AES 128,128 (en el sistema operativo Windows XP Professional).
Proveedor de servicios criptográficos RSA y AES mejorado de Microsoft, AES 128,128 (en los sistemas operativos Windows Server 2003 y Windows Vista).
Los usuarios no reciben ninguna notificación que el módulo de compatibilidad usa esta configuración de cifrado.
La interfaz de usuario geográfica en versiones anteriores de Office puede mostrar valores de cifrado incorrectos para archivos de formato XML abierto si el módulo de compatibilidad está instalado.
Los usuarios no pueden usar la interfaz de usuario geográfica en versiones anteriores de Office para cambiar la configuración de cifrado para archivos de formato XML abierto.
Nota
Para obtener la información más actualizada sobre la configuración de directivas, consulte el artículo Archivos de plantilla administrativa de la directiva de grupo (ADMX/ADML) y archivos de la Herramienta de personalización de Office (OCT) de Office 2013.
Consulte también
Guía de seguridad de Office 2013
Introducción a la seguridad de Office 2013
Configurar la seguridad con la OCT o la directiva de grupo en Office 2013
Quitar o restablecer contraseñas de archivos en Office 2013
Especificación de la estructura de la criptografía de los documentos de Office