El cifrado de datos es un componente fundamental de la ciberseguridad, ya que garantiza que la información no se pueda leer, robar o alterar, ni en reposo ni en tránsito. A medida que aumenta la cantidad de datos que circulan por Internet, el cifrado de datos desempeña un papel cada vez más importante en la ciberseguridad. Esto se aplica especialmente en el caso de sectores que trabajan con datos confidenciales, incluidos los de finanzas, atención médica y gubernamental.

En esta publicación, brindaremos una descripción general del cifrado de datos: qué es, las ventajas que aporta y los diferentes tipos de cifrado de datos que se utilizan en la actualidad.

¿Qué es el cifrado de datos?

El cifrado de datos convierte texto simple en un formato codificado para proteger frente al acceso no autorizado a los datos. En otras palabras, utiliza algoritmos criptográficos para codificar un formato legible en un formato incomprensible, de modo que las partes que no tengan la clave de decodificación correspondiente no puedan entenderlo. Para las partes externas, el formato codificado (texto cifrado) parece aleatorio y es difícil de decodificar mediante un ataque de fuerza bruta.

¿Cuáles son las ventajas de cifrar los datos?

El cifrado de datos resulta esencial para mantener la privacidad de los datos, proteger la confidencialidad y cumplir con las normativas. En primer lugar, el cifrado de datos mantiene la información confidencial a salvo de terceros no autorizados. El texto cifrado no se puede leer sin claves de cifrado; incluso aunque estos datos fueran robados durante una brecha de datos o una filtración accidental, no tendrían ninguna utilidad para los ciberdelincuentes. De esta forma, el cifrado de datos ayuda a mitigar el riesgo de robo y pérdida de datos.

En segundo lugar, el cifrado de datos ayuda a proteger la confidencialidad. Por ejemplo, en las redes privadas virtuales (VPN) se utiliza el cifrado para proteger la actividad online de los usuarios, evitando que los proveedores de servicios de Internet descifren o rastreen la actividad de los usuarios. En otros sectores, como el de la atención médica, los datos cifrados ayudan a mantener protegida la información privada.

Por último, el cifrado de datos ayuda a las organizaciones que trabajan con datos confidenciales a cumplir con las disposiciones normativas aplicables a su sector. En Estados Unidos, por ejemplo, las organizaciones que procesan información online tienen que someterse a auditorías de Controles del sistema y de la organización (SOC 2). Seguir cumpliendo SOC 2 implica cifrar los datos confidenciales.

Dicho esto, incluso si no se exigieran medidas de cumplimiento, las organizaciones se seguirían beneficiando del cifrado. Las organizaciones que desean ganarse la confianza de sus clientes deben tomarse en serio la protección de los datos, y es aquí donde los estándares de cifrado eficaces desempeñan un papel importante.

Cifrado de datos simétrico y asimétrico

Hay dos tipos principales de cifrado: simétrico y asimétrico. La principal diferencia entre ambos es si la clave utilizada para el cifrado es la misma que la clave utilizada para el descifrado.

En el cifrado simétrico se utiliza la misma clave tanto para cifrar como para descifrar los datos. Normalmente, el cifrado simétrico es más rápido. Sin embargo, la principal desventaja de este método es que un ciberdelincuente malintencionado que pueda robar la clave de cifrado podrá descifrar todos los mensajes cifrados. Además, el cifrado simétrico no proporciona autenticación ni comprobaciones de integridad: no puede verificar al remitente del mensaje cifrado ni si este se ha alterado.

Algunos ejemplos de algoritmos de cifrado simétrico incluyen el Estándar de cifrado avanzado (AES) y el Estándar de cifrado de datos (DES).

Por otro lado, en el cifrado asimétrico se utilizan dos claves diferentes (una pública y otra privada) para proteger los datos. La clave pública se utiliza para cifrar los datos y la clave privada correspondiente se utiliza para descifrarlos.

Como en el cifrado asimétrico se utilizan varias claves vinculadas mediante complejos procedimientos matemáticos, es más lento que el cifrado simétrico. Sin embargo, como las claves públicas sólo se utilizan para el cifrado, se pueden compartir libremente sin correr riesgos. Mientras el titular de la clave privada la mantenga protegida, esa persona será la única capaz de descifrar los mensajes.

Además, el cifrado asimétrico facilita la verificación de la identidad del remitente y la integridad del mensaje mediante firmas digitales. Las firmas digitales hacen que el remitente cree un hash único del mensaje y luego lo firme con su clave privada. El destinatario verifica la firma utilizando la clave pública del remitente, lo que garantiza la identidad del remitente y confirma la integridad del mensaje.

Algunos ejemplos de algoritmos de cifrado asimétrico incluyen Rivest, Shamir y Adleman (RSA) y la criptografía de curva elíptica (ECC). Si bien con los conceptos de cifrado asimétrico y simétrico se hace referencia a cómo se cifran los datos, también existe la cuestión de cuándo deben cifrarse los datos. Al hablar de esta cuestión, a menudo encontrarás los términos "cifrado en tránsito" y "cifrado en reposo".

Comparación entre el cifrado de datos en tránsito y de los datos en reposo

Proteger los datos en tránsito (mientras se transfieren) es tan importante como protegerlos en reposo (cuando están almacenados).

Mediante el cifrado en tránsito se protegen los datos mientras se transfieren entre dos sistemas. Un ejemplo habitual es una interacción entre un navegador web y un servidor web. A medida que las solicitudes del navegador se propagan al servidor, se utilizan protocolos como Seguridad de la capa de transporte (TLS) para cifrar los datos. TLS es un protocolo complejo que ofrece otras medidas de seguridad además del cifrado:

• Autenticación de servidores y clientes mediante claves públicas o privadas e intercambio de certificados digitales.
• Cifrado mediante una combinación de algoritmos de cifrado simétrico y asimétrico.
• Verificación de la integridad de los datos mediante el cálculo de un resumen del mensaje.

Los sitios web protegidos con HTTPS utilizan TLS, lo que garantiza un intercambio de datos seguro entre el navegador y el servidor, ejemplificando el concepto de cifrado en tránsito.

Mediante el cifrado en reposo se protegen los datos cuando están almacenados. Por ejemplo, un proveedor de servicios sanitarios o financieros puede utilizar bases de datos para almacenar historiales médicos o datos de tarjetas de crédito. Sin embargo, en la era digital actual, los datos se almacenan en una serie de ubicaciones que van más allá de las bases de datos y los dispositivos de usuarios finales. Aquí se incluyen servicios de almacenamiento en la nube, discos de copia de seguridad, almacenamiento externo y más.

Los datos no estructurados, al no seguir un modelo de datos predefinido y a menudo no residir en bases de datos, suponen un problema adicional. Los datos no estructurados incluyen información como correos electrónicos, documentos de texto, imágenes y vídeos. Este tipo de datos se suele almacenar en la nube o en distintas ubicaciones de la red y, a menudo, pueden constituir una parte significativa de los valiosos recursos de una organización. Si personas no autorizadas acceden a este tipo de datos confidenciales, una organización podría sufrir daños o pérdidas importantes. Por ello, proteger los datos no estructurados resulta fundamental.

Las organizaciones pueden adoptar varias técnicas distintas para proteger los datos en reposo:

• Cifrado a nivel de archivo, donde se cifran los distintos archivos.
• Cifrado a nivel de almacenamiento, donde se cifran dispositivos de almacenamiento completos.
• Cifrado de base de datos, que normalmente se utiliza para cifrar los datos estructurados.
• Tokenización de datos, que sustituye los datos confidenciales por tokens opacos.
• Cifrado de almacenamiento en la nube, función que suelen ofrecer los proveedores de servicios en la nube para cifrar datos por archivo o por bucket.

Estándares de cifrado de datos

Existen numerosos estándares de cifrado de datos y se siguen desarrollando nuevos algoritmos cada día para combatir a los ataques cada vez más sofisticados. A medida que aumenta la potencia de procesamiento, la probabilidad de que tengan éxito los ataques de fuerza bruta representa una grave amenaza para los estándares menos seguros. Por lo tanto, es importante utilizar estándares más recientes (y, por lo tanto, más seguros) para el software.

Estándar de cifrado de datos (DES)

DES es un algoritmo de cifrado simétrico creado por IBM a principios de la década de 1970 y adoptado por el National Institute of Standards and Technology (NIST) como estándar federal desde 1977 hasta 2005. Utiliza una clave de 56 bits para cifrar un bloque de texto simple de 64 bits mediante una serie de operaciones complejas. Sin embargo, su tamaño de clave relativamente pequeño lo hace vulnerable a ataques de fuerza bruta y, por ese motivo, ya no se considera seguro.

Algoritmo triple de cifrado de datos (3DES)

3DES (o Triple DES) es una variante del protocolo DES, donde el algoritmo de cifrado DES se aplica tres veces. Si bien de esta forma se mejora la seguridad de DES, una publicación de vulnerabilidades y exposiciones comunes (CVE) de 2016 reveló una importante vulnerabilidad de seguridad en 3DES, mediante la cual un ciberdelincuente con un ataque de intermediario podría acceder a algunos datos de texto simple. Por este motivo, 3DES cedió su lugar a AES.

Estándar de cifrado avanzado (AES)

También conocido como cifrado de bloque Rijndael, en honor a los criptógrafos belgas Joan Daemen y Vincent Rijmen, AES utiliza tamaños de clave y bloque más grandes, de 128 o 256 bits (AES-128 y AES-256, respectivamente). En AES se utiliza una red de sustitución-permuta para cifrar datos de forma simétrica.

Rivest Shamir y Adleman (RSA)

RSA es uno de los algoritmos asimétricos más antiguos, presentado por primera vez al público en 1977. El sistema RSA crea una clave privada basada en dos números primos grandes. A continuación, se obtiene una clave pública con un valor auxiliar con esos números primos. RSA es un algoritmo lento, por lo que a menudo se utiliza para cifrar la clave simétrica compartida que luego se utiliza para procesos de cifrado más rápidos.

Twofish

Cifrado de bloque de clave simétrica con un tamaño de bloque de 128 bits. El tamaño de la clave puede ser de hasta 256 bits, pero los distintos tamaños de la clave proporcionan diferentes niveles de seguridad en función de los requisitos de la aplicación. Twofish se considera bastante seguro y su diseño de código abierto hace que esté disponible en el dominio público.

Conclusión

En esta publicación, hemos hablado de muchos de los conceptos básicos sobre el cifrado de datos, que es un tema amplio. Hemos explicado qué es el cifrado de datos y sus ventajas para las aplicaciones comerciales. Además, hemos analizado detalles concretos sobre el cifrado simétrico en comparación con el asimétrico, sobre los conceptos del cifrado en tránsito y en reposo, y también sobre varios estándares de cifrado bien conocidos que se utilizan en la actualidad.