Cifrado de datos
Se lee en aproximadamente 4 minutos
Última actualización: 2026-03-05
Qué es el cifrado de datos
El cifrado de datos es la tecnología que convierte texto plano (datos legibles) en texto cifrado (datos ilegibles) utilizando algoritmos de cifrado y claves. Solo quienes poseen la clave correcta pueden descifrar los datos y restaurar el texto plano original, lo que lo convierte en el medio más básico para proteger la confidencialidad de los datos.
El cifrado se utiliza en dos escenarios principales. Uno es el "cifrado en reposo" (Encryption at Rest), que cifra los datos almacenados en el almacenamiento. Es una defensa contra el robo de discos o el acceso no autorizado al almacenamiento. El otro es el "cifrado en tránsito" (Encryption in Transit), que cifra los datos que fluyen por la red. TLS/SSL es su ejemplo representativo.
En el diseño de seguridad moderno, combinar ambos se ha convertido en un requisito estándar.
Funcionamiento del cifrado simétrico y asimétrico
Los métodos de cifrado se clasifican en cifrado de clave simétrica y cifrado de clave pública (cifrado asimétrico).
El cifrado de clave simétrica utiliza la misma clave para cifrar y descifrar. El algoritmo representativo es AES (Advanced Encryption Standard), que permite elegir longitudes de clave de 128, 192 y 256 bits. Es rápido en procesamiento y adecuado para cifrar grandes volúmenes de datos. El desafío es el método de compartir la clave, ya que se necesita un medio seguro para entregar la clave al interlocutor.
El cifrado de clave pública utiliza dos claves diferentes: una clave pública para cifrar y una clave privada para descifrar. RSA y la criptografía de curva elíptica (ECC) son representativos. La clave pública se puede distribuir a cualquiera, y solo quien posee la clave privada puede descifrar, resolviendo así el problema de distribución de claves. Sin embargo, es más lento que el cifrado simétrico, por lo que no es adecuado para cifrar grandes volúmenes de datos.
En la comunicación real, el método híbrido estándar es intercambiar de forma segura una clave simétrica mediante cifrado de clave pública, y luego cifrar los datos con esa clave simétrica. TLS/SSL funciona exactamente con este método.
Patrones de implementación y criterios de selección del cifrado
Organizamos los principales patrones al implementar cifrado en la práctica.
Cifrado de disco: Cifra todo el almacenamiento a nivel de sistema operativo. BitLocker de Windows, FileVault de macOS y LUKS de Linux son representativos. Es efectivo como cifrado de dispositivo contra la pérdida o robo de terminales.
Cifrado a nivel de archivo: Cifra solo archivos o carpetas específicos. El almacenamiento en la nube compatible con cifrado de extremo a extremo y el cifrado de archivos mediante PGP/GPG corresponden a este patrón.
Cifrado de base de datos: Existe el método TDE (Transparent Data Encryption) que cifra todo el archivo de base de datos, y el método de cifrado a nivel de columna que cifra solo campos específicos. El cifrado de columna requiere implementación del lado de la aplicación, pero logra una protección potente donde ni siquiera el DBA puede ver el texto plano.
Como criterios de selección, evalúa de forma integral el alcance de la protección, el impacto en el rendimiento, la carga operativa de la gestión de claves y los requisitos de cumplimiento (estándares de seguridad del almacenamiento en la nube, etc.).
Importancia y práctica de la gestión de claves
La seguridad del cifrado depende en gran medida no solo de la fortaleza del algoritmo, sino también de la adecuada gestión de claves. Por muy potente que sea el algoritmo de cifrado, si la clave se filtra, los datos pueden ser descifrados.
Los principios básicos de la gestión de claves son: (1) no almacenar la clave y los datos cifrados en el mismo lugar, (2) implementar la rotación de claves (actualización periódica), (3) controlar el acceso a las claves con el principio de mínimo privilegio, y (4) preparar procedimientos de respaldo y recuperación de claves.
En entornos de nube, es práctico utilizar servicios gestionados de gestión de claves como AWS KMS, Azure Key Vault y Google Cloud KMS. Estos servicios protegen las claves con HSM (Hardware Security Module) y proporcionan de forma integrada rotación de claves, control de acceso y registros de auditoría.
Perder una clave significa no poder descifrar los datos permanentemente, por lo que el respaldo de claves es uno de los elementos más importantes de la estrategia de cifrado.
Conceptos erróneos comunes
- Como la comunicación es HTTPS, los datos en el servidor también están cifrados
- HTTPS (TLS) es el cifrado de la ruta de comunicación, y los datos que llegan al servidor se procesan y almacenan en estado descifrado. Para proteger los datos en el servidor, es necesario implementar por separado el cifrado en reposo.
- Si cifras, el riesgo de filtración de datos se reduce a cero
- El cifrado protege la confidencialidad de los datos, pero permanecen riesgos como la filtración de claves, vulnerabilidades de implementación y ataques de canal lateral. Además, el cifrado no contribuye directamente a la detección de alteraciones de datos ni a la protección de la disponibilidad. Posiciónalo como un elemento de la defensa en profundidad.
Comparación entre cifrado simétrico y cifrado de clave pública
Cifrado simétrico (AES, etc.)
Utiliza la misma clave para cifrar y descifrar. Velocidad de procesamiento rápida, adecuado para grandes volúmenes de datos. El desafío es compartir la clave de forma segura. Longitudes de clave de 128/256 bits son las principales.
Cifrado de clave pública (RSA/ECC, etc.)
Utiliza un par de clave pública y clave privada. Resuelve el problema de distribución de claves pero el procesamiento es lento. También se puede usar para firmas digitales. Se recomienda RSA de 2048 bits o más, o ECC de 256 bits o más.