Cifrado simétrico (AES, 3DES): misma clave cifra y descifra. Rápido, eficiente. Problema: compartir la clave de forma segura. Usado en cifrado en reposo.
Qué es el cifrado
El cifrado es la transformación de datos legibles (texto plano) en forma ilegible (texto cifrado) mediante algoritmos matemáticos y claves criptográficas. Solo quien posea la clave correcta puede descifrar los datos. Cifrado en tránsito protege datos cuando viajan por la red. Cifrado en reposo protege datos almacenados en disco, base de datos o cloud.
Por qué importa
El cifrado es una de las pocas defensas que funciona incluso si todo lo demás falla. Si un atacante roba tu base de datos completa pero los datos están cifrados, no puede leerlos sin la clave. Si olfatea tu conexión WiFi pero tráfico está cifrado TLS, solo ve ruido. El cifrado es el último escudo entre un atacante y tu información sensible. Para requisitos regulatorios (RGPD, PSD2, HIPAA, ISO 27001, NIS2, DORA), cifrado de datos sensibles no es opcional: es obligatorio. Un CISO sin estrategia clara de cifrado está dejando expuesto el activo más valioso: los datos.
Puntos clave
Cifrado asimétrico (RSA, ECDSA): dos claves (pública y privada). Pública cifra, privada descifra. Lento pero resuelve problema de compartición de claves. Usado en handshakes TLS.
Cifrado en tránsito (TLS 1.2+, HTTPS, VPN): protege datos mientras viajan. Obligatorio en cualquier infraestructura moderna. Sin cifrado en tránsito, atacante en red puede interceptar credenciales, datos de usuarios, información sensible.
Cifrado en reposo: protege datos almacenados. Requiere gestión de claves: dónde guardarlas, cómo rotarlas, quién accede. Una clave compartimentalizada es más segura que una sola llave maestra.
Ejemplo: impacto del cifrado en brecha de datos
Dos hospitales sufren la misma brecha: servidor de datos comprometido, 50000 registros médicos exfiltrados. Hospital A: datos en texto plano. Atacante vende información a dark web, incluye nombres completos, DNIs, diagnósticos, medicinas. Brecha masiva, regulador investiga, multa importante. Hospital B: datos cifrados con AES-256, claves en HSM separado. Atacante extrae base de datos pero sin claves, datos son ruido. Breach notification requiere notificar a pacientes porque fue acceso a sistemas, pero datos no fueron comprometidos. Diferencia: Hospital A tiene exposición regulatoria seria, Hospital B tiene solo exposición de acceso. Cifrado hizo la diferencia.
Errores habituales
- Usar algoritmos débiles o deprecated (DES, MD5, SHA-1). Son quebrantables en minutos con CPU moderna. Use AES-256, SHA-256 o superior.
- Almacenar claves en código, ficheros de configuración o en texto plano. Una clave cifrada junto a datos cifrados es intútil. Claves deben estar en HSM, vault, servicio cloud (AWS KMS, Azure Key Vault) separado de datos.
- No rotar claves. Una clave comprometida que se rota cada año limita damage. Una clave nunca rotada significa si es comprometida, datos históricos enteros son vulnerables indefinidamente.
- Asumir que cifrado resuelve todo. Cifrado protege confidencialidad, no integridad. Si alguien modifica datos cifrados (aunque no pueda leerlos), eso también es problema. HMAC o autenticación es necesaria.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre cifrado en tránsito y en reposo?
Tránsito: protege datos mientras viajan (WiFi, internet, VPN). Reposo: protege datos almacenados en disco, base de datos, cloud storage. Ambos son necesarios. Sin tránsito, atacante intercepta. Sin reposo, si roban servidor, leen datos directamente.
¿HTTPS garantiza seguridad total?
HTTPS cifra el tránsito entre navegador y servidor, protege de interceptación. No protege contra: phishing, malware local, servidores comprometidos, errores del navegador. Es capa de seguridad, no toda la seguridad.
¿Es seguro hacer backup de datos cifrados?
Sí, si las copias están también protegidas. Una copia cifrada es tan segura como el original. El problema es si alguien accede a copia y clave. Separar geográficamente datos cifrados y claves añade seguridad.