Decena de bloques que llevan estampados datos binarios (0 y 1 azules)

¿Qué es el cifrado, y cómo funciona?

may. 2023
Inicio del Blog

El cifrado es un método de codificación de datos, de modo que nadie pueda leerlos, salvo las partes autorizadas. El proceso de cifrado, o encriptado, convierte los textos normales en codificados utilizando una clave criptográfica. Una clave criptográfica es un conjunto de valores matemáticos conocidos y convenidos por y entre el remitente y el destinatario.

El descifrado, o traducción, de los datos encriptados podrá realizarlo todo quien esté en posesión de la clave adecuada. Ese es el motivo por el cual los especialistas en criptografía estén desarrollando continuamente claves más sofisticadas y complejas. El cifrado más seguro emplea claves de una complejidad tal que los piratas se encontrarán con que el proceso de descifrado exhaustivo (también conocido como ‘fuerza bruta’) les resultará funcionalmente imposible.

Los datos pueden cifrarse estando ‘en reposo’ (almacenados) o ‘en tránsito’ (mientras están siendo transmitidos). El cifrado puede clasificarse en dos categorías principales: simétrico y asimétrico.

  • El cifrado simétrico tiene una sola clave, y todas las partes utilizan esa misma clave secreta.
  • El cifrado asimétrico lleva este nombre por disponer de múltiples claves: una para cifrado y otra para descifrado. En tanto que la clave de cifrado es pública, la de descifrado es privada.

¿Por qué es necesario el cifrado de los datos?

Una persona con traje sostiene una tablet, tocándola con un solo dedo.

Privacidad: solamente el remitente y el destinatario de los datos pueden leerlos, impidiendo que los atacantes, los ISP e incluso los gobiernos puedan interceptar datos sensibles.

Seguridad: el cifrado ayuda a impedir vulneraciones de datos; si se extravía o se roba un dispositivo corporativo, pero sus datos están cifrados, seguirán manteniéndose seguros.

Integridad de los datos: el cifrado también evita comportamientos maliciosos, como ataques en camino (interceptación de datos durante su transmisión), ya que los datos cifrados no pueden verse ni manipularse en ningún momento.

Normativa: muchos reglamentos sectoriales y gubernamentales obligan a las empresas a cifrar los datos de los usuarios, como la ley HIPAA, la Norma de seguridad de datos del Sector de tarjetas de pago (PCI-DSS) y el RGPD. Las agencias y contratistas del gobierno de EE.UU. deben utilizar las Normas Federales de Procesamiento de la Información (Federal Information Processing Standards, FIPS).

Algoritmos de cifrado

Un algoritmo de cifrado define cómo se convertirán los datos en texto cifrado. El algoritmo utiliza la clave de cifrado para alterar de manera uniforme los datos, de modo que, aunque parezcan aleatorios, la clave de descifrado pueda reconvertirlos en texto normal. Entre los algoritmos de cifrado más habituales merecen mencionarse AES, 3-DES, SNOW (todos simétricos), y la criptografía de cifrado de curva elíptica y RSA (ambos asimétricos).

Al igual que todos los algoritmos de cifrado asimétricos, RSA utiliza la descomposición en factores primos (multiplicación entre sí de dos números primos muy grandes). Descifrar esto es muy difícil, ya que es necesario determinar los números primos originales, lo cual es matemáticamente arduo. Descifrar una clave RSA mediante ataques de fuerza bruta es prácticamente imposible.

Fuerza bruta

Cuando un ordenador realiza millones, e incluso miles de millones, de intentos de quebrar una contraseña una clave de cifrado, se denomina ataque de fuerza bruta. Los ordenadores modernos pueden ejecutar estas posibles permutaciones a una velocidad increíble. El cifrado moderno tiene que ser resistente a este tipo de ataques. El campo de la criptografía está en continua batalla entre quienes desarrollan métodos más rápidos de quebrar el cifrado y quienes desarrollan métodos de cifrado más sofisticados.

Otros tipos de cifrado

Iconos de candado rojo abierto y de candado negro cerrado, representando al cifrado, unidos con líneas de red, un código binario blanco superpuesto a un teclado, y el collage de un paisaje urbano.

Cifrado del almacenamiento en la nube: los datos o textos son transformados mediante los algoritmos de cifrado y, a continuación, subidos a la nube. Es similar al cifrado interno, con la excepción de que el cliente tiene que figurarse cómo los diferentes niveles de cifrado del proveedor se ajustan a sus necesidades en lo que respecta a la protección y sensibilidad de los datos.

Cifrado negable: cifrado con múltiples posibles medios de encriptación, empleados a efectos de desinformación si existe la probabilidad de que los datos sean interceptados en tránsito.

FDE (cifrado integral del disco): cifrado a nivel de hardware. Los datos del disco duro son cifrados automáticamente, y resultan ilegibles para quien no disponga de la clave de autenticación adecuada. Sin la clave, el disco duro es inservible en cualquier ordenador.

BYOE (Trae tu propio cifrado): un modelo de seguridad informática en la nube, que permite a los clientes visualizar una instancia virtual de su propio software de cifrado conjuntamente con su aplicación alojada en la nube. También denominado BYOK (Trae tu propia clave).

EaaS (Cifrado como servicio): un servicio de suscripción para clientes en la nube que no pueden administrar su propio cifrado. Incluye FDE, cifrado de bases de datos o cifrado de archivos.

E2EE (Cifrado de extremo a extremo): protege los datos en tránsito. Los mensajes, como en WhatsApp, son cifrados por el software del cliente, trasladados a un cliente de web y, por último, descifrados por el destinatario.

Cifrado de nivel de campo: se cifran los datos de determinados campos de la página web (por ejemplo, números de Seguridad Social, de tarjetas de crédito, datos financieros/sanitarios, etc.). Todos los datos de los campos elegidos se cifrarán automáticamente.

Cifrado de nivel de columna: método según el cual todas las celdas de la misma columna tienen la misma contraseña de acceso y lectura/escritura.

Cifrado de nivel de enlace: cifra los datos cuando salen del host, los descifra en el siguiente enlace, y vuelva a cifrarlos al enviarlos nuevamente. No tienen la misma clave/algoritmo en cada enlace.

Cifrado de nivel de red: servicios de cifrado a nivel de transferencia de red, se implementan a través del Protocolo de seguridad de Internet (IPSec), que crea un marco privado para las comunicaciones a través de las redes IP.

Cifrado homomórfico: la conversión de datos en texto cifrado, que permite analizarlo y trabajar con él como si no estuviese cifrado. Muy práctico para trabajos matemáticos que pueden hacerse sin quebrar el cifrado.

HTTPS: permite el cifrado de los sitios web ejecutando HTTP sobre el protocolo TLS. Para que un servidor web cifre los contenidos que envía es necesario instalar una clave pública.

Criptografía cuántica: depende de una mecánica cuántica para proteger los datos. Los datos con codificación cuántica no pueden medirse sin modificar los valores de estas propiedades (posición y momento). Además, todo intento de copiar los datos o de acceder a los mismos los cambiará, alertando a las partes autorizadas que se ha producido un ataque.

¿Cómo puede el cifrado ayudar a su organización?

Las estrategias de ciberseguridad deben incorporar el cifrado de datos, sobre todo a medida que más organizaciones adoptan la informática en la nube. Existen diversos modos en que el cifrado pueden contribuir a las actividades de una organización.

Cifrado del correo electrónico: dado que el correo electrónico es fundamental en las comunicaciones y operaciones de una organización, los ataques maliciosos lo han señalado como objetivo de ataques o de divulgaciones inadvertidas. Hay sectores, como el sanitario o el de servicios financieros, altamente regulados, pero en los cuales la aplicación de la normativa puede resultar difícil, en especial con sistemas de correo electrónico cuyos usuarios finales suelen resistirse a cambiar y adoptar los procedimientos operativos normativos. Es posible reforzar los sistemas operativos y los clientes de correo electrónico comunes con software de cifrado, de modo que enviar correo electrónico cifrado resulte tan fácil como enviarlo sin cifrar.

Macrodatos: para la protección continua de los datos a efectos de cumplimiento de las normas de privacidad, análisis seguros en la nubes, técnicas de cifrado y tokenización para transferencias en la nube, el cifrado puede simplificar múltiples operaciones en la nube centralizando la protección datacéntrica. Toda vez que datos sensibles atraviesen entornos multinube, serán cifrados mediante estas tecnologías.

Seguridad de pagos: tanto comerciantes como procesadores de pagos y empresas se enfrentan a grandes retos para proteger los datos sensibles de alto valor, como los de los titulares de tarjetas de pagos, para cumplir con las Normas de seguridad de datos de la Industria de tarjetas de pago (PCI DSS) y las leyes de privacidad de datos. Sin embargo, el software de cifrado puede proteger las transacciones de comercio electrónico en los puntos de venta (POS) minoristas, en la web y en los dispositivos móviles.

Además de los servicios citados y de las protecciones que ofrece el cifrado, también garantiza la confidencialidad (codificación del contenido del mensaje), la autenticación (verifica el origen del mismo), el no repudio (impide la negación creíble del despacho de un mensaje cifrado) y la integridad (comprueba que el contenido del mensaje no esté manipulado).

¿Tiene desventajas el cifrado?

El cifrado ha sido diseñado para impedir que entidades no autorizadas accedan a datos indebidamente adquiridos. No obstante, en ciertas situaciones también puede bloquear al titular de los datos. La gestión de claves puede resultar difícil para las organizaciones, ya que tienen que residir en alguna parte y los atacantes se las suelen arreglar para encontrarlas. La gestión de claves supone una complejidad adicional para la copia de seguridad y restablecimiento de datos, ya que la recuperación y adición de claves a los servidores de copia de seguridad resultan tareas engorrosas. Los administradores deben tener un plan para la protección del sistema de gestión de claves, como por ejemplo una copia de seguridad separada fácil de recuperar en caso de producirse un desastre a gran escala.

Existe software para simplificar la gestión de claves, como el encapsulado de claves. Este método cifra las claves de cifrado de una organización, sea a nivel individual o general. Pueden desencapsularse cuando sea necesario, normalmente con un cifrado simétrico.

Aunque los ataques de fuerza bruta pueden ser ineficaces contra claves de muchos bits, sí que existen vulnerabilidades. Muchos intentos se centran en conseguir el acceso no autorizado a las claves mediante métodos de ingeniería social. Es decir: no se ataca al sistema, sino a los humanos que lo mantienen e interactúan con el mismo. Ataques de usurpación de identidad (phishing), malware y BadUSB: existen numerosos métodos con los cuales los piratas pueden saltarse las medidas de seguridad implementadas para proteger las redes contra ataques externos aprovechándose de la falibilidad humana.

El cifrado basado en software se considera menos seguro que el basado en hardware. Algunos denominan al cifrado basado en software ‘cifrado extraíble’, ya que existe la posibilidad de ser burlado mediante ataques físicos. El cifrado basado en hardware suele considerarse más seguro, ya que incluye defensas físicas para evitar su manipulación.

#KingstonIsWithYou #KingstonIronKey

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Vídeos relacionados

Trisha con una enorme unidad SSD de 2,5 pulgadas en la mano, junto a una unidad SSD M.2 con un candado y un icono de Windows 5:02

Comparación del cifrado por hardware y por software

¿Cuál es la diferencia entre el cifrado por hardware y por software?

Artículos relacionados

Inicio del Blog