- ¿Qué es la computación en la nube?›
- Centro de conceptos de computación en la nube›
- Seguridad, identidad y cumplimiento›
- ¿Qué es el cifrado de datos?
¿Qué es el cifrado de datos?
Temas de la página
- ¿Qué es el cifrado de datos?
- ¿Cómo funciona el cifrado de datos?
- ¿Para qué se utiliza el cifrado de datos?
- ¿Qué tipos de datos deben cifrarse?
- ¿Cuál es la diferencia entre los algoritmos de hash y el cifrado de datos?
- ¿Cuál es la diferencia entre las firmas digitales y el cifrado de datos?
- ¿Cuáles son los estándares comunes del cifrado de datos?
- ¿Cuáles son algunas consideraciones a la hora de elegir una técnica de cifrado de datos?
- ¿Cómo puede ayudarlo AWS con sus requisitos de cifrado de datos?
¿Qué es el cifrado de datos?
El cifrado de datos codifica un fragmento de datos y lo hace ilegible para cualquier persona, servicio o dispositivo que no tenga la clave para desbloquear su contenido. El cifrado hace que los archivos, discos, objetos, flujos y otros tipos de datos sean privados entre la persona que los cifra y el titular de la clave. Incluso si un tercero tiene acceso a los datos cifrados, no puede acceder a los datos sin la clave. El cifrado de datos es una parte fundamental de la ciberseguridad de una empresa.
¿Cómo funciona el cifrado de datos?
Los sistemas de cifrado modernos suelen utilizar un cifrado simétrico o asimétrico; ambas son formas de criptografía.
Cifrado simétrico
El cifrado de claves simétricas utiliza una única clave privada para cifrar y descifrar los datos. La forma en que funcionan las claves simétricas significa que tanto el remitente como el receptor deben poseer la clave de cifrado por adelantado.
Por lo general, el cifrado simétrico es más rápido y eficaz que el cifrado asimétrico, lo que lo hace adecuado para cifrar grandes cantidades de datos.
Cifrado asimétrico
El cifrado simétrico utiliza un par de claves públicas y privadas:
- Una clave pública es una clave que se usa para cifrar los datos que le envían otras personas. Debe compartir esta clave de cifrado de forma pública con sus contactos. No es necesario que sea una clave secreta.
- Una clave privada es una clave que se mantiene en secreto y se utiliza para descifrar los datos confidenciales que las personas le envían con la clave pública.
Este sistema elimina la necesidad de intercambiar de forma segura una clave compartida, que es una de las limitaciones más importantes del cifrado simétrico.
Las organizaciones suelen utilizar el cifrado asimétrico de las siguientes maneras:
- Mediante firmas digitales
- Protegiendo las sesiones de navegación web (HTTPS)
- Cifrando los mensajes confidenciales entre las partes que no han intercambiado claves anteriormente
A veces, el cifrado asimétrico también se denomina criptografía de claves públicas.
¿Para qué se utiliza el cifrado de datos?
Las personas y las organizaciones utilizan métodos de cifrado para proteger los datos y cumplir con las normas reglamentarias. Los datos se pueden cifrar en reposo, en tránsito y de extremo a extremo entre los dispositivos de una red.
Cifrado en reposo
Los datos en reposo son los datos que tiene almacenados. Los datos almacenados pueden ser datos almacenados en un disco duro, en la nube o en una base de datos. Por ejemplo, las organizaciones suelen mantener en la nube una copia de seguridad sincronizada de los datos críticos, cifrados en reposo.
Cifrado en tránsito
Los datos en tránsito son los datos que se transfieren de un sistema a otro a través de una red. Un ejemplo es la interacción entre un navegador web y un servidor. Cuando visita un sitio web seguro, como un banco, el navegador y el servidor utilizan una forma de cifrado en tránsito. Este cifrado de las comunicaciones en tránsito se denomina seguridad de la capa de transporte (TLS). Alguien podría interceptar estos datos bancarios a través de la red, pero serían ilegibles.
Cifrado de extremo a extremo (E2EE)
El cifrado de datos de extremo a extremo cifra los datos del sistema de envío antes de la transferencia. El sistema de destino usa una clave de descifrado localmente después de recibir los datos. Por ejemplo, una aplicación de mensajería segura aplica el cifrado de extremo a extremo en el contenido de los mensajes de su dispositivo. Los datos no se descifran hasta que el contacto aprobado los recibe en su aplicación.
¿Qué tipos de datos deben cifrarse?
Las organizaciones suelen utilizar el cifrado para proteger la información confidencial o regulada.
Datos financieros
El cifrado durante el almacenamiento y en tránsito es una práctica recomendada para proteger la información financiera confidencial, como las transacciones, los detalles de las cuentas y los historiales crediticios. En el sector financiero, numerosas normativas de cumplimiento, como el estándar de seguridad de datos para el sector de las tarjetas de pago (PCI-DSS), exigen reglas y procesos estrictos de cifrado de datos. En estos casos, el cifrado ayuda a prevenir el fraude y el acceso no autorizado.
Datos comerciales
Muchas organizaciones también quieren cifrar la información empresarial confidencial, como las propuestas, los contratos con los clientes, los acuerdos de nivel de servicio (SLA) y los contratos con los proveedores. Los sectores y países específicos exigen el cumplimiento de las normas y leyes (como el Reglamento General de Protección de Datos [GDPR]) que cubren los estándares de cifrado. Las empresas cifran los datos para evitar daños financieros o de reputación en caso de que se produzca una filtración de datos.
Datos de recursos humanos
Una combinación de leyes federales y locales suele regular la forma en que las organizaciones deben proteger los datos de recursos humanos (RR. HH.), especialmente la información de identificación personal (PII) de los empleados. Los datos de RR. HH. también suelen compartirse con plataformas de terceros, lo que puede crear oportunidades para que se revelen o intercepten.
Información de identificación personal (PII)
La información de identificación personal (PII) incluye datos que, si se divulgaran, podrían usarse para identificar a una persona. Algunos ejemplos de PII son los nombres, las direcciones y los números de seguro social. El cifrado de la PII ayuda a las organizaciones a prevenir el robo de identidad y garantiza el cumplimiento de las leyes de privacidad internacionales.
Por ejemplo, reglamentos como el RGPD de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA) exigen que las organizaciones protejan la PII que están bajo su custodia. El cifrado es una herramienta de uso común para cumplir con estos estándares.
Información sanitaria protegida (PHI)
Los proveedores de atención sanitaria, las aseguradoras y los departamentos de RR. HH. gestionan la información sanitaria protegida (PHI), lo que incluye la información sanitaria o relacionada con la salud asociada a una persona. Algunos ejemplos de PHI son los registros médicos electrónicos, los historiales de tratamiento y los datos de recetas farmacéuticas.
Leyes como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de EE. UU. exigen la implementación de medidas de seguridad de los datos. Estas medidas protegen la confidencialidad, la integridad y la disponibilidad de la PHI electrónica (ePHI). Al igual que con la PII, el cifrado es una herramienta común que se utiliza para cumplir con la HIPAA y otros estándares para la PHI.
¿Cuál es la diferencia entre los algoritmos de hash y el cifrado de datos?
Un algoritmo de hash toma datos, como un archivo o un mensaje, y calcula una cadena de caracteres exclusiva de los datos, denominada hash. Si alguien o algo altera los datos originales, aunque sea levemente, el valor del algoritmo de hash también cambia. Por lo tanto, los algoritmos de hash se utilizan con frecuencia para ayudar a verificar la integridad y la autenticidad de los datos.
A diferencia del cifrado, los algoritmos de hash son funciones matemáticas unidireccionales. No tienen claves criptográficas y no se pueden revertir. Las organizaciones suelen utilizar los algoritmos hash y el cifrado juntos para verificar que los datos sean auténticos e inalterados.
¿Cuál es la diferencia entre las firmas digitales y el cifrado de datos?
Las firmas digitales son una herramienta para verificar la autenticidad de un remitente. Las firmas digitales utilizan tanto el cifrado de datos de claves públicas como el hashing.
Las firmas digitales funcionan mediante el siguiente proceso:
- El remitente crea un hash de sus datos para demostrar que son auténticos e inalterados.
- A continuación, el remitente cifra ese hash para crear una firma digital.
- El destinatario recibe los datos junto con la firma asociada. Ejecuta la clave de descifrado en la firma y genera un nuevo hash de los datos para compararlos con el original descifrado.
Si ambos algoritmos de hash coinciden, el destinatario puede estar seguro de que el remitente identificado envió los datos y de que no se produjo ninguna alteración en la transmisión.
¿Cuáles son los estándares comunes del cifrado de datos?
El estándar de cifrado simétrico más utilizado en la actualidad es el estándar de cifrado avanzado (AES), un estándar mediante el que se cifra gran parte del tráfico mundial de Internet. El estándar asimétrico más común es Rivest-Shamir-Adleman (RSA). RSA es más intensivo desde el punto de vista computacional que AES y se usa más comúnmente para cifrar pequeños volúmenes de datos, como firmas digitales.
Puede combinar el uso de AES y RSA. Dado que RSA es más eficiente a la hora de cifrar pequeños volúmenes de datos, puede cifrar las claves de AES enviadas con transferencias cifradas de claves simétricas con un gran volumen.
Estándar de cifrado avanzado (AES)
El AES es una especificación para el cifrado simétrico establecida en 2001 por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. El AES utiliza un algoritmo de cifrado desarrollado por los criptógrafos Joan Daemen y Vincent Rijmen y admite tamaños de clave de cifrado de 128 o 256 bits (conocidos como AES-128 y AES-256).
RSA
El nombre de RSA proviene de los científicos del MIT que lo desarrollaron en 1977: Rivest, Shamir y Adleman. Utiliza pares de números primos grandes generados en secreto para crear claves públicas y privadas. El RSA utiliza el “problema de factorización” en matemáticas para su modelo de cifrado. No existe ningún método eficiente desde el punto de vista computacional para aplicar ingeniería inversa a los factores primos de números excepcionalmente grandes, como los que se utilizan para generar claves de RSA.
Estándar de cifrado de datos (DES)
El estándar de cifrado de datos (DES) es un estándar de cifrado anterior retirado por el NIST en 2002 en favor del AES. Utiliza una clave de 56 bits para cifrar los datos en bloques de 64 bits, que los investigadores han descubierto que son propensos a los ataques de fuerza bruta. Aunque es vulnerable a las técnicas de entrada modernas y a las filtraciones de datos, en la actualidad el DES todavía se usa en los sistemas heredados.
¿Cuáles son algunas consideraciones a la hora de elegir una técnica de cifrado de datos?
Las técnicas de cifrado de datos que elija deberían hacer más que proteger los datos. Estas técnicas deben ajustarse a los objetivos de la empresa y cumplir con los requisitos reglamentarios.
Tenga en cuenta estos cuatro factores al seleccionar las técnicas de cifrado para su organización.
Evalúe la confidencialidad de los activos
No todos los datos necesitan la misma seguridad. La información confidencial puede necesitar un cifrado completo de extremo a extremo. La información menos confidencial puede necesitar menos cifrado o ningún cifrado.
Comprenda el entorno de seguridad
Algunas organizaciones en su conjunto pueden ser un objetivo, como las instituciones financieras o las agencias gubernamentales. Otras, como las empresas de aplicaciones, pueden tener una cantidad mínima de datos en reposo en su propia infraestructura, lo que podría suponer un riesgo de seguridad. Seleccione las técnicas que sean adecuadas para el perfil de riesgo de cada conjunto de activos digitales de su organización.
Use estándares modernos
No todos los algoritmos de cifrado ofrecen el mismo nivel de protección. El DES, su derivado 3DES y otros estándares más antiguos no suelen ofrecer protección contra los ataques modernos. Busque servicios de cifrado que utilicen los estándares actuales, como el cifrado AES-256 y RSA con claves de 2048 bits.
Satisfaga los requisitos de cumplimiento
Muchos sectores y jurisdicciones tienen normativas específicas que exigen el cifrado para proteger la información confidencial. Por ejemplo, el PCI-DSS exige que las organizaciones procesen y transmitan de forma segura la información de las tarjetas de crédito de los consumidores.
¿Cómo puede ayudarlo AWS con sus requisitos de cifrado de datos?
AWS cuenta con una gama de servicios para respaldar el cifrado y la administración de claves basados en la nube.
AWS CloudHSM le permite generar y usar claves criptográficas en instancias dedicadas de módulos de seguridad de hardware (HSM) 140-2 de nivel 3 de un solo inquilino según los Estándares Federales de Procesamiento de la Información (FIPS). AWS CloudHSM fomenta el cumplimiento normativo mediante instancias de HSM de un solo inquilino y propiedad del cliente que se ejecutan en su propia nube privada virtual (VPC).
AWS Key Management Service (AWS KMS) es un servicio que le permite crear y controlar las claves que se utilizan para cifrar los datos de sus aplicaciones. AWS KMS utiliza la biblioteca de cifrado de datos del SDK de cifrado de AWS (kit de desarrollo de software).
AWS Payment Cryptography simplifica las operaciones de criptografía en las aplicaciones de pago alojadas en la nube.
AWS Secrets Manager cifra secretos en reposo utilizando claves de cifrado que usted posee y almacena en AWS KMS.
Cree una cuenta gratuita hoy mismo para comenzar a utilizar el cifrado de datos en AWS.