El cifrado es el proceso de transformar texto legible sin formato en texto cifrado ilegible para enmascarar información confidencial de usuarios no autorizados. Las organizaciones emplean de manera regular el cifrado en la seguridad de los datos para proteger los datos confidenciales del acceso no autorizado y las filtraciones de datos.
El cifrado funciona mediante el uso de algoritmos de cifrado para codificar los datos en un formato indescifrable. Solo las partes autorizadas con la clave secreta correcta, conocida como clave de descifrado, pueden descifrar los datos.
El cifrado puede proteger los datos en reposo, en tránsito y mientras se procesan, independientemente de si los datos están en un sistema informático on premises o en la nube. Por esta razón, el cifrado se volvió fundamental para los esfuerzos de seguridad en la nube y las estrategias de ciberseguridad en general.
Según el informe Costo de una filtración de datos de IBM, las organizaciones que usan cifrado pueden reducir el impacto financiero de una filtración de datos en más de 220 000 USD.
El cifrado también es cada vez más necesario para cumplir con los requisitos y normas, como PCI DSS y el RGPD.
La inversión en cifrado está creciendo a medida que las personas y las organizaciones se enfrentan a amenazas y ataques cibernéticos cada vez mayores. Según estimaciones recientes, el mercado global de software de cifrado alcanzará los 20.1 mil millones de dólares en 2025 (enlace externo a ibm.com), con una tasa de crecimiento anual compuesta del 15.1 por ciento de 2020 a 2025.
Además, la inteligencia artificial (IA) cambió el panorama del cifrado. Específicamente, las organizaciones están explorando cómo la IA puede ayudar a optimizar la gestión de claves y mejorar los algoritmos de cifrado.
Obtenga insight para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Regístrese para recibir el informe sobre el costo de una filtración de datos
El cifrado de datos es una forma de traducir datos de texto sin formato (sin cifrar) a ciphertext (cifrado). Los usuarios pueden acceder a los datos cifrados con una clave de cifrado y a los datos descifrados con una clave de descifrado.
Hay cantidades masivas de información confidencial administrada y almacenada en línea en la nube o en servidores conectados. El cifrado utiliza la ciberseguridad para defenderse de la fuerza bruta y los ciberataques, incluidos el malware y el ransomware. El cifrado de datos funciona asegurando los datos digitales transmitidos en la nube y los sistemas informáticos. Hay dos tipos de datos digitales, datos transmitidos o datos en vuelo y datos digitales almacenados o datos en reposo.
Los algoritmos de cifrado modernos han reemplazado el estándar de cifrado de datos obsoleto para proteger los datos. Estos algoritmos protegen la información y fomentan las iniciativas de seguridad, incluida la integridad, la autenticación y el no repudio. Los algoritmos primero autentican un mensaje para verificar el origen. A continuación. comprueban la integridad para verificar que los contenidos no hayan cambiado. Finalmente, la iniciativa de no repudio evita que los envíos nieguen la actividad legítima.
El cifrado asimétrico, también conocido como criptografía de clave pública, cifra y descifra los datos utilizando dos claves asimétricas criptográficas independientes. Estas dos claves se conocen como "clave pública" y "clave privada".
Métodos comunes de cifrado asimétrico:
- RSA: RSA, que lleva el nombre de los científicos informáticos Ron Rivest, Adi Shamir y Leonard Adleman, es un algoritmo popular que se utiliza para cifrar datos con una clave pública y descifrarlos con una clave privada para una transmisión segura de datos.
- Infraestructura de clave pública (PKI): PKI es una forma de gestionar las claves de cifrado mediante la emisión y gestión de certificados digitales.
El cifrado comienza con identificar la información confidencial que requiere protección. Esta información pueden ser mensajes, archivos, fotografías, comunicaciones u otros datos. Estos datos existen en texto sin formato: la forma original y legible que necesita protección.
Los algoritmos de cifrado transforman este texto sin formato en texto cifrado al codificar los datos en una secuencia de caracteres ilegible. Este proceso garantiza que solo los destinatarios previstos puedan leer los datos originales.
A continuación, se crean las claves de cifrado. Una clave de cifrado es como un código complejo que se necesita para abrir una caja fuerte. Sin la clave criptográfica correcta, no puede acceder a los datos cifrados. Un tamaño de clave más largo proporciona mayor seguridad al hacer que el proceso de descifrado sea exponencialmente más complejo.
En el cifrado simétrico (consulte "Tipos de cifrado de datos"), se utiliza una única clave compartida para el cifrado y descifrado. En el cifrado asimétrico (consulte "Tipos de cifrado de datos"), se crean dos claves: una clave pública para el cifrado y una clave privada para el descifrado.
Para aquellos que no tienen una clave de descifrado, los mensajes cifrados son prácticamente imposibles de descifrar. Sin embargo, los usuarios con la clave de descifrado pueden descifrar satisfactoriamente los datos revirtiendo el proceso de cifrado y convirtiendo el texto cifrado nuevamente en texto sin formato legible y sin descifrar.
El descifrado también puede implicar una etapa de autenticación, donde los datos descifrados se verifican para garantizar su integridad y autenticidad. Este paso puede incluir la verificación de firmas digitales, funciones hash (consulte la siguiente sección) u otras formas de autenticación para confirmar que los datos no fueron manipulados durante la transmisión.
Las funciones hash están directamente relacionadas con el cifrado, pero estas herramientas abordan distintos problemas de seguridad.
Las funciones hash son un tipo de algoritmo criptográfico que se emplea principalmente para la integridad y autenticación de datos. Funcionan cuando toman una entrada (o mensaje) y producen una cadena de caracteres de tamaño fijo, que se conoce como valor hash o código hash.
Su característica definitoria es su naturaleza determinista. Dada la misma entrada, una función hash siempre producirá la misma salida. Este proceso las hace críticas para verificar la integridad de los datos. Los usuarios pueden comparar valores hash antes y después de la transmisión o el almacenamiento. Si los valores hash coinciden, nadie alteró los datos.
Mientras que el cifrado es un proceso reversible, las funciones hash son irreversibles. Desde el punto de vista informático, es inviable obtener los datos de entrada originales a partir de su valor hash. Por esta razón, el objetivo principal de las funciones hash no es enmascarar datos sensibles, sino crear huellas digitales únicas que los profesionales de la ciberseguridad puedan usar para verificar la integridad y autenticidad de los datos.
La gestión de claves es fundamental para un cifrado eficaz de los datos. Para entender por qué, considere el ejemplo de una caja fuerte. Si una persona olvida el código de su caja fuerte o este acaba en las manos equivocadas, corre el riesgo de perder el acceso a sus posesiones más valiosas o de que se las roben.
La misma lógica se aplica a las claves criptográficas. Si las organizaciones no gestionan adecuadamente sus claves, pueden perder la capacidad de descifrar los datos o acceder a ellos, o exponerse a filtraciones de datos.
Por este motivo, las organizaciones suelen priorizar la inversión en sistemas de gestión de claves. Estos servicios son críticos dado que las organizaciones gestionan con frecuencia una red compleja de claves criptográficas, y muchos actores de amenazas saben dónde buscarlas.
Las soluciones de gestión de claves de cifrado suelen incluir características como:
- Una consola de gestión centralizada para el cifrado, y las políticas y configuraciones de claves de cifrado
- Cifrado a nivel de archivos, bases de datos y aplicaciones para datos on premises y en la nube
- Controles de acceso basado en roles y grupos, y registros de auditoría para ayudar a abordar el cumplimiento de normas
- Procesos automatizados del ciclo de vida de las claves
- Integración con las últimas tecnologías, como IA, para mejorar la gestión de claves mediante el uso de analytics y automatización
- Data Encryption Standard (DES): IBM introdujo DES en la década de 1970 como el algoritmo de cifrado estándar, una función que desempeñó durante muchos años. Sin embargo, la longitud de clave relativamente corta (56 bits) la hacía vulnerable a los ataques de fuerza bruta. Con el tiempo, algoritmos más seguros la reemplazaron.
- Triple DES (3DES): desarrollado como una mejora de DES, 3DES aplica el algoritmo DES tres veces a cada bloque de datos, lo que aumenta significativamente la longitud de la clave y fortalece la seguridad. A pesar de su seguridad mejorada sobre DES, 3DES ahora se considera obsoleto. AES lo reemplazó en gran medida.
- Advanced Encryption Standard (AES): a menudo aclamado como el estándar de referencia para el cifrado de datos, AES es un algoritmo de cifrado simétrico ampliamente adoptado por organizaciones y gobiernos de todo el mundo, como el gobierno de EE. UU. y el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. AES ofrece una amplia seguridad con longitudes de clave de 128, 192 o 256 bits.
- Twofish: Twofish es un cifrado de bloque de clave simétrica conocido por su velocidad y seguridad. Opera en bloques de datos con un tamaño de bloque de 128 bits y admite longitudes de clave de 128, 192 o 256 bits. Dado que es de código abierto y resistente al criptoanálisis, las organizaciones suelen confiar en Twofish cuando la seguridad y el rendimiento son críticos.
- RSA (Rivest-Shamir-Adleman): RSA es un algoritmo de cifrado asimétrico que lleva el nombre de sus inventores. Se basa en la complejidad matemática de los números primos para generar pares de claves. Usa un par de claves pública y privada para el cifrado y descifrado, lo que lo hace adecuado para la transmisión segura de datos y firmas digitales. Con frecuencia, RSA ayuda a proteger los protocolos de comunicación, como HTTPS, SSH y TLS.
- Criptografía de curva elíptica (ECC): la ECC es un método de cifrado asimétrico basado en las propiedades matemáticas de curvas elípticas sobre campos finitos. Ofrece una seguridad robusta con longitudes de clave más cortas que otros algoritmos, lo que lo hace ideal para dispositivos con recursos limitados, como teléfonos inteligentes y dispositivos IoT.
Con más y más organizaciones moviéndose a entornos híbridos y multinube, aumentan las preocupaciones sobre la seguridad de la nube pública y la protección de datos en entornos complejos. El cifrado de datos en toda la empresa y la gestión de claves de cifrado pueden ayudar a proteger los datos en las instalaciones y en la nube.
Los proveedores de servicios en la nube (CSP) pueden ser responsables de la seguridad de la nube, pero los clientes son responsables de la seguridad en la nube, especialmente la seguridad de los datos. Los datos confidenciales de una organización deben protegerse y, al mismo tiempo, permitir que los usuarios autorizados realicen sus funciones laborales. Esta protección no solo debe cifrar los datos, sino que también debe proporcionar funciones sólidas de gestión de claves de cifrado, control de acceso y registro de auditoría.
Las soluciones robustas de cifrado de datos y gestión de claves deben ofrecer:
- Una consola de administración centralizada para el cifrado de datos y las políticas y configuraciones de claves de cifrado
- Cifrado a nivel de archivo, base de datos y aplicación para datos locales y en la nube
- Controles de acceso basados en roles y grupos y registro de auditoría para ayudar a abordar el cumplimiento
- Procesos automatizados de ciclo de vida de claves para claves de cifrado locales y en la nube
A pesar de sus muchos beneficios, el cifrado es vulnerable a algunos ataques y usos indebidos. Algunas debilidades comunes de las tecnologías de cifrado actuales incluyen:
Computación cuántica
El auge de la computación cuántica amenaza los métodos de cifrado tradicionales. Las computadoras cuánticas podrían dañar algunos algoritmos de cifrado, como RSA y ECC, al ejecutar potentes algoritmos cuánticos, como el algoritmo de Shor. El algoritmo de Shor puede factorizar eficientemente números grandes y resolver el logaritmo discreto, un problema matemático difícil en el que se basan muchos esquemas de cifrado.
Sin embargo, las organizaciones también están empleando la inteligencia artificial (IA) para desarrollar métodos de cifrado resistentes a la tecnología cuántica. Estas soluciones de cifrado usan IA para anticiparse y adaptarse a posibles amenazas de computación cuántica antes de que puedan dañar los algoritmos de cifrado tradicionales.
Ataques de fuerza bruta
Los ataques de fuerza bruta implican que los hackers prueben sistemáticamente todas las claves de cifrado posibles hasta que descubran la correcta. Históricamente, los algoritmos de cifrado sólidos tardan demasiado en dañarse cuando se emplean métodos de fuerza bruta. Sin embargo, los avances en la potencia informática corren el riesgo de hacer que algunos métodos de cifrado sean vulnerables a los ataques de fuerza bruta.
Vulnerabilidades de los algoritmos
Los atacantes pueden explotar las vulnerabilidades de los algoritmos de cifrado para descifrar los datos. Una vulnerabilidad importante es el "Padding Oracle Attack", que implica que los hackers manipulen el relleno (bits adicionales agregados al texto sin formato) para revelar datos de texto sin formato.
Ataques de canal lateral
Los canales laterales son vías no deseadas para la filtración de información, como discrepancias de tiempo y variaciones en el consumo de energía y las emisiones electromagnéticas. Los hackers pueden emplear estos canales laterales para obtener información sobre el proceso de cifrado y recuperar claves de cifrado o datos de texto sin formato.
Un ejemplo de ataque de canal lateral podría incluir ocultar bobinas de inducción en sistemas de pago móviles. Este método permitiría a los atacantes registrar transacciones y extraer claves para falsificar tarjetas de crédito o realizar cargos fraudulentos.
Gestión inadecuada de las claves
En general, la seguridad de los datos cifrados se basa en el secreto y la gestión de las claves de cifrado. Si las claves de cifrado se pierden, son robadas o están comprometidas, puede llevar a un acceso no autorizado a los datos cifrados.
Sin embargo, los sistemas de IA también pueden ayudar a automatizar los procesos de gestión de claves, incluida la generación, distribución y rotación de claves. Esta automatización mejora la eficiencia y la seguridad de los sistemas de cifrado, lo que reduce el riesgo de error humano y garantiza que las claves de cifrado se actualicen periódicamente y sean seguras.
El cifrado suele ser la primera y última defensa contra los hackers y las filtraciones de datos. Las organizaciones pueden emplear diferentes soluciones de cifrado según el nivel de seguridad deseado, el tipo de datos, el entorno normativo y otros factores.
Algunas de las soluciones de cifrado más comunes incluyen:
- Software de cifrado: las organizaciones de todas las industrias confían en el software de cifrado para proteger los datos en reposo y en tránsito. En general, este software tiene características y herramientas que facilitan las operaciones de cifrado y descifrado, incluida la gestión de claves y las integraciones con software existente, como bases de datos, proveedores de la nube y plataformas de comunicación.
- Redes privadas virtuales (VPN): las VPN cifran el tráfico de Internet para garantizar la privacidad y la seguridad. Son esenciales para proteger la comunicación a través de redes públicas, especialmente cuando los empleados trabajan de forma remota o necesitan acceder a información confidencial fuera de las redes corporativas seguras.
- Cifrado en la nube: el cifrado en la nube garantiza la confidencialidad e integridad de los datos mediante el cifrado de la información confidencial antes de almacenarla en entornos de nube. Estas soluciones protegen los datos en aplicaciones, plataformas y servicios de almacenamiento basados en la nube contra los riesgos asociados con la nube, incluido el acceso no autorizado y la exposición de datos.
- Cifrado de red: encripta los datos intercambiados entre dos endpoints a través de una red para garantizar la confidencialidad e integridad. Por ejemplo, el protocolo Transport Layer Security (TLS), una versión actualizada de Secure Sockets Layer (SSL), protege los datos enviados a través de un navegador, como la información de una tarjeta de crédito enviada a través de un sitio web minorista en línea o las credenciales de inicio de sesión transmitidas durante las sesiones de banca en línea.
- Cifrado de bases de datos: cifra la información confidencial almacenada en bases de datos, como registros de clientes, datos financieros y propiedad intelectual, para evitar el acceso no autorizado o el robo.
- Cifrado de disco completo: encripta dispositivos de almacenamiento completos para proteger los datos almacenados en dispositivos endpoint, como computadoras portátiles y dispositivos móviles.
- Cifrado basado en hardware: los componentes de hardware especializados en dispositivos, como chips o módulos de cifrado, pueden proporcionar protección adicional para datos confidenciales, especialmente cuando el cifrado basado en software puede no ser suficiente. Los teléfonos inteligentes, las computadoras portátiles y los dispositivos de almacenamiento a menudo cuentan con soluciones de cifrado basadas en hardware.
- Cifrado de archivos y carpetas: las personas y las organizaciones suelen emplear el cifrado de archivos y carpetas para cifrar archivos o carpetas individuales confidenciales en computadoras o redes, como fotos confidenciales, documentos y otros activos digitales, para evitar el acceso no autorizado.
- Cifrado de correo electrónico: el cifrado de mensajes de correo electrónico y archivos adjuntos para proteger los canales de comunicación garantiza que la información confidencial que se comparte por correo electrónico permanezca confidencial y protegida contra interceptaciones y manipulaciones no autorizadas.
- Cifrado de extremo a extremo (E2EE): el cifrado de extremo a extremo es un proceso de comunicación seguro que encripta los datos en el dispositivo antes de transferirlos a otro endpoint para evitar la manipulación de terceros. Las aplicaciones de chat y mensajería, los servicios de correo electrónico y otras plataformas de comunicación usan con frecuencia E2EE para proteger la privacidad y confidencialidad del usuario.
Proteja los datos en nubes híbridas y simplifique los requisitos de cumplimiento
Los servicios de seguridad de datos e IA de IBM pueden ayudar a proteger la información confidencial y la propiedad intelectual, respaldar el cumplimiento de las regulaciones y reducir el impacto de las amenazas de ciberseguridad.
Las soluciones de criptografía de IBM combinan tecnologías, consultoría, integración de sistemas y servicios de seguridad gestionados para ayudar a proteger los datos, aumentar la privacidad y cumplir con las obligaciones normativas.
Obtenga más información sobre este estudio actualizado de Forrester Consulting: Ponga en funcionamiento la seguridad para beneficiar a sus clientes y sus resultados.
El cifrado de extremo a extremo (E2EE) es un proceso de comunicación seguro que evita que terceros accedan a los datos transferidos de un endpoint a otro.
La criptografía es la práctica de desarrollar y utilizar algoritmos codificados para proteger y ocultar la información transmitida para que solo puedan ser leídas por aquellos con permiso y capacidad de descifrarla.
La criptografía cuántica se refiere a varios métodos de ciberseguridad para cifrar y transmitir datos seguros basados en las leyes naturales e inmutables de la mecánica cuántica.