Inicio
Think
Temas
Cifrado simétrico
Publicado: 5 de agosto de 2024
Colaboradores: Annie Badman, Matthew Kosinski
El cifrado simétrico es un método de cifrado que utiliza una única clave para cifrar y descifrar datos. Aunque generalmente es menos seguro que el cifrado asimétrico, a menudo se considera más eficiente porque requiere menos potencia de procesamiento.
El cifrado es el proceso de transformar un texto sin formato legible en un texto cifrado ilegible para ocultar datos sensibles a usuarios no autorizados. Según el informe "Cost of a Data Breach" de IBM, las organizaciones que utilizan el cifrado pueden reducir el impacto financiero de una vulneración de datos en más de 240 000 dólares.
Casi todo lo que la gente hace en sus ordenadores, teléfonos y dispositivos IoT, se basa en el cifrado para proteger los datos y proteger las comunicaciones. Puede proteger los datos en reposo, en tránsito y mientras se procesan, lo que los hace cruciales para la posición de ciberseguridad de casi todas las organizaciones.
El cifrado simétrico, también conocido como criptografía de clave simétrica o cifrado de clave secreta, es uno de los dos métodos principales de cifrado junto con el cifrado asimétrico. El cifrado simétrico funciona creando una única clave compartida para cifrar y descifrar datos confidenciales. La principal ventaja del cifrado simétrico es que, por lo general, es sencillo y eficiente a la hora de proteger los datos.
Sin embargo, el cifrado simétrico suele considerarse menos seguro que el asimétrico, en gran medida porque depende de un intercambio seguro de claves y de una gestión meticulosa de las mismas. Cualquiera que intercepte u obtenga la clave simétrica puede acceder a los datos.
Por este motivo, las organizaciones y las aplicaciones de mensajería confían cada vez más en un método de cifrado híbrido que utiliza el cifrado asimétrico para la distribución segura de claves y el cifrado simétrico para los intercambios de datos posteriores.
Además, a medida que los avances en inteligencia artificial (IA) y computación cuántica amenazan con deshacer los métodos de cifrado tradicionales, muchas organizaciones confían en soluciones de cifrado integradas para proteger los datos confidenciales.
Los dos tipos de cifrado tienen características y casos de uso distintos. El cifrado asimétrico utiliza dos claves (una pública y otra privada) para cifrar y descifrar los datos, mientras que el cifrado simétrico solo utiliza una.
Tener dos claves diferentes generalmente hace que el cifrado asimétrico (también conocido como criptografía de clave pública y cifrado de clave pública) sea más seguro y versátil.
La criptografía de clave asimétrica puede facilitar la creación de firmas digitales y garantizar los principios básicos de seguridad de la información, como la integridad, la autenticación y el no repudio. La integridad confirma que las partes no autorizadas no manipulan los datos, la autenticación verifica los orígenes de los datos y el no repudio impide que los usuarios nieguen la actividad legítima.
Sin embargo, la desventaja del cifrado asimétrico es que a menudo requiere más potencia de procesamiento para funcionar, lo que lo hace relativamente inviable para grandes cantidades de datos.
Por este motivo, las organizaciones suelen optar por el cifrado simétrico cuando la eficacia es fundamental, como al cifrar grandes volúmenes de datos o proteger las comunicaciones internas dentro de un sistema cerrado. Eligen el cifrado asimétrico cuando la seguridad es primordial, como cifrar datos sensibles o asegurar la comunicación dentro de un sistema abierto.
Conozca las causas y efectos comunes de las vulneraciones, cómo se identifican y cómo las organizaciones pueden prevenir y mitigar las ciberamenazas responsables.
El cifrado simétrico comienza con la generación de claves, que crea una única clave secreta que todas las partes implicadas deben mantener confidencial.
Durante el proceso de cifrado, el sistema introduce el texto sin formato (datos originales) y la clave secreta en un algoritmo de cifrado de datos. Este proceso utiliza operaciones matemáticas para transformar el texto sin formato en texto cifrado (datos cifrados). Sin una clave de descifrado, descifrar los mensajes cifrados se vuelve prácticamente imposible.
A continuación, el sistema transmite el texto cifrado al destinatario, que utiliza la misma clave secreta para descifrar el texto cifrado y convertirlo en texto sin formato, invirtiendo el proceso de cifrado.
El cifrado simétrico implica dos tipos principales de cifrados simétricos: cifrados de bloque y cifrados de flujo.
- Los cifrados de bloque, como Advanced Encryption Standard (AES), cifran los datos en bloques de tamaño fijo.
- Los cifrados de flujo, como el RC4, cifran los datos bit a bit o byte a byte, lo que los hace adecuados para el procesamiento de datos en tiempo real.
Los usuarios eligen con frecuencia cifrados de bloque para garantizar la integridad y la seguridad para grandes cantidades de datos. Eligen cifrados de flujo para cifrar flujos de datos continuos más pequeños de manera eficiente, como las comunicaciones en tiempo real.
Las organizaciones combinan cada vez más el cifrado simétrico y asimétrico para mayor seguridad y eficiencia. Este proceso híbrido comienza con un intercambio de claves seguro, en el que se utiliza el cifrado asimétrico para intercambiar de forma segura la clave simétrica.
Por ejemplo, los navegadores y los servidores web establecen comunicaciones seguras mediante un protocolo de enlace SSL/TLS. Este proceso implica generar una clave simétrica compartida, denominada clave de sesión, y utilizar la clave pública del servidor para cifrar y compartir esa clave de sesión entre ambas partes.
Un tercero de confianza, conocido como autoridad de certificación (CA), confirma la validez de la clave pública del servidor y emite un certificado digital, lo que garantiza la autenticidad del servidor y evita los ataques de intermediario.
Una vez compartida, la clave simétrica gestiona de forma eficiente todos los datos cifrados y descifrados. Por ejemplo, un servicio de streaming de vídeo en directo podría usar cifrado asimétrico para asegurar el intercambio de claves y cifrados de flujo simétricos para el cifrado de datos en tiempo real. Este uso eficiente de la clave simétrica es una ventaja crucial de este enfoque de cifrado combinado.
Dos métodos comunes utilizados en el intercambio seguro de claves son Diffie-Hellman y Rivest-Shamir-Adleman (RSA). Diffie-Hellman es un algoritmo asimétrico que lleva el nombre de sus inventores. Ambos ayudan a establecer un intercambio de claves seguro y garantizan que la clave simétrica permanezca confidencial.
- Diffie-Hellman permite a dos partes generar un secreto compartido (como una clave simétrica) a través de un canal inseguro sin tener secretos compartidos previos. Este método garantiza que, incluso si un atacante intercepta el intercambio, no puede descifrar el secreto compartido sin resolver un complejo problema matemático.
- RSA, por otro lado, utiliza un par de claves pública y privada. El remitente cifra la clave simétrica con la clave pública del destinatario, que solo el destinatario puede descifrar con su clave privada. Este método garantiza que solo el destinatario previsto pueda acceder a la clave simétrica.
Imagine que Alice quiere enviar un documento confidencial a Bob. En este escenario, el cifrado simétrico funcionaría de la siguiente manera:
- Alicia y Bob están de acuerdo en una clave secreta o utilizan un cifrado asimétrico para un intercambio seguro de claves.
- Alice cifra el documento utilizando la clave secreta, convirtiéndolo en texto cifrado ilegible.
- Alice envía el texto cifrado a Bob.
- Al recibir el documento cifrado, Bob utiliza la misma clave secreta para descifrarlo y devolverlo a su forma original, garantizando su confidencialidad durante la transmisión.
La gestión de claves de cifrado es el proceso de generación, intercambio y gestión de claves criptográficas para garantizar la seguridad de los datos cifrados.
Aunque una gestión eficaz de las claves es crucial para todos los métodos de cifrado, es especialmente crucial para el cifrado simétrico, que muchos expertos consideran significativamente menos seguro debido a su única clave compartida y a la necesidad de un intercambio seguro de claves.
Si el proceso de cifrado funciona como una caja fuerte para información confidencial, entonces una clave de cifrado es el código de bloqueo necesario para abrir la caja fuerte. Si ese código cae en las manos equivocadas o es interceptado, corre el riesgo de perder el acceso a sus objetos de valor o de que se los roben. Del mismo modo, las organizaciones que no gestionan adecuadamente sus claves criptográficas pueden perder el acceso a sus datos cifrados o exponerse a vulneraciones de datos.
Por ejemplo, Microsoft reveló recientemente que un grupo de piratas hackers respaldado por China había robado una clave criptográfica crucial de sus sistemas.1 Esta clave permitió a los hackers generar tokens de autenticación legítimos y acceder a los sistemas de correo electrónico Outlook basados en la nube para 25 organizaciones, incluidas varias agencias del gobierno de EE. UU.
Para protegerse contra ataques como estos, las organizaciones suelen invertir en sistemas de gestión de claves. Estos servicios son cruciales dado que las organizaciones gestionan con frecuencia una compleja red de claves criptográficas, y muchos actores de amenazas saben dónde buscarlas.
Las soluciones de gestión de claves de cifrado a menudo incluyen características como:
Una consola de administración centralizada para el cifrado y las políticas y configuraciones de claves de cifrado
Cifrado a nivel de archivos, bases de datos y aplicaciones para datos en el entorno local y en la nube
Controles de acceso basados en roles y grupos, así como registros de auditoría para ayudar a abordar el cumplimiento
Procesos automatizados del ciclo de vida de las claves
Integración con las últimas tecnologías, como la IA, para mejorar la gestión de claves mediante el uso del análisis y la automatización
Las organizaciones utilizan cada vez más los sistemas de IA para ayudar a automatizar los procesos de gestión de claves, incluida la generación, distribución y rotación de claves.
Por ejemplo, las soluciones de gestión de claves impulsadas por IA pueden generar y distribuir claves de cifrado de forma dinámica basándose en los patrones de uso de datos en tiempo real y en las evaluaciones de amenazas.
Al automatizar los procesos de gestión de claves, la IA puede reducir significativamente el riesgo de error humano y garantizar que las claves de cifrado se actualicen y protejan periódicamente.La rotación automatizada de claves también dificulta que los actores de amenazas utilicen las claves que logran robar.
El cifrado simétrico es fundamental para las prácticas modernas de seguridad de datos. Su eficiencia y sencillez la convierten a menudo en la opción preferida para diversas aplicaciones. Los usos más comunes del cifrado simétrico incluyen:
Seguridad de datos (especialmente para grandes cantidades de datos)
Comunicación y navegación web seguras
Cifrado de bases de datos
Integridad de los datos
Cifrado de archivos, carpetas y discos
Cifrado basado en hardware
La criptografía simétrica es una de las herramientas de seguridad de datos más importantes y extendidas. De hecho, un informe reciente de TechTarget descubrió que el principal factor que contribuía a la pérdida de datos era la falta de cifrado. 2
Al codificar el texto sin formato como texto cifrado, el cifrado puede ayudar a las organizaciones a proteger los datos contra una serie de ciberataques, incluyendo ransomware y otros malware.
En particular, el uso de malware infostealer que exfiltre datos confidenciales ha aumentado un 266 % desde 2022, según el IBM X-Force Threat Intelligence Index de 2024. El cifrado ayuda a combatir esta amenaza al hacer que los datos sean inutilizables para los hackers, anulando el propósito de robarlos.
El cifrado simétrico es particularmente eficaz para cifrar grandes cantidades de datos porque es computacionalmente eficiente y puede procesar grandes volúmenes de datos rápidamente.
Las organizaciones utilizan ampliamente el cifrado simétrico para proteger los canales de comunicación. Protocolos como el Transport Layer Security (TLS) utilizan el cifrado simétrico para proteger de manera eficiente la integridad y confidencialidad de los datos transmitidos a través de internet, incluidos los correos electrónicos, la mensajería instantánea y la navegación web.
Durante un protocolo de enlace SSL/TLS, el cliente obtiene la clave pública del sitio web de su certificado SSL/TSL para establecer una clave de sesión segura mientras el sitio web mantiene su clave privada en secreto.
El protocolo de enlace inicial utiliza cifrado asimétrico para intercambiar información y establecer una clave de sesión segura antes de pasar al cifrado simétrico para una transmisión de datos más eficiente. Esta combinación garantiza que los datos confidenciales permanezcan privados y a prueba de manipulaciones durante la transmisión.
Mientras que los proveedores de servicios en nube (CSP) son responsables de la seguridad de la nube, los clientes son responsables de la seguridad en la nube, incluida la seguridad de cualquier dato.
El cifrado de datos en toda la empresa puede ayudar a las organizaciones a proteger sus datos confidenciales en el entorno local y en la nube, garantizando que los datos robados sigan siendo inaccesibles sin la clave de cifrado, incluso si se produce una vulneración de datos.
Investigaciones recientes indican que, hoy en día, la mayoría de las organizaciones emplean una infraestructura criptográfica híbrida mediante soluciones criptográficas locales y basadas en la nube.2
Las bases de datos a menudo almacenan grandes cantidades de información confidencial, desde datos personales hasta registros financieros. El cifrado simétrico puede ayudar a cifrar estas bases de datos o campos específicos dentro de ellas, como los números de tarjetas de crédito y de la seguridad social.
Al cifrar los datos en reposo, las organizaciones pueden garantizar que los datos confidenciales permanezcan protegidos incluso si la base de datos se ve comprometida.
Los algoritmos de cifrado simétrico no solo garantizan la confidencialidad sino también la integridad de los datos, un factor crucial en las transacciones financieras. Al generar códigos de autenticación de mensaje (MAC), las claves simétricas pueden ayudar a confirmar que nadie alteró los datos durante la transmisión.
Las funciones hash también desempeñan un papel importante en la verificación de la integridad de los datos. Las funciones hash generan un valor hash de tamaño fijo a partir de los datos de entrada. Estas "huellas digitales" se pueden comparar antes y después de la transmisión. Si el hash ha cambiado, eso significa que alguien lo ha manipulado.
Las organizaciones suelen utilizar el cifrado simétrico para proteger los archivos almacenados en sistemas locales, unidades compartidas y medios extraíbles.
El cifrado de archivos garantiza que los datos confidenciales permanezcan confidenciales, incluso si los medios de almacenamiento se pierden o son robados. El cifrado de disco completo amplía esta protección cifrando dispositivos de almacenamiento completos, protegiendo los datos confidenciales en endpoints como ordenadores portátiles y dispositivos móviles.
Para una protección adicional de los datos confidenciales, especialmente cuando el cifrado basado en software puede no ser suficiente, las organizaciones suelen utilizar componentes de hardware especializados como chips o módulos de cifrado. Estas soluciones de cifrado basadas en hardware se encuentran comúnmente en smartphones, ordenadores portátiles y dispositivos de almacenamiento.
Muchos sectores y jurisdicciones tienen requisitos normativos que obligan a las organizaciones a utilizar ciertos tipos de cifrado para proteger los datos confidenciales. El cumplimiento de estas regulaciones ayuda a las organizaciones a evitar sanciones legales y mantener la confianza de los clientes.
Por ejemplo, los Estándares Federales de Procesamiento de Información (FIPS) son un conjunto de estándares desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST) para sistemas informáticos utilizados por agencias gubernamentales no militares y contratistas de EE. UU. Se centran en garantizar la seguridad y la interoperabilidad de los datos y los procesos criptográficos.
Los algoritmos de clave simétrica más conocidos incluyen:
- Data Encryption Standard (DES) y Triple DES (3DES)
Advanced Encryption Standard (AES)
Twofish
Blowfish
IBM introdujo el DES por primera vez en la década de 1970 como algoritmo de cifrado estándar, una función que desempeñó durante muchos años. Sin embargo, su longitud de clave relativamente corta (56 bits) lo hizo vulnerable a ataques de fuerza bruta, donde los actores de amenazas prueban diferentes claves hasta que una funciona.
Triple DES, desarrollado como una mejora, aplica el algoritmo DES tres veces a cada bloque de datos, lo que aumenta significativamente el tamaño de la clave y la seguridad general.
Con el tiempo, algoritmos simétricos más seguros reemplazaron tanto al DES como al Triple DES.
El AES generalmente se considera el estándar de oro de los algoritmos de cifrado simétrico. Es ampliamente adoptado por organizaciones y gobiernos de todo el mundo, incluido el gobierno de EE. UU. El AES ofrece una fuerte seguridad con longitudes de clave de 128, 192 o 256 bits. Las longitudes de clave más largas son más resistentes al cracking.
En concreto, AES-256, que utiliza una clave de 256 bits, es conocido por su alto nivel de seguridad y se utiliza a menudo en situaciones muy sensibles. El AES también es altamente eficiente en implementaciones de software y hardware, lo que lo hace adecuado para una amplia gama de aplicaciones.
Twofish es un cifrado de bloque de clave simétrica conocido por su velocidad y seguridad. Funciona con bloques de datos con un tamaño de bloque de 128 bits y admite longitudes de clave de 128, 192 o 256 bits.
Twofish es de código abierto y resistente al criptoanálisis, lo que lo convierte en una opción fiable para aplicaciones seguras. Su flexibilidad y rendimiento se adaptan a las implementaciones de software y hardware, especialmente cuando la seguridad y el rendimiento son fundamentales.
Blowfish es un cifrado de bloque de clave simétrica diseñado para proporcionar una buena tasa de cifrado en software y cifrado seguro de datos. Admite longitudes de clave de 32 bits a 448 bits, lo que lo hace flexible y adecuado para diversas aplicaciones.
Blowfish es conocido por su velocidad y efectividad y es particularmente popular para el cifrado de software. También es muy popular en aplicaciones que necesitan un algoritmo de cifrado simple y rápido, aunque algoritmos más nuevos como Twofish y AES lo han reemplazado en gran medida en la mayoría de los casos de uso.
Proteja los datos, aumente la privacidad y el cumplimiento normativo a través de soluciones criptográficas.
Monitorice y controle las claves de cifrado de datos durante todo el ciclo de vida de las claves, desde una única ubicación.
Cree, implemente y gestione de forma segura aplicaciones de misión crítica para la multinube híbrido con computación confidencial en IBM Z y LinuxONE.
Empodérese a sí mismo y a su empresa aprendiendo de los retos y éxitos experimentados por los equipos de seguridad de todo el mundo.
El cifrado es el proceso de transformar texto plano legible en texto cifrado ilegible para enmascarar información confidencial de usuarios no autorizados.
El cifrado de extremo a extremo (E2EE) es un proceso de comunicación seguro que evita que terceros accedan a los datos transferidos de un punto final a otro.
Notas a pie de página
Vínculos externos a ibm.com
1 The Comedy of Errors That Let China-Backed Hackers Steal Microsoft’s Signing Key [La comedia de errores que permitió a los hackers respaldados por China robar la clave de firma de Microsoft]. Wired. 6 de septiembre de 2023.
2 Research Report: Operationalizing Encryption and Key Management [Informe de investigación: operacionalización del cifrado y la gestión de claves]. Enterprise Strategy Group de TechTarget. 5 de abril de 2024.