qué es el cifrado simétrico

Cifrado es el proceso de transformar texto sin formato legible en texto cifrado ilegible para enmascarar información confidencial de usuarios no autorizados. De acuerdo con el  Informe del costo de una filtración de datos de IBM, las organizaciones que usan cifrado pueden reducir el impacto financiero de una filtración de datos en más de 240 000 USD.

Casi todo lo que las personas hacen en sus computadoras, teléfonos y dispositivos IoT se basa en el cifrado para proteger los datos y cerciorar las comunicaciones. Puede proteger datos en reposo, en tránsito y mientras se procesan, lo que lo hace fundamental para la postura de ciberseguridad de casi todas las organizaciones.

El cifrado simétrico, también conocido como criptografía de clave simétrica o cifrado de clave secreta, es uno de los 2 métodos principales de cifrado junto con el cifrado asimétrico. El cifrado simétrico funciona mediante la creación de una única clave compartida para cifrar y descifrar datos confidenciales. La principal ventaja del cifrado simétrico es que es simple y eficiente para proteger los datos.

Sin embargo, el cifrado simétrico a menudo se considera menos seguro que el cifrado asimétrico, en gran medida porque depende del intercambio seguro de claves y de una gestión meticulosa de las mismas. Cualquier persona que intercepte u obtenga la clave simétrica puede acceder a los datos.

Por esta razón, las organizaciones y las aplicaciones de mensajería dependen cada vez más de un método de cifrado híbrido que utiliza cifrado asimétrico para la distribución segura de claves y cifrado simétrico para intercambios de datos posteriores.

Además, a medida que los avances en inteligencia artificial (IA) y computación quantum amenazan con deshacer los métodos de cifrado tradicionales, muchas organizaciones confían en soluciones de cifrado integradas para proteger los datos confidenciales.

Los dos tipos de cifrado tienen características y casos de uso distintos. El cifrado asimétrico utiliza dos claves, una clave pública y una clave privada, para cifrar y descifrar datos, mientras que el cifrado simétrico solo usa una.

Tener dos claves diferentes generalmente hace que el cifrado asimétrico (también conocido como criptografía de clave pública y cifrado de clave pública) sea más seguro y versátil.

La criptografía de clave asimétrica puede facilitar la creación de firmas digitales y garantizar los principios básicos de seguridad de la información , como la integridad, la autenticación y el no repudio. La integridad confirma que las partes no autorizadas no manipulan los datos, la autenticación verifica los orígenes de los datos y el no repudio impide que los usuarios nieguen la actividad legítima.

Sin embargo, el inconveniente del cifrado asimétrico es que suele requerir más potencia de procesamiento para funcionar, lo que lo hace relativamente inviable para grandes cantidades de datos.

Por este motivo, las organizaciones generalmente eligen el cifrado simétrico cuando la eficiencia es fundamental, como al cifrar grandes volúmenes de datos o proteger las comunicaciones internas dentro de un sistema cerrado. Eligen el cifrado asimétrico cuando la seguridad es primordial, como al cifrar datos confidenciales o proteger la comunicación dentro de un sistema abierto.

El cifrado simétrico comienza con la generación de claves, que crea una única clave secreta que todas las partes implicadas deben mantener confidencial.

Durante el proceso de cifrado, el sistema introduce el texto simple (datos originales) y la clave secreta en un algoritmo de cifrado de datos. Este proceso emplea operaciones matemáticas para transformar el texto simple en texto cifrado (datos cifrados). Sin una clave de descifrado, descifrar los mensajes cifrados se vuelve imposible.

Luego, el sistema transmite el texto cifrado al destinatario, quien utiliza la misma clave secreta para descifrar el texto cifrado de nuevo en texto sin formato, invirtiendo el proceso de cifrado.

El cifrado simétrico implica dos tipos principales de cifrados simétricos: cifrados de bloque y cifrados de flujo.

• Los cifrados de bloques, como Advanced Encryption Standard (AES), cifran los datos en bloques de tamaño fijo.
  
  
• Los cifradores de flujo, como el RC4, cifran los datos bit a bit o byte a byte, lo que los hace adecuados para el tratamiento de datos en tiempo real.

Los usuarios eligen con frecuencia cifrados de bloque para garantizar la integridad y seguridad de los datos para grandes cantidades de datos. Eligen cifrados de flujo para cifrar flujos de datos continuos más pequeños de manera eficiente, como las comunicaciones en tiempo real.

Las organizaciones combinan cada vez más el cifrado simétrico y asimétrico para lograr seguridad y eficiencia. Este proceso híbrido comienza con un intercambio seguro de claves, donde se utiliza el cifrado asimétrico para intercambiar de manera segura la clave simétrica.

Por ejemplo, los navegadores web y los servidores web establecen comunicaciones seguras a través de un enlace SSL/TLS. Este proceso implica generar una clave simétrica compartida, llamada clave de sesión, y usar la clave pública del servidor para cifrar y compartir esa clave de sesión entre ambas partes.

Un tercero de confianza, conocido como autoridad de certificación (CA), confirma la validez de la clave pública del servidor y emite un certificado digital, lo que garantiza la autenticidad del servidor y evita ataques de intermediario.

Una vez compartida, la clave simétrica maneja eficientemente todo el cifrado y descifrado de datos. Por ejemplo, un servicio de streaming de video en tiempo real podría emplear cifrado asimétrico para proteger el intercambio de claves y cifrados de flujo simétricos para el cifrado de datos en tiempo real. Este uso eficiente de la clave simétrica es un beneficio crucial de este enfoque de cifrado combinado.

Dos métodos comunes empleados en el intercambio seguro de claves son Diffie-Hellman y Rivest-Shamir-Adleman (RSA). Diffie-Hellman es un algoritmo asimétrico que lleva el nombre de sus inventores. Ambos ayudan a establecer un intercambio de claves seguro y garantizan que la clave simétrica permanezca confidencial.

• Diffie-Hellman permite que dos partes generen un secreto compartido, como una clave simétrica, a través de un canal inseguro sin tener secretos compartidos previos. Este método garantiza que, incluso si un atacante intercepta el intercambio, no puede descifrar el secreto compartido sin resolver un problema matemático complejo.
  
  
• Alternativamente, RSA utiliza un par de claves pública y privada. El remitente cifra la clave simétrica con la clave pública del destinatario, que solo el destinatario puede descifrar empleando su clave privada. Este método garantiza que solo el destinatario previsto pueda acceder a la clave simétrica.

Imagine que Alice quiere enviar un documento confidencial a Bob. En este escenario, el cifrado simétrico funcionaría de la siguiente manera:

1. Alice y Bob acuerdan una clave secreta o emplean cifrado asimétrico para el intercambio seguro de claves.
2. Alice encripta el documento usando la clave secreta, convirtiéndolo en texto cifrado ilegible.
3. Alice envía el texto cifrado a Bob.
4. Al recibir el documento cifrado, Bob utiliza la misma clave secreta para descifrarlo de nuevo a su forma original, asegurando su confidencialidad durante toda la transmisión.
   

La gestión de claves de cifrado es el proceso de generación, intercambio y gestión de claves criptográficas para garantizar la seguridad de los datos cifrados.

La gestión eficaz de claves es crucial para todos los métodos de cifrado. Sin embargo, es especialmente crítico para el cifrado simétrico, que muchos expertos consideran menos seguro debido a su única clave compartida y la necesidad de un intercambio seguro de claves.

Si el proceso de cifrado funciona como una caja fuerte para información confidencial, entonces una clave de cifrado es el código de bloqueo necesario para abrir la caja fuerte. Si ese código cae en las manos equivocadas o es interceptado, corre el riesgo de perder el acceso a sus objetos de valor o perderlos por robo. Del mismo modo, las organizaciones que no gestionan adecuadamente sus claves criptográficas pueden perder el acceso a sus datos cifrados o exponer a filtraciones de datos.

Por ejemplo, Microsoft reveló recientemente que un grupo de piratería respaldado por China había robado una clave criptográfica crítica de sus sistemas.¹ Esta clave permitió a los hackers generar tokens de autenticación legítimos y acceder a sistemas de correo electrónico de Outlook basados en la nube para 25 organizaciones, incluidas múltiples agencias gubernamentales de EE.

Para proteger contra ataques como estos, las organizaciones suelen invertir en sistemas de gestión de claves. Estos servicios son críticos dado que las organizaciones gestionan con frecuencia una red compleja de claves criptográficas, y muchos actores de amenazas saben dónde buscarlas.

Las soluciones de gestión de claves de cifrado suelen incluir características como:

• Una consola de gestión centralizada para el cifrado, y las políticas y configuraciones de claves de cifrado

• Cifrado a nivel de archivo, base de datos y aplicación para datos on-premises y en la nube

• Controles de acceso basado en roles y grupos, y registros de auditoría para ayudar a abordar el cumplimiento de normas

• Procesos automatizados del ciclo de vida de las claves

• Integración con las últimas tecnologías, como IA, para mejorar la gestión de claves mediante el uso de analytics y automatización

Las organizaciones emplean cada vez más los sistemas de IA para ayudar a automatizar los procesos de gestión de claves, incluida la generación, distribución y rotación de claves.

Por ejemplo, las soluciones de gestión de claves impulsadas por IA pueden generar y distribuir dinámicamente claves de cifrado basadas en patrones de uso de datos en tiempo real y evaluaciones de amenazas.

Al automatizar los procesos de gestión de claves, la IA puede reducir significativamente el riesgo de error humano y garantizar que las claves de cifrado se actualicen periódicamente y sean seguras. La rotación automatizada de claves también dificulta que los actores de amenazas usen las claves que logran robar.

El cifrado simétrico es fundamental para las prácticas modernas de seguridad de datos . Su eficiencia y simplicidad a menudo lo convierten en la opción preferida para diversas aplicaciones. Los usos comunes del cifrado simétrico incluyen:

• Seguridad de los datos (particularmente para grandes cantidades de datos)

• Comunicación y navegación sitio web seguras

• Cloud security

• Cifrado de bases de datos

• Integridad de los datos

• Cifrado de archivos, carpetas y discos

• Cifrado basado en hardware

• Gestión del cumplimiento

La criptografía simétrica es una de las herramientas de seguridad de datos más críticas y extendidas. De hecho, un reporte reciente de TechTarget encontró que el principal contribuyente a la pérdida de datos fue la falta de cifrado. ²

Al codificar texto sin formato como texto cifrado, el cifrado puede ayudar a las organizaciones a proteger los datos contra una variedad de ataques cibernéticos, incluido el ransomware y otro malware.

En particular, el uso de malware infostealer que exfiltra datos confidenciales ha aumentado, según el IBM X-Force Threat Intelligence Index. El cifrado ayuda a combatir esta amenaza al hacer que los datos sean inutilizables para hackers, que frustra el propósito de robarlos.

El cifrado simétrico es eficaz para cifrar grandes cantidades de datos porque es computacionalmente eficiente y puede procesar grandes volúmenes de datos rápidamente.

Las organizaciones emplean ampliamente el cifrado simétrico para proteger los canales de comunicación. Protocolos como Transport Layer Security (TLS) emplean el cifrado simétrico para proteger eficazmente la integridad y confidencialidad de los datos transmitidos por Internet, incluidos correos electrónicos, mensajería instantánea y navegación sitio web.

Durante un intercambio SSL/TLS, el cliente obtiene la clave pública del sitio web a partir de su certificado SSL/TSL para establecer una clave de sesión segura, mientras que el sitio web mantiene en secreto su clave privada.

El protocolo de enlace inicial emplea el cifrado asimétrico para intercambiar información y establecer una clave de sesión segura antes de pasar al cifrado simétrico para una transmisión de datos más eficaz. Esta combinación garantiza que los datos sensibles sigan siendo privados y a prueba de manipulaciones durante la transmisión.

Mientras que los proveedores de servicios en la nube (CSP) son responsables de la seguridad de la nube, los clientes son responsables de la seguridad en la nube, incluida la seguridad de cualquier dato.

El cifrado de datos a nivel empresarial puede ayudar a las organizaciones a proteger sus datos confidenciales on premises y en la nube, garantizando que los datos robados permanezcan inaccesibles sin la clave de cifrado incluso si ocurre una filtración de datos.

Investigaciones recientes indican que hoy en día, la mayoría de las organizaciones emplean una infraestructura criptográfica híbrida a través de soluciones criptográficas basadas en la nube y on premises.²

Las bases de datos suelen almacenar grandes cantidades de información confidencial, desde datos personales hasta registros financieros. El cifrado simétrico puede ayudar a cifrar estas bases de datos o campos específicos dentro de ellas, como los números de tarjetas de crédito y de la seguridad social.

Al cifrar los datos en reposo, las organizaciones pueden garantizar que los datos confidenciales permanezcan protegidos incluso si la base de datos se ve comprometida.

Los algoritmos de cifrado simétrico no solo garantizan la confidencialidad, sino también la integridad de los datos, un factor crítico en las transacciones financieras. Al generar códigos de autenticación de mensajes (MAC), las claves simétricas pueden ayudar a confirmar que nadie alteró los datos durante la transmisión.

Las funciones hash también desempeñan un papel importante en la verificación de la integridad de los datos. Las funciones hash generan un valor hash de tamaño fijo a partir de los datos de entrada. Estas "huellas digitales" se pueden comparar antes y luego de la transmisión. Si el hash cambió, eso significa que alguien lo manipuló.

Las organizaciones suelen emplear el cifrado simétrico para proteger los archivos almacenados en sistemas locales, unidades compartidas y medios extraíbles.

El cifrado de archivos garantiza que los datos confidenciales permanezcan confidenciales, incluso si los medios de almacenamiento se pierden o son robados. El cifrado de todo el disco amplía esta protección cifrando dispositivos de almacenamiento completos, lo que protege los datos confidenciales en puntos finales como computadoras portátiles y dispositivos móviles.

Para una mayor protección de los datos confidenciales, especialmente cuando el cifrado basado en software puede no ser suficiente, las organizaciones suelen utilizar componentes de hardware especializados, como chips o módulos de cifrado. Estas soluciones de cifrado basadas en hardware se encuentran habitualmente en teléfonos inteligentes, computadoras portátiles y dispositivos de almacenamiento.

Muchas industrias y jurisdicciones tienen requisitos regulatorios que obligan a las organizaciones a usar ciertos tipos de cifrado para proteger los datos confidenciales. El cumplimiento de estas regulaciones ayuda a las organizaciones a evitar sanciones legales y a mantener la confianza del cliente.

Los Estándares Federales de Procesamiento de la Información (FIPS) son un conjunto de estándares desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. para sistemas informáticos utilizados por agencias de gobierno y contratistas no militares de EE. UU. Se enfocan en garantizar la seguridad e interoperabilidad de datos y procesos criptográficos.

Los algoritmos de clave simétrica más conocidos son:

• Estándar de cifrado de datos (DES) y Triple DES (3DES)

• Estándar de cifrado avanzado (AES)
  

• Twofish

• Blowfish

IBM® introdujo DES por primera vez en la década de 1970 como el algoritmo de cifrado estándar, una función que desempeñó durante muchos años. Sin embargo, su longitud de clave relativamente corta (56 bits) la hizo vulnerable a ataques de fuerza bruta, donde los actores de amenazas prueban diferentes claves hasta que una funcione.

Triple DES, desarrollado como una mejora, aplica el algoritmo DES tres veces a cada bloque de datos, lo que aumenta significativamente el tamaño de la clave y la seguridad general.

Con el tiempo, algoritmos simétricos más seguros reemplazaron tanto a DES como a Triple DES.

AES se considera el estándar de oro de los algoritmos de cifrado simétrico. Es comúnmente utilizado por organizaciones y gobiernos de todo el mundo, incluido el gobierno de Estados Unidos. AES ofrece una amplia seguridad con longitudes de clave de 128, 192 o 256 bits. Las longitudes de clave más largas son más resistentes al agrietamiento.

AES-256, que utiliza una clave de 256 bits, es conocido por su alto nivel de seguridad y se utiliza a menudo en situaciones muy sensibles. AES también es muy eficaz tanto en las implementaciones de software como de hardware, por lo que es adecuado para una amplia gama de aplicaciones.

Twofish es un cifrado por bloques de clave simétrica conocido por su rapidez y seguridad. Opera en bloques de datos con un tamaño de bloque de 128 bits y admite longitudes de clave de 128, 192 o 256 bits.

Twofish es de código abierto y resistente al criptoanálisis, lo que lo convierte en una opción confiable para aplicaciones seguras. Su flexibilidad y rendimiento se adaptan a implementaciones de software y hardware, particularmente donde la seguridad y el rendimiento son críticos.

Blowfish es un cifrado de bloque de clave simétrica diseñado para proporcionar una buena tasa de cifrado en el software y un cifrado de datos seguro. Admite longitudes de clave de 32 bits a 448 bits, lo que lo hace flexible y adecuado para diversas aplicaciones.

Blowfish es conocido por su velocidad y eficacia, y es popular para el cifrado de software. También es muy popular en aplicaciones que necesitan un algoritmo de cifrado simple y rápido, aunque algoritmos más nuevos como Twofish y AES lo reemplazaron en gran medida para la mayoría de los casos de uso.