¡Pide presupuesto en 2 min! ✓
CiberseguridadGlosarioInternet

Cifrado de datos. Qué es y cómo hacerlo

13 Mins read

En el mundo tecnológico en el que vivimos, casi toda nuestra información se encuentra en medios informáticos.

Y es necesario que la protejamos.

A continuación te vamos a dar las claves de cómo puedes proteger tu información crítica y de tus clientes ante accesos no autorizados: El cifrado de datos.

¿Qué es cifrar una información?

En primer lugar debemos dejar claro que es cifrar o encriptar.

La encriptación o cifrado es un proceso mediante el cual volvemos ilegible una determinada información.

La información una vez cifrada solo podrá verse si se aplica una clave previamente que debe conocer tanto el que cifra como el que descifra.

Es decir, solo se tendrá acceso a la la información si se utiliza una contraseña o código.

Tipos de cifrado

La normativa, tanto española como europea, permite los siguientes tipos de cifrado:

Cifrado convencional

Sistema profesional de cifrado robusto.

Alternativa al cifrado convencional

Cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros, como por ejemplo:

  •  Esteganografía: a través de este sistema, el emisor oculta mensajes a nivel de aplicación para su envío en forma de imágenes por medio de diferentes vías electrónicas, incluida la satelital.
  •  Spread-spectrum: el sistema de transmisión mediante espectro ensanchado permite el envío de mensajes ocultos para el caso inalámbrico a nivel físico.

Triple DES

El algoritmo de cifrado de datos triple o Triple-DES utiliza cifrado simétrico. Es una versión avanzada del cifrado de bloque DES, que solía tener una clave de 56 bits. Sin embargo, y como su nombre lo indica, TDES encripta los datos utilizando una clave de 56 bits tres veces, lo que la convierte en una clave de 168 bits.

Funciona en tres fases al cifrar los datos:

  • encriptar
  • descifrar
  • volver a cifrar

Asimismo, las fases de descifrado serían:

  • descifrar
  • encriptar
  • descifrar de nuevo

Como encripta tres veces, es mucho más lento en comparación con otros tipos de encriptación. No solo eso, sino que también encripta los datos en longitudes de bloque más cortas, por lo tanto, es bastante fácil descifrar los datos durante todo el proceso de encriptación. Por lo tanto, existe un mayor riesgo de robo de datos.

Sin embargo, antes de que surgieran otros tipos de cifrados modificados, era el algoritmo más recomendado y ampliamente adoptado.

Aunque está desapareciendo, muchas organizaciones financieras y comerciales todavía usan este tipo de cifrado para proteger sus datos.

AES

El Estándar de cifrado avanzado (AES) también es cifrado simétrico basado en el algoritmo Rijndael. Utiliza el cifrado de bloque y cifra un bloque de tamaño fijo a la vez. Funciona en 128 bits o 192 bits, pero puede extenderse hasta la longitud de la clave de 256 bits.

Para encriptar cada bit, hay diferentes rondas. Por ejemplo, 128 bits tendrá 10 rondas, 192 bits tendrá 12 rondas y así sucesivamente.

Es considerado como uno de los mejores algoritmos de cifrado porque fue desarrollado por el Instituto Nacional de Estándares y Tecnología de EE. UU. También es uno de los tipos de cifrados seguros, ya que funciona en una sola clave privada.

RSA

El cifrado Rivest – Shamir – Adleman (RSA) es un cifrado asimétrico que funciona en dos claves: una clave pública para el cifrado y una clave privada para el descifrado. Considerado como el mejor algoritmo de cifrado, funciona en 1024 bits y puede extenderse hasta una longitud de clave de 2048 bits. Esto significa que cuanto mayor es el tamaño de la clave, más lento se vuelve el proceso de cifrado.

Debido a un tamaño de clave más grande, se sabe que es uno de los tipos de cifrado más fuertes.

También se considera un estándar de cifrado para los datos compartidos en Internet porque es el algoritmo de cifrado más seguro hasta ahora. En comparación con otros tipos de cifrado, RSA le da a los piratas informáticos un momento bastante difícil debido a la longitud de las claves con las que trabaja.

Blowfish

Otro algoritmo de cifrado diseñado para reemplazar DES, Blowfish es un cifrado de bloque simétrico, que funciona en una longitud de clave variable de 32 bits a 448 bits. Dado que es un cifrado de bloque, por lo tanto, divide los datos o un mensaje en bloques fijos de 64 bits al cifrar y descifrar.

Fue diseñado para funcionar rápidamente y está disponible como software gratuito de encriptación pública para cualquier usuario. No está patentado ni con licencia.

Al ser una plataforma de cifrado pública, se ha probado varias veces por su velocidad, eficiencia y seguridad. Muchas organizaciones afirman que nadie lo ha pirateado con éxito. Por lo tanto, Blowfish se ha convertido en una opción para los vendedores y el comercio electrónico, principalmente ayudándoles a asegurar pagos, contraseñas y otra información confidencial.

Twofish

También un cifrado de bloque simétrico, Twofish es una versión avanzada del cifrado Blowfish. Tiene un tamaño de bloque de 128 bits y puede extenderse a la longitud de la clave de 256 bits. Al igual que otros cifrados simétricos, también divide los datos en bloques de longitud fija. Sin embargo, funciona en 16 rondas independientemente de cuán grandes sean los datos.

Entre los diversos tipos de cifrado, este es flexible. Le permite elegir que el proceso de cifrado sea rápido, mientras que la configuración de la clave sea lenta y viceversa.

Como no tiene licencia y es bastante rápido, tienes control total sobre él en comparación con otros tipos de cifrado. Si AES no se hubiera convertido en el mejor algoritmo de cifrado, Twofish habría sido considerado como el mejor.

FPE

El cifrado de preservación de formato (FPE) es un método de cifrado bastante nuevo. Cifra tus datos en un formato similar. Por ejemplo, si ha encriptado tu contraseña con 6 letras, 5 números y 4 letras especiales, entonces su salida será una combinación diferente de un formato similar.

En otras palabras, si utilizas esta técnica de cifrado, conservarás el formato de tu texto sin formato que, después del cifrado, la estructura de sus datos seguirá siendo la misma.

Es ampliamente utilizado en sistemas de bases de datos financieras , sistemas bancarios, minoristas, etc.

Cifrado analógico de voz

Consiste en alterar alguna de las características de la señal eléctrica resultante de la voz. Por ejemplo, se pueden invertir las frecuencias de dicha señal, o dividir la banda de frecuencias y permutar las subbandas entre sí, o realizar una multiplexación en el tiempo de la misma.

Cifrado autenticado

Técnica criptográfica usada para proteger la confidencialidad y garantizar el origen y la integridad de los datos, y que consta de tres procesos componentes: un algoritmo de cifrado, un algoritmo de descifrado y un método para generar claves.

Cifrado autosíncrono

Cifrado de flujo que usa una serie cifrante tal que cada uno de sus símbolos se obtiene a partir de un cierto número de símbolos previos del texto en claro.

Cifrado de archivos

Técnica de software o hardware para cifrar todo el contenido de archivos específicos.

Cifrado de columnas en bases de datos

Tecnología usada para cifrar el contenido de una columna específica de una base de datos y no todo el contenido de toda la base de datos.

Cifrado de disco

Sistema que se utiliza para cifrar todos los datos almacenados en un dispositivo (por ejemplo, un disco duro o una unidad flash).

Cifrado de flujo

Algoritmo de cifrado que actúa sobre el texto en claro símbolo a símbolo (sea éste un bit o un carácter), por contraste con el modo de operar del cifrado de bloque.

Normalmente esta operación es un simple o-exclusivo entre un símbolo en claro y uno de la clave (serie cifrante), en cuyo caso este cifrado se llama cifrado Vernam.

El cifrado de flujo se denomina periódico si los símbolos de la serie cifrante se repiten tras un cierto número de ellos.

Cifrado del enlace

Protección paso a paso de los datos que fluyen entre dos puntos en una red proporcionada cifrando los datos por separado en cada enlace de red, es decir, cifrando los datos cuando salen de un relé de host o subred y descifrándolos cuando lleguen al próximo host o retransmisión. Cada enlace puede usar una clave diferente o incluso un algoritmo diferente.

Cifrado de texto con auto-clave

Método de cifrado en serie en el que se usa como clave de cifrado el texto cifrado obtenido anteriormente.

Cifrado en bloque

Procedimiento de cifrado en el que la serie de caracteres del texto claro se divide en bloques de una determinada longitud, cada uno de los cuales se transforma con un bloque de caracteres de la serie cifrante para obtener el texto cifrado.

Si existe solape entre los bloques se denomina cifrado en bloques encadenados, que puede ser en modalidad criptograma (el bloque lo forman el texto claro y parte del bloque cifrado anterior), modalidad mensaje claro (el bloque lo forman el texto claro y parte del bloque de texto claro anterior) o mixto (mezcla de los dos sistemas anteriores).

Si no existe solape de bloques se denomina cifrado en bloque puro.

Cifrado extremo a extremo

Cifrado de datos en el extremo origen de una información correspondiéndose con el descifrado de los mismos en el extremo destinatario, unidos a través de un circuito.

Cifrado irreversible

Transformación irreversible de texto sin formato a texto cifrado, de modo que el texto sin formato no pueda recuperarse del texto cifrado por otros procedimientos que no sean exhaustivos, incluso si se conoce la clave criptográfica.

Cifrado masivo

Cifrado de múltiples canales agregándolos en una sola ruta de transferencia y luego encriptando esa ruta.

Cifrado reversible

Aquél basado en un algoritmo invertible en algún sentido. En ocasiones, caso del cifrado asimétrico, el algoritmo inverso se obtiene con el concurso de un parámetro, clave privada, distinto del empleado para el algoritmo directo, clave pública. En el cifrado simétrico, el mismo parámetro, denominado clave secreta, se emplea para el algoritmo directo y el inverso.

Cifrado Vernam

Cifrado de flujo que usa una clave constituida por una sucesión de símbolos (bits o caracteres) llamada serie cifrante, operando o-exclusivo cada símbolo de ésta con el correspondiente del texto en claro.

Debido a la definición de la función o exclusivo, el descifrado se realiza, igualmente, operando con dicha función cada bit de la misma serie cifrante con el correspondiente del texto cifrado. Si la serie cifrante no se repite, es aleatoria, y de longitud igual, al menos, al texto a cifrar éste cifrado alcanza el secreto perfecto. Además, es el único que verifica tal condición.

Ámbitos de cifrado

El cifrado de los datos personales puede darse en dos ámbitos:

Medio de almacenamiento

Aquí cifraremos todo el dispositivo de almacenamiento de la información (disco duro), por lo tanto, sin conocer la clave de descifrado no podremos acceder a ninguna información contenida en él.

Carpetas o archivos

En este caso solo protegemos parte de la información almacenada, ya sea en la nube o en el disco duro.

Solo serán ilegibles las carpetas o archivos que elijamos para el cifrado, el resto se podrá acceder normalmente.

¿Obliga la Ley de Protección de Datos a cifrar la información?

La nueva normativa indica que se debe analizar el riesgo al que estarán sometidos los datos que se vayan a tratar, de manera que se puedan implementar las medidas de seguridad adecuadas, según el estado de la técnica.

Como vamos a observar, en la nueva normativa se abre el abanico para que sea obligatoria la implementación de determinados tipos de cifrado a todo tipo de dato o tratamiento, sin distinción, en función del riesgo que exista para estos y para sus titulares.

No obstante si que encontraremos diferentes normas que obligan al cifrado de ciertas actividades como:

  • hospitales
  • clínicas psicológicas
  • despachos de abogados

Normativas

LOPD

Las empresas que deben cifrar datos, según la Ley Orgánica de Protección de Datos (LOPDGDD) son aquellas que deben implantar medidas de nivel alto por razón de los datos que tratan o el tratamiento que realizan con ellos.

Es decir, se deben cifrar:

  • las que traten datos sensibles o especialmente protegidos.
  • las que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • si tratan datos derivados de actos de violencia de género.

Se exige que también se cifre:

  • cuando se transmita a través de redes públicas o inalámbricas los datos a los que nos hemos referido en el anterior párrafo
  • los dispositivos portátiles cuando se encuentren fuera de las instalaciones y contengan este tipo de datos

RGPD

En la nueva normativa europea ya no se obliga solo a determinados datos a ser cifrados.

Por supuesto que los datos sensibles deben ser cifrados, pero no solo estos, si no que debemos cifrarlos en función del riesgo que entrañe para el afectado el descubrimiento de los datos personales por otra persona o empresa no autorizada.

Cifrado Obligatorio

Por lo tanto si nos atenemos a lo que nos dice el RGPD será obligatorio cifrar los datos de carácter personal en los siguientes casos:

Cuando nos lo imponga el Estado

En nuestro país esta imposición la encontramos en la obligación que tenemos por la LOPD de cifrar los datos de nivel alto como:

  • origen étnico o racial
  • opiniones políticas
  • convicciones religiosas o filosóficas
  • afiliación sindical
  • datos de salud y vidas sexual
Si estamos adheridos a un Código de conducta

Si nuestra entidad esta adherida a un Código Tipo que regula las medidas de seguridad en nuestro sector de actividad, y este Código exige el cifrado, deberemos hacerlo si no queremos ser sancionados

La Evaluación de Impacto en la Protección de Datos nos lo ha recomendado

Determinadas empresas, por el tipo de tratamiento que realizan, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal.

Estas empresas son, entre otras, las que tratan datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.

Tenemos que suprimir o reducir un riesgo

Debe aplicarse la medida de cifrado si su implantación mitiga un riesgo cierto.

Cifrado voluntario

Como hemos comentado, cifrado es una de las medidas más adecuadas para mitigar los riesgos inherentes al tratamiento de datos de carácter personal de manera que se pueda mantener la seguridad.

Por lo que, aunque por el tipo de datos y los riesgos que detectemos no estemos obligados a cifrar los datos, nuestra recomendación es que lo hagamos siempre que:

  • no sea demasiado gravoso
  • queramos ser proactivos para la seguridad
  • deseemos ser un ejemplo de privacidad para otras empresas del sector
¿Por que cifrar es conveniente?

Aquellas empresas que hayan implementado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, están exentos de notificar la brecha de seguridad a los afectados, ya que al estar protegida la información no hay peligro para los derechos de los usuarios.

En cambio, aquellas empresas que no cifren están compelidas a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.

LPBC

La Ley de Prevención de Blanqueo de Capitales, exige a sus sujetos obligados (es decir, las empresas que la tiene que cumplir) que cuando creen el fichero relativo al tratamiento de datos personales conforme a esta ley se apliquen las medidas de nivel alto (de la LOPD) y por tanto los datos deben de cifrarse.

Art 32 LPBC “serán de aplicación a estos ficheros las medidas de seguridad de nivel alto, que exigen el cifrado de datos”.

LGT

No existe una obligación clara para el cifrado de datos personales en la Ley General de Telecomunicaciones.

No obstante se ha incluido en este listado debido a que todas las compañías del sector cifran los datos de sus clientes para evitar tener que informarles sobre las brechas de seguridad que sufren en caso de que los atacantes hayan tenido acceso a los archivos encriptados.

CDAE

El Código Deontológico de la Abogacía Española, en su artículo 4, “obliga” a no defraudar la confianza de los clientes e instaura el secreto profesional como eje de la actividad jurídica.

El carácter de secreto y confidencial de la información exige su cifrado con el objetivo de convertirla en inteligible e inaccesible a terceros.

Por lo tanto, se entiende que deben aplicar medidas de nivel alto, para el tratamiento de datos personales de los clientes, de ahí la obligación de cifrar la información.

Gestión en nube

El empleo de servidores en la nube para la gestión de casos, para abogados y procuradores, está permitido por la normativa siempre que se respeten y se cumplan las medidas de seguridad de nivel alto.

Una de las principales herramientas de gestión en nube, que cumple con todos los parámetros y de la cual ya hemos hablando es Google G Suite.

LAP

En relación a los datos tratados por profesionales de la salud, la Ley de Autonomía del Paciente, todos los datos personales deben ser cifrados ya que:

  • en su artículo 7.1 promulga que “Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley”
  • al tratarse de datos de salud se le deben de aplicar medidas de nivel alto

Administraciones Públicas

En el sector público será obligatorio el cifrado de datos en determinadas actividades para asegurar:

  • el acceso
  • integridad
  • disponibilidad
  • autenticidad
  • confidencialidad
  • trazabilidad
  • conservación de los datos

En los servicios utilizados mediante medios electrónicos que gestionen en el ejercicio de sus competencias.

La normativa que lo exige es aquella que regula al Esquema Nacional de Seguridad, el RDL 3/2010 de 8 de enero.

Ejemplos concretos

Por lo tanto, una vez analizada toda la normativa se recomienda que los siguientes tipos de entidades cifren la información:

  • despachos de abogados
  • hospitales
  • clínicas
  • administraciones públicas
  • proveedores de servicios de telecomunicaciones
  • entidades de crédito
  • auditores de cuentas
  • notarios y registradores de la propiedad

Herramientas y guías de ayuda

¿No sabes como cifrar los datos?

A continuación te proponemos una serie de guías en las cuales encontraras todo lo necesario para cifrar los datos con seguridad

Cómo cifrar una carpeta en Windows

Cifrar es más sencillo de lo que se piensa.

Aquí encontraras una guía de cómo cifrar una carpeta en Windows y proteger los datos de carácter personal almacenados.

No todo vale. Cifrar los datos conforme a la AEPD

Cifrar la información no se puede hacer de cualquier forma.

Solo valdrá aquella forma en la que se garantice que la información no va a poder ser descifrada por terceros no autorizados.

Existen numerosas técnicas de cifrado, algunas son adecuadas y otras no.

La AEPD en su informe 494/2009 establece que para que el sistema de cifrado sea legal es necesario que dicho sistema “no esté comprometido, es decir, que no se conozca forma de romperlo”.

En este sentido, dice la AEPD que el cifrado de “archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades “.

Por tanto, no sería legal cifrar archivos utilizando las herramientas de proteger mediante contraseña los documentos PDF, Zip u otros análogos.

Aplicaciones recomendadas

No obstante, aquí te dejamos una lista con las aplicaciones más recomendadas por profesionales del sector, con las que podrás crifrar tus datos de forma segura:

Enlaces

 

Espero que a partir de ahora te sea más sencillo descubrir si tienes que cifrar tu información y como actuar en ese caso. Pero si necesitas que uno de nuestros abogados te ayude en el proceso, ¡ llámanos al  91 489 64 19 !

Related posts
Ciberseguridad

Ingeniería social: Riesgos para los datos del individuo

11 Mins read
El concepto de ingeniería social con respecto a la seguridad de la información se refiere directamente al robo de datos mediante la…
Glosario

¿Qué es la economía de la información?

8 Mins read
Aunque los economistas a menudo hablan en términos que parecen impenetrables, lo que estudian es muy simple y básico. La “economía” es…
Glosario

¿En qué consiste el concepto de información asimétrica?

8 Mins read
Lo ideal en cualquier mercado es que tanto el comprador como el vendedor tengan la misma información. De esa forma, con el…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.