Con cada vez más y más información viajando por Internet, mucha de ella privada o confidencial, para poder evitar que terceros no autorizados que puedan interceptarla tengan acceso a ella, es necesario encriptarla. En las siguientes líneas explicaremos qué es la encriptación de datos y cómo se lleva a cabo.
En este artículo hablamos de:
- ¿Qué es la encriptación de datos?
- ¿Para qué sirve encriptar datos?
- ¿Cómo funciona la encriptación de datos?
- ¿Cómo se lleva a cabo la encriptación de datos?
- ¿Cuándo hay que encriptar los datos?
- Tipos de encriptación de datos
- ¿Puede ser obligatorio la encriptación de determinados datos?
- ¿Qué recomienda la AEPD respecto a la encriptación de los datos?
¿Qué es la encriptación de datos?
La encriptación de datos es el proceso mediante el cual se hace ilegible una información, para lo que se alterará el contenido de la misma, es decir, el orden de los datos; esto se logra aplicando un algoritmo matemático para alterar los bits que forman las cadenas de datos.
Actualmente, cuando hablamos de encriptación, nos referimos esencialmente a la encriptación de información en soporte digital o electrónico, como pueden ser correos electrónicos, archivos, documentos de Word, discos externos, páginas web, etc. Si bien la encriptación es algo que viene existiendo desde la época romana, ya que la primera forma de cifrado conocida es el llamado cifrado César.
En realidad, la encriptación es cualquier proceso (con unas normas que conocerán el emisor y el receptor) que altere la información que se quiere proteger; en un texto escrito, consistirá en cambiar las letras por otras siguiendo un patrón determinado. Mientras que en la información digital, como hemos dicho, se trata de alterar los bits.
Por lo tanto, el encriptamiento de datos consiste en recurrir a un algoritmo matemático para alterar el orden de los bits que conforman la información, para lo que se generan una o varias claves (dependiendo del tipo de encriptación usado), que son las que determinan cómo se desordenan los bits y que se usarán después para poder volver a ordenarlos y tener acceso a la información en su forma original.
¿Encriptar y cifrar es lo mismo?
Sí, encriptar y cifrar es lo mismo, son dos términos sinónimos, que podemos usar indistintamente, aunque sería más correcto usar «cifrar», que es la palabra en castellano para referirnos a esta técnica. Entonces, ¿por qué usamos encriptar?
El término encriptar es una traducción literal del inglés «encrypt», que actualmente, debido a su amplio uso, ha sido aceptado por el Diccionario de la RAE y por ello, es fácil encontrarla en artículos e informaciones como la que nos ocupa.
¿Para qué sirve encriptar datos?
Recurrimos al encriptado de datos para proteger la información de miradas indiscretas, tanto la que viaja por internet como aquella que guardamos en discos duros o memorias externas.
Así mismo, la encriptación de datos también sirve para garantizar que estos no han sido alterados o modificados, así como para acreditar el origen de la información.
Es decir, que encriptar datos sirve para garantizar y reforzar la confidencialidad de la información.
¿Cómo funciona la encriptación de datos?
Como decíamos más arriba, la encriptación de datos se lleva a cabo aplicando un algoritmo matemático para modificar el contenido de la información que se quiere cifrar; dependiendo de las características de la encriptación y el sistema de cifrado usado, se emplearán diferentes algoritmos.
Al aplicar el algoritmo elegido, se genera una clave o claves que determinan la manera en la que se «desordena» la información al cifrarse y que es necesaria para poder desencriptarla por parte del receptor, es decir, volver a ponerla en orden.
Cuanto más larga sea la clave, más segura será la encriptación. Esta «longitud» se mide en bits y las habituales son de 128 y 256 bits para claves privadas, con longitudes de hasta 2048 bits para claves públicas.
¿Cómo se lleva a cabo la encriptación de datos?
Actualmente, no hace falta tener grandes conocimientos en informática o cifrado para saber cómo encriptar una carpeta, un archivo, un email o un disco duro, puesto que existen diferentes programas de cifrado que llevan a cabo esta labor de forma automática.
Estos programas, dependiendo del sistema de encriptado que uses, crean claves con una longitud determinada, como decíamos más arriba.
Una vez encriptada la información, se generará la clave o claves, que deberemos guardar en un lugar seguro (es recomendable protegerlas con una contraseña, si es posible, y hacer una copia de seguridad).
¿Cuándo hay que encriptar los datos?
Hay que encriptar los datos siempre que queramos mantener segura y confidencial una información o unos datos o cuando exista un mandato legal para hacerlo (como hemos mencionado más arriba).
Es recomendable encriptar cualquier tipo de información que sea sensible y corra el riesgo de ser interceptada por terceros, puesto que aunque pudieran hacerse con ella, al no tener la clave de cifrado, es muy poco probable que logren acceder al contenido de la información.
La encriptación se emplea tanto en el ámbito privado como el público e incluso hay leyes que obligan a encriptar la información, como veremos más adelante. Actualmente, prácticamente la mayoría de la información en soporte electrónico o digital se puede encriptar y, en muchos casos, se debe encriptar para garantizar la confidencialidad. Por ello, podemos desde encriptar un USB hasta una carpeta o documento concreto almacenado en nuestro ordenador. Lo fundamental es no perder nunca la clave para su visualización.
Tipos de encriptación de datos
En general, podemos hablar de tres tipos de encriptación de datos en los que agrupar los diferentes sistemas de encriptación que se usan actualmente, dependiendo de los algoritmos de encriptación de datos utilizados en el proceso:
- Encriptación simétrica: Se emplea una sola clave secreta de cifrado, de tal manera que emisor y receptor comparten dicha clave. Este proceso se basa en algoritmos sencillos, como pueden ser los de sustitución o permutación. Aunque en la actualidad se sigue empleando, no es el más seguro ni fiable.
- Encriptación asimétrica: También llamada criptografía asimétrica, en ella se emplean dos claves de cifrado diferentes, una privada y otra pública. La clave pública es conocida por receptor y emisor, mientras que la clave privada es secreta, teniendo que cada parte una. La clave pública se emplea para cifrar la información y la clave secreta para descifrarla. Esta técnica se vuelve aún más segura, cuando se incluye la autenticación de las partes.
- Encriptación híbrida: Esta técnica de cifrado combina las dos anteriores, utilizando la encriptación asimétrica para transmitir la clave simétrica por un canal que no esté protegido.
En nuestro artículo sobre cifrado de datos personales podéis encontrar diferentes sistemas de cifrado algo más detallados.
¿Puede ser obligatorio la encriptación de determinados datos?
El RGPD y la LOPDGDD obligan a encriptar los datos personales cuando estos son de categorías especiales (art. 9 del RGPD) o cuando el informe de la evaluación de impacto de un tratamiento de datos determina un riesgo elevado para los derechos y libertades de los interesados.
Así mismo, también hay otras leyes que obligan a encriptar los datos cuando estos son datos personales:
- Ley de Prevención de Blanqueo de Capitales
- Ley de Autonomía del Paciente
- El Esquema Nacional de Seguridad
¿Qué recomienda la AEPD respecto a la encriptación de los datos?
La AEPD (Agencia Española de Protección de Datos) recomienda utilizar sistemas de encriptación de datos que garanticen que la información se cifra realmente y que no es accesible sin las correspondientes claves de cifrado.
Por lo tanto, y como ya recogió en su informe 0494/2009, no se considerarán métodos de cifrado válidos la compresión de archivos protegida por contraseña o los sistemas de claves de los PDF, puesto que son sistemas que han presentado vulnerabilidades.
Así mismo, la AEPD recuerda que encriptar los datos no es lo mismo que anonimizarlos, puesto que aunque se hagan ilegibles sin las correspondientes claves, no se elimina la naturaleza de dato personal, es decir, quienes sí tienen acceso a esos datos (cuentan con la clave de cifrado), siguen pudiendo usarlos para identificar a los interesados.