Para que la información que se transmite por Internet o está almacenada en el disco duro de un ordenador o una unidad de memoria externa no pueda ser vista o leída por cualquiera que la intercepte, es necesario que esté encriptada. En este artículo explicaremos qué es y para qué sirve la encriptación de datos.
¿Qué es la encriptación de datos?
La encriptación de datos es un proceso de codificación mediante el cual se altera el contenido de la información haciéndola ilegible, de esta manera se consigue mantener la confidencialidad de la información mientras viaja del emisor al receptor. En el actual mundo digital, lo que se altera son los bits que conforman las cadenas de datos de archivos, documentos, emails, imágenes, etc.
Aunque nos pueda parecer que la encriptación es un procedimiento relacionado con el mundo digital e Internet, puesto que la gran mayoría de datos e información que viajan por la Red lo hacen de manera encriptada, lo cierto es que existe desde mucho antes de que existieran los ordenadores e incluso que la luz eléctrica, ya que desde las primeras civilizaciones se han ido desarrollando formas para proteger el contenido de los mensajes. Una de esas primeras formas es cifrado César, creado por el emperador romano para cifrar los mensajes militares.
En el cifrado César se altera el orden de las letras, sustituyendo cada letra por la que se encuentre tres posiciones más adelante en el alfabeto (aunque el valor de la posición se puede variar).
En la actualidad, si bien existen tipos de encriptación de datos, todos ellos recurren a un algoritmo matemático para modificar el contenido de los datos y generar la clave o claves que se usarán para desencriptarlo.
¿Encriptar y cifrar es lo mismo?
¿Cifrar o encriptar? Es más que probable que os hayáis encontrado con los dos términos alguna vez, de hecho, un poco más arriba nosotros hemos empleado el término «cifrar», por lo tanto, cabe preguntarse si son lo mismo.
Y la respuesta es sí, encriptar y cifrar son sinónimos, si bien «encriptar» es la traducción literal del inglés «encrypt» y, aunque su uso ya está admitido en el Diccionario de la RAE, «cifrar» es la traducción más correcta del término. En cualquier caso, podéis utilizarlos indistintamente.
¿Para qué sirve encriptar datos?
Encriptar archivos, documentos, mensajes, emails, imágenes o cualquier tipo de datos que circulen por la Red sirve para protegerlos de miradas indiscretas, es decir, para garantizar que la información viaja segura y se mantiene confidencial. Además, también puede servir para garantizar que no ha sido alterada o modificada y para acreditar el origen de la misma.
Por ese motivo encontramos tantos ejemplos de encriptación de datos en nuestro día a día, especialmente si usamos ciertas aplicaciones y navegamos por Internet.
Por ejemplo, los mensajes de WhatsApp viajan cifrados de extremo a extremo, lo que quiere decir que ningún actor intermedio, ni siquiera el servidor, tiene acceso al contenido de los mismos. O cuando introducimos información en una página web con certificado HTTPS, esos datos se cifran automáticamente. También tenemos un ejemplo de cifrado en los certificados digitales, que debemos usar para poder acceder a determinados servicios o áreas de usuario de la administración.
Con Windows 10 y otros programas podemos encriptar no solo archivos o documentos, también el disco duro o encriptar un pendrive en el que guardemos información confidencial.
La importancia de la encriptación de datos reside en que es una medida de seguridad para garantizar la confidencialidad de la información, viaje esta por Internet o esté almacenada en un ordenador o unidad de memoria externa.
Además, de acuerdo al RGPD, si la base de datos de nuestra empresa está encriptada y sufrimos una brecha de seguridad que afecte a los datos personales almacenados en ella, no tendremos obligación de notificar dicho incidente de seguridad ni a la AEPD ni a los interesados afectados, puesto que pese a que se haya podido extraer información, esta no será legible para los ciberdelincuentes.
¿Cómo funciona la encriptación de datos?
En la encriptación de datos actual se utiliza un algoritmo matemático para modificar el contenido que se quiere cifrar (dependiendo del sistema de cifrado, se usan diferentes algoritmos), para ello se genera una clave o claves que establecen la forma en que se «desordena la información» cuando se cifra y que después se emplea para descifrarla, es decir, volver a ordenarla.
Cuanto mayor sea la longitud de la clave, que se mide en bits, más seguro resultará el cifrado. Las longitudes habituales son de 128 y 256 bits para las claves privadas y de hasta 2048 bits para las públicas.
Actualmente, existen diferentes programas y sistemas de cifrado que realizan esta labor de forma automática, por lo que cuando los usamos para encriptar cualquier tipo de información, solo debemos preocuparnos de guardar las claves de cifrado en un lugar seguro y, de ser necesario, guardar una copia de seguridad de dichas claves.
Tipos de encriptación de datos
Podemos hablar de tres tipos de encriptación:
- Encriptación simétrica: En este tipo de cifrado, los datos se encriptan usando una única clave secreta de cifrado, de manera que emisor y receptor comparten una copia de esa clave. Los algoritmos utilizados en el cifrado simétrico se basan en operaciones sencillas como sustitución o permutación. Actualmente no es el método de encriptación más seguro e infalible, pero se sigue utilizando. Algunos sistemas de encriptación simétricos son:
- DES (estándar de encriptación de datos)
- Triple DES
- AES (estándar de encriptación avanzado, que sustituyó al DES)
- Blowfish
- Twofish
- Encriptación asimétrica: En este tipo de cifrado se emplean dos claves diferentes, una privada y otra pública, teniendo emisor y receptor un par cada uno. La clave pública debe ser conocida por ambas partes, mientras que la privada es secreta. De esta manera, la clave pública se utiliza para cifrar los mensajes, pero solo la clave secreta puede descifrarlos. Para que el cifrado asimétrico sea completamente seguro, es necesario completarlo con la autenticación de las partes, como hacen, por ejemplo, los certificados digitales. Ejemplo de sistema de encriptación asimétrica es:
- RSA
- Encriptación híbrida: Se trata de un sistema que combina técnicas de cifrado simétrico y de cifrado asimétrico, utilizando este último para transferir la clave simétrica por un canal no protegido. Este tipo de encriptación se usa, por ejemplo en estándares de cifrado como:
- PGP (Pretty Good Privacy)
- GnuPG
- S/MIME
¿Cuándo debemos encriptar los datos?
Debemos encriptar los datos cuando queramos mantener la seguridad y confidencialidad de los mismos o cuando tengamos el mandato legal de hacerlo (puesto que hay leyes que obligan a cifrar determinada información). Si estamos manejando información sensible, secreta o que no queramos que pueda ser interceptada por terceros (por la razón que sea), deberemos encriptar los datos recurriendo a alguno de los métodos de cifrado existentes.
Por lo tanto, siempre que sea necesario garantizar la privacidad de los datos, tendremos que encriptar estos.
¿Obligan el RGPD y la LOPDGDD a encriptar los datos?
Hemos mencionado en el punto anterior que hay leyes que obligan a encriptar determinados datos; en el ámbito de la protección de datos, el RGPD y la LOPDGDD no obligan siempre a recurrir al cifrado como medida de seguridad, pero sí la entiende como una de las medidas de seguridad adecuada para garantizar la privacidad y confidencialidad de la información en el ámbito digital.
¿Cuándo puede ser obligatorio encriptar los datos?
El Reglamento (UE) 2016/679 y la Ley 3/2018, por tanto, obligan a encriptar los datos cuando se trate de datos sensibles, sean datos recabados para fines policiales sin el consentimiento de los interesados, sean datos derivados de casos de violencia de género, cuando así lo imponga una ley o si el resultado de la evaluación de impacto de un tratamiento de datos recomienda hacerlo como medida de seguridad, para reducir o eliminar un riesgo.
Otras leyes que obligan a la encriptación de datos cuando se tratan datos personales son:
- La Ley de Prevención de Blanqueo de Capitales
- La Ley de Autonomía del Paciente
- Real Decreto 3/2010 que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Pública
Recomendaciones de la AEPD para la encriptación de datos
La Agencia Española de Protección de Datos (AEPD) establece como recomendación utilizar sistemas de encriptación de datos que aseguren que la información se cifra realmente y que sin las correspondientes claves de cifrado, no se podrá acceder a ella de ninguna manera (por ejemplo, se puede recurrir a cualquier de los sistemas de cifrado que hemos citado más arriba).
Por ejemplo, y de acuerdo a su informe 0494/2009, utilizar la compresión de archivos protegida por contraseña o los sistemas de claves de los PDF, no es suficiente para considerar que la información está cifrada, puesto que estos sistemas presentan vulnerabilidades que pueden ser explotadas para acceder a la información que contienen.
La Agencia de Protección de Datos también nos recuerda que la encriptación no elimina la naturaleza de dato de carácter personal y, por tanto, los datos encriptados no son datos anonimizados.
Escribe aquí tu comentario