¿Cómo elegir y gestionar una clave de cifrado?
ABC del cifrado Cultura tecnológica
Proteja sus datos con claves adecuadas y una gestión segura
Las claves de cifrado desempeñan un papel crucial en la seguridad de los datos. Una clave bien elegida y correctamente gestionada protege la información sensible de accesos no autorizados y de riesgos. Por eso es fundamental conocer los distintos tipos de clave y los criterios que hay que tener en cuenta a la hora de elegir la que mejor se adapte a las necesidades de la empresa.
Criterios para elegir una clave de cifrado robusta
La clave de cifrado actúa como un candado para proteger sus datos. Una clave robusta garantiza que solo las personas autorizadas puedan acceder a su información, lo que reduce el riesgo de fuga o robo de datos.
La longitud de una clave determina el número de combinaciones posibles para adivinarla. Una clave de 256 bits, por ejemplo, ofrece mucha más protección que una de 128 bits, porque es exponencialmente más difícil de descifrar.
La elección del algoritmo depende del contexto de uso. AES es ideal para el cifrado de datos a gran escala, mientras que RSA o ECC son preferibles para los intercambios seguros.
Una clave débil o mal configurada puede ser fácilmente comprometida por atacantes que utilicen la fuerza bruta, con graves consecuencias: pérdidas financieras, daños a la reputación de la empresa, repercusiones legales (RGPD), etc.
Nuevas claves «poscuánticas» para evitar el apocalipsis
La seguridad de los intercambios se basa actualmente en la criptografía de clave pública, cuya seguridad depende de la imposibilidad actual de resolver determinados problemas matemáticos complejos.
Sin embargo, con los avances de los ordenadores cuánticos en los últimos años, existe un riesgo no desdeñable, denominado «apocalipsis cuántico», de que estas máquinas descifren las claves de seguridad existentes (en particular, las claves RSA), lo que comprometería, de forma sistémica, la seguridad de todas nuestras comunicaciones y transacciones financieras.
Para anticiparse a tal eventualidad, la criptografía «poscuántica» implica el uso de nuevas claves. Basadas en problemas matemáticos que los ordenadores cuánticos no pueden resolver, las claves poscuánticas son una solución a la amenaza cuántica.
Actualmente hay cuatro algoritmos en los que se basan estas nuevas claves. Fueron publicadas por el organismo americano NIST (Instituto Nacional de Normas y Tecnología.
Sus nombres son: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ y FALCON. Aparte de Sphincs+, que se basa en árboles hash, los otros tres se basan en problemas difíciles de resolver mediante redes euclidianas.
Las claves poscuánticas pueden ejecutarse en ordenadores convencionales, lo que facilita su implantación. Las empresas e instituciones necesitan adquirir ya «criptoagilidad», es decir, la capacidad de actualizar muy rápidamente las claves de seguridad utilizadas en sus sistemas. Esto se debe a que una clave poscuántica puede descifrarse potencialmente de la noche a la mañana, y necesitará ser reemplazada rápidamente.
Herramientas de gestión de claves de cifrado
Las claves criptográficas deben protegerse contra la pérdida, la corrupción o el acceso no autorizado.
Existen varias herramientas para afrontar este reto:
- Módulos de seguridad de hardware (HSM – Hardware Security Modules): estos dispositivos de hardware se dedican a la gestión y almacenamiento seguro de claves criptográficas. Permiten generar y almacenar claves en un entorno a prueba de manipulaciones.
- Servicios de gestión de claves en la nube: estos servicios permiten generar claves, rotarlas y, si es necesario, eliminarlas de forma segura.
- Plataformas de gestión de claves empresariales (EKM – Enterprise Key Management): estas soluciones centralizadas gestionan claves criptográficas en entornos complejos, por ejemplo, para varios sistemas (locales, en la nube, híbridos, etc.).
- Herramientas de gestión de claves para PKI (infraestructuras de clave pública): especializadas en la gestión de certificados digitales (los certificados garantizan que las claves son legítimas y están asociadas a una entidad de confianza) y claves públicas/privadas, automatizan la gestión de certificados digitales y la seguridad de las comunicaciones y la autenticación.
¿Cómo se renuevan las claves y se gestionan los compromisos?
Para evitar los riesgos asociados al uso prolongado de una clave es aconsejable establecer políticas de rotación periódica, por ejemplo, cada seis o doce meses, en función de las normas de seguridad del sector.
En caso de riesgo probado de compromiso, la clave comprometida debe ser revocada inmediatamente para evitar su uso indebido. Si está asociado a un certificado digital, hay que ponerse en contacto con la autoridad de certificación para que también revoque el certificado y lo comunique a través de una lista, informando al mismo tiempo a las partes afectadas.
A continuación, hay que generar un nuevo par de claves en un entorno seguro y protegerlo eficazmente mediante soluciones como un HSM (Hardware Security Module) o un KMS (Key Management Service). Por último, hay que sustituir la clave comprometida en todos los sistemas afectados, actualizar los certificados, renegociar las conexiones seguras y volver a cifrar los datos sensibles si es necesario.
También es vital mantenerse al día de la evolución de las normas de seguridad, que evolucionan constantemente en función de las nuevas tecnologías y la aparición de nuevas amenazas. Mantenerse al día de las mejores prácticas y algoritmos recomendados garantiza una protección óptima.
La elección y la gestión de las claves de cifrado son esenciales para garantizar la seguridad de los datos. Mediante la adopción de claves robustas, su revocación en cuanto exista un riesgo probado de compromiso y el uso de herramientas de gestión adecuadas, los DSI y los CISO pueden reforzar eficazmente la protección de la información sensible de sus empresas. Frente a las amenazas emergentes, en particular la informática cuántica, anticiparse adoptando claves poscuánticas se está convirtiendo en algo crucial para mantener un alto nivel de seguridad.
