Cifrado en el almacenamiento de datos – Parte 2: cómo usar cifrado simétrico y asimétrico en la práctica

Parte 2 de 3 – Aplicación práctica

En la Parte 1 de esta serie hablamos sobre el contexto, los conceptos básicos de cifrado y dónde aparece en el almacenamiento de datos. Ahora pasamos a la práctica: cómo usar cifrado simétrico y asimétrico en datos en reposo de forma estratégica.

1. Cuándo usar cifrado simétrico en datos en reposo

El cifrado simétrico es la opción natural para proteger grandes volúmenes de datos en el día a día, porque ofrece buena seguridad con un excelente rendimiento. Algunos escenarios típicos:

• Cifrado de discos y volúmenes: servidores de bases de datos, servidores de aplicaciones, estaciones de trabajo con datos sensibles;
• Cifrado transparente de datos en bases de datos (TDE);
• Protección de archivos, informes y copias de seguridad almacenados localmente o en la nube;
• Cifrado de campos específicos en tablas, como documentos personales, datos financieros o secretos de negocio.

En prácticamente todos estos casos, algoritmos como AES con claves de 128 o 256 bits, en modos modernos (como GCM), se consideran estándar de mercado.

2. Ejemplo conceptual: cifrado de campos sensibles en la base de datos

Imagina una tabla de clientes con los siguientes campos:

• id
• nombre
• email
• dni (u otro identificador nacional)
• telefono

Tu objetivo es reducir el impacto de una brecha protegiendo el dni y el telefono. Un enfoque común sería:

1. Clave dedicada: la aplicación obtiene de un gestor de secretos una clave simétrica específica para datos personales;
2. Antes de guardar:
   • recibe el DNI en texto claro;
   • cifra el valor con la clave simétrica usando un modo autenticado (por ejemplo, AES-GCM);
   • almacena el resultado cifrado (por ejemplo, codificado en Base64) en el campo dni;
3. En la lectura:
   • recupera el valor cifrado de la base de datos;
   • obtiene la clave simétrica con los permisos adecuados;
   • descifra el campo en la aplicación y solo entonces muestra el dato a usuarios autorizados.

De este modo, el DNI aparece en texto claro solo durante unos instantes en la memoria del backend, reduciendo la exposición y el impacto en caso de acceso indebido a la base de datos.

2.1 Puntos de atención en el cifrado simétrico

• No reinventar la rueda: utiliza bibliotecas consolidadas en lugar de intentar crear tu propio algoritmo;
• IV (vectores de inicialización): evita reutilizar IV en modos que exigen unicidad (como GCM y CTR);
• Planificar las consultas: si necesitas buscar registros por DNI, por ejemplo, el cifrado directo puede dificultar la indexación y la búsqueda. Una alternativa es combinar hash + sal para búsquedas exactas y cifrado para el almacenamiento;
• Gestión de claves: la seguridad de la solución depende directamente de cómo se guarda y utiliza la clave; este será el tema central de la Parte 3.

3. El papel del cifrado asimétrico en el almacenamiento de datos

El cifrado asimétrico no se utiliza, en general, para cifrar grandes volúmenes de datos en reposo porque es más costoso computacionalmente. Pero es fundamental en dos funciones estratégicas:

3.1 Protección de claves simétricas (envelope encryption)

Un patrón ampliamente adoptado es el de envelope encryption:

1. Los datos se cifran con una data key (clave simétrica de datos);
2. Esa data key se cifra a su vez con la clave pública de un par asimétrico;
3. La clave privada correspondiente se mantiene fuertemente protegida, por ejemplo en un KMS (Key Management Service) o HSM;
4. Cuando la aplicación necesita acceder a los datos:
   • envía la data key cifrada al servicio seguro;
   • el servicio descifra la data key usando la clave privada;
   • la aplicación utiliza la data key en memoria para descifrar los datos y descarta la clave a continuación.

De este modo, incluso si alguien copia la base de datos y los archivos asociados, seguirá sin tener la clave privada usada para desbloquear las data keys.

3.2 Firmas digitales en logs y copias de seguridad

Otro uso importante del cifrado asimétrico es la firma digital de artefactos críticos, como:

• copias de seguridad de bases de datos;
• logs de auditoría y trazas de acceso;
• archivos sensibles intercambiados entre sistemas.

Al firmar estos datos, puedes comprobar si se han producido modificaciones indebidas. Esto es especialmente útil en auditorías, investigaciones de incidentes de seguridad y pruebas de integridad frente a los reguladores.

4. Combinando cifrado simétrico y asimétrico en la misma arquitectura

La verdadera fuerza del cifrado en el almacenamiento aparece cuando combinas ambos enfoques. Un diseño típico es:

1. Datos en reposo (discos, bases de datos, archivos, copias de seguridad) cifrados con claves simétricas;
2. Estas claves simétricas:
   • se protegen con una infraestructura asimétrica (KMS/HSM/PKI);
   • tienen un ámbito claramente definido (por entorno, sistema o tipo de dato);
   • se rotan periódicamente.
3. El uso de las claves se controla y se audita:
   • quién puede solicitar el descifrado;
   • desde dónde, cuándo y en qué contexto;
   • con registros detallados de cada operación.

Este es el modelo que encontrarás, por ejemplo, en los principales proveedores de nube y en arquitecturas corporativas más maduras.

5. Cerrando la Parte 2: ¿qué viene después?

En esta segunda parte hemos visto cómo aplicar cifrado simétrico y asimétrico en datos en reposo de forma práctica, con ejemplos y un diseño de arquitectura que combina ambos enfoques.

En la Parte 3 abordaremos el punto crítico que sostiene todo esto: gestión de claves, buenas prácticas de gobernanza, conexión con LGPD/RGPD y un checklist para iniciar o evolucionar tu estrategia de cifrado.