Procedimientos 10 minutos de lectura

PROTECCIÓN DE LA INFORMACIÓN EN TRÁNSITO Y EN REPOSO: POR QUÉ EL CIFRADO NO ES OPCIONAL

Introducción

El cifrado no es una opción avanzada: es una condición mínima de seguridad.
Cada dato que viaja o se almacena sin cifrar deja una puerta abierta a la exposición, la manipulación o el robo.
En un mundo hiperconectado, donde los ataques a la información son cuestión de tiempo, proteger los datos en tránsito y en reposo ya no es una recomendación: es una obligación técnica, legal y ética.

La diferencia entre tener información y tenerla protegida es simple: si un atacante roba tus datos pero no puede leerlos, no ha ganado nada.

El contexto: por qué seguimos fallando

En 2025, gran parte de las filtraciones de datos no provienen de brechas sofisticadas, sino de malas configuraciones de cifrado.
Bases de datos sin encriptar, backups en texto plano, certificados caducados o buckets en la nube mal configurados siguen siendo una constante.
La tecnología está disponible, pero lo que falta sigue siendo disciplina.

Qué significa proteger datos en tránsito y en reposo

  • En tránsito: datos que se mueven entre usuarios, sistemas o redes (por ejemplo, correos, APIs, conexiones web). El cifrado evita interceptaciones y manipulación durante el envío.
  • En reposo: datos almacenados en discos, servidores, bases de datos o copias de seguridad. El cifrado protege ante accesos no autorizados o robos físicos.

Por qué el cifrado no es opcional

  • Requisito normativo: exigido por ISO/IEC 27002:2022 (A.8.24–A.8.26), ENS y RGPD.
  • Mitigación ante incidentes: un fichero cifrado robado no implica una fuga de datos efectiva.
  • Reputación y confianza: una brecha cifrada no destruye credibilidad ni contratos.
  • Auditoría y cumplimiento: auditores, clientes y socios exigen evidencia de cifrado activo y gestión de claves.

Ejemplo práctico

Una empresa sufre el robo de un portátil con información de clientes.
En el disco hay datos personales, pero el cifrado de disco completo (FDE) está activado. El atacante no puede acceder sin la clave.
Resultado: el incidente se clasifica como “sin impacto en datos personales” según el RGPD. El cifrado no evitó el robo, pero evitó el daño.

Buenas prácticas para datos en tránsito

  1. Usa TLS 1.2 o superior en todas las comunicaciones (correo, web, APIs).
  2. Desactiva protocolos inseguros (SSLv3, TLS 1.0, HTTP, FTP).
  3. Implementa HSTS en sitios web para forzar HTTPS.
  4. Aplica cifrado punto a punto (E2EE) en mensajería y transferencia de archivos sensibles.
  5. Firma digitalmente los datos críticos (S/MIME, PGP, DKIM) para garantizar integridad y autenticidad.

Buenas prácticas para datos en reposo

  1. Activa cifrado completo de disco (FDE) en servidores, portátiles y móviles.
  2. Cifra bases de datos y backups con algoritmos robustos (AES-256, ChaCha20).
  3. Centraliza la gestión con un KMS (Key Management Service), segregando roles y accesos.
  4. Usa claves propias en la nube (BYOK / HYOK) siempre que el proveedor lo permita.
  5. Define políticas claras de rotación, caducidad y destrucción segura de claves.

Errores comunes (que todavía vemos)

  • Guardar contraseñas o tokens en texto plano.
  • Cifrar los datos pero dejar las claves en el mismo servidor.
  • Usar algoritmos obsoletos (DES, RC4, MD5, SHA-1).
  • No cifrar backups o entornos de pruebas.
  • Olvidar cifrar la información almacenada en móviles o memorias USB.

Herramientas recomendadas

  • KMS: AWS KMS, Azure Key Vault, Google Cloud KMS, HashiCorp Vault.
  • Cifrado de archivos y discos: BitLocker, VeraCrypt, LUKS, FileVault.
  • Cifrado de correo: PGP, ProtonMail, Microsoft Purview Message Encryption.
  • Cloud Encryption: servicios BYOK/HYOK con claves gestionadas por el cliente.

Checklist rápida

  1. ✅ ¿TLS 1.2+ habilitado en todos los servicios?
  2. ✅ ¿Claves y certificados gestionados de forma centralizada?
  3. ✅ ¿Cifrado activo en bases de datos, backups y dispositivos móviles?
  4. ✅ ¿Algoritmos obsoletos eliminados del entorno?
  5. ✅ ¿Política formal de gestión de claves vigente?

Relación con normas y marcos

El cifrado es transversal a todas las normativas de seguridad.

  • En la ISO/IEC 27002:2022, los controles A.8.24–A.8.26 abordan la protección de la información en tránsito y reposo, y la gestión de claves criptográficas.
  • En el ENS, se refuerza bajo los principios de integridad y confidencialidad.
  • Y en el RGPD, se menciona como medida técnica apropiada para proteger datos personales de accesos no autorizados.

Reflexión final

La confidencialidad no se logra con firewalls, sino con matemáticas.
El cifrado no evita ataques, pero convierte una brecha en un evento sin impacto.
Si tus datos viajan o se almacenan sin cifrar, no es una cuestión de “si habrá fuga”, sino de cuándo.

Conclusión

En ciberseguridad, el cifrado no es opcional: es el cimiento invisible que sostiene la confianza digital.
En Gondor ayudamos a las organizaciones a implementar políticas de cifrado robustas, integradas con sus sistemas de gestión y alineadas con ISO/IEC 27002, ENS y RGPD.