Fundamentos

Criptografía en Ciberseguridad: fundamentos

Criptografía en ciberseguridad

Imagina enviar una postal por correo con tu número de tarjeta de crédito escrito en el reverso. Cualquiera que toque esa postal —el cartero, el vecino cotilla o un atacante en la red de distribución— puede leerlo. Ahora imagina meter esa postal en una caja fuerte de titanio, echar la llave y enviarla. Eso, a grandes rasgos, es lo que la criptografía hace por tus datos en el hostil mundo de Internet.

La criptografía (cryptography) no es solo cosa de espías o de gente con sombreros de papel de aluminio; es la columna vertebral que impide que el mundo digital colapse en el caos absoluto. Sin ella, no podrías comprar en Amazon, ni entrar a tu banco, y tus mensajes privados serían tan públicos como un anuncio en Times Square.

En este artículo vamos a desgranar cómo funciona este arte de «escribir en secreto», desde los conceptos básicos hasta las infraestructuras complejas, para que entiendas por qué usar 123456 como contraseña es un insulto a la inteligencia matemática.

Conceptos básicos que debes tatuarte

Antes de ponernos a cifrar como locos, necesitamos hablar el mismo idioma. En seguridad, la precisión lo es todo.

  • Texto plano (Plaintext): Es el mensaje original, legible. Tu contraseña, tu email, esa foto vergonzosa.
  • Texto cifrado (Ciphertext): El resultado ilegible tras aplicar el algoritmo. Si un humano puede leerlo sin la llave, algo has hecho muy mal.
  • Algoritmo (Cipher): La fórmula matemática que convierte el texto plano en cifrado.
  • Llave (Key): El secreto necesario para bloquear o desbloquear el algoritmo.

Regla de oro (Principio de Kerckhoffs): La seguridad de tu sistema debe residir en el secreto de la llave, no en mantener oculto el algoritmo. Si tu seguridad depende de que nadie sepa qué algoritmo usas («seguridad por oscuridad»), lamento decirte que ya has sido hackeado, solo que aún no te has dado cuenta.

Los objetivos principales que buscamos son la famosa tríada (y un extra):

  1. Confidencialidad: Solo quien debe leerlo, lo lee.
  2. Integridad: Nadie ha modificado el mensaje por el camino.
  3. Autenticación: Confirmar que el remitente es quien dice ser.
  4. No repudio: El remitente no puede negar haber enviado el mensaje (como cuando firmas una hipoteca, pero digital).

1. Cifrado Simétrico: Rápido y furioso

El cifrado simétrico (symmetric encryption) es el método más antiguo y eficiente en términos de velocidad. La premisa es simple: usas la misma llave para cifrar y para descifrar.

Es como la llave de tu casa: la usas para cerrar la puerta al salir y la misma para abrirla al entrar. Si le das una copia a tu amigo para que entre a regar las plantas, más vale que confíes en él, porque tiene acceso total.

Algoritmos comunes (y sus estados de salud)

  • AES (Advanced Encryption Standard): El estándar de oro actual. Robusto, rápido y seguro. Si ves AES-256, puedes dormir tranquilo (por ahora).
  • 3DES (Triple DES): El abuelo que se resiste a jubilarse. Es lento y ya se considera obsoleto para nuevas implementaciones. Déjalo descansar.
  • RC4: Rápido pero lleno de agujeros. Usarlo hoy en día es como intentar frenar un camión con una red de pesca.

El problema de la simetría: La criptografía simétrica es genial para cifrar grandes volúmenes de datos (como tu disco duro), pero tiene un fallo logístico enorme: ¿Cómo le pasas la llave a tu receptor de forma segura si el canal es inseguro? Es el problema del huevo y la gallina. Aquí es donde entra su hermano mayor.

2. Cifrado Asimétrico: La magia de las dos llaves

Para solucionar el problema de compartir secretos, nació la criptografía asimétrica (asymmetric encryption). Aquí no tenemos una llave, sino un par:

  1. Llave Pública (Public Key): La repartes a los cuatro vientos. Cualquiera puede tenerla.
  2. Llave Privada (Private Key): La guardas bajo siete llaves. Nadie debe verla jamás.

¿Cómo funciona? Imagina un buzón de correo. Cualquiera puede meter una carta a través de la ranura (usando tu llave pública), pero solo tú, que tienes la llave del buzón (llave privada), puedes abrirlo para leer el contenido. También funciona al revés para las firmas digitales: si cifras algo con tu privada, cualquiera con tu pública puede verificar que fuiste tú.

Los pesos pesados asimétricos

  • RSA (Rivest–Shamir–Adleman): El clásico. Basa su seguridad en la dificultad de factorizar números primos gigantes.
  • ECC (Elliptic Curve Cryptography): La opción moderna y eficiente. Consigue la misma seguridad que RSA pero con llaves mucho más cortas, ideal para móviles y dispositivos IoT.
  • Diffie-Hellman: No cifra datos per se, pero es un método brillante para intercambiar llaves simétricas a través de un canal inseguro.

Nota: El cifrado asimétrico es computacionalmente costoso (lento). En la vida real, usamos un sistema híbrido: usamos asimétrico para intercambiar la llave y luego simétrico para la transmisión de datos. Lo mejor de ambos mundos.

3. Hashing: ¡Ojo! Esto NO es cifrado

Aquí es donde mucha gente se lía. Las funciones hash (hashing) no son cifrado porque no son reversibles.

El hashing es como meter una vaca en una trituradora: obtienes hamburguesas. Pero por mucho que te esfuerces, no puedes volver a convertir las hamburguesas en una vaca. Es una función unidireccional (one-way function).

¿Para qué sirve entonces?

  • Integridad: Si descargas un archivo y su hash coincide con el original, sabes que no ha sido alterado (ni un solo bit).
  • Contraseñas: Nunca guardes contraseñas en texto plano. Guardas el hash. Cuando el usuario hace login, hasheas su input y comparas: si las hamburguesas son iguales, la vaca era la misma.

Algoritmos de Hashing

  • SHA-256 (Secure Hash Algorithm): El estándar actual. Produce una huella digital única de longitud fija.
  • MD5: Rápido, pero roto. Tiene colisiones (dos archivos distintos pueden dar el mismo hash). Usarlo para seguridad es negligencia.
  • BCrypt / Argon2: Específicos para contraseñas, son lentos a propósito para frustrar ataques de fuerza bruta.

Aviso: Si eres desarrollador y guardas contraseñas sin Salt (un valor aleatorio añadido antes de hashear), hay margen de mejora. El salting evita los ataques de Rainbow Tables.

4. Firmas Digitales y PKI: Cuestión de confianza

Ya tenemos las piezas, ahora montemos el sistema. Para confiar en Internet, necesitamos una Infraestructura de Clave Pública (PKI).

Cuando te conectas a tu banco y ves el candadito, es gracias a esto.

  1. Firma Digital: Usas tu llave privada para firmar un hash del mensaje. Garantiza autenticidad e integridad.
  2. Certificado Digital: Es como el DNI de una web o entidad, emitido por una autoridad de confianza.
  3. Autoridad de Certificación (CA): La entidad (como DigiCert o Let’s Encrypt) que dice: «Sí, esta llave pública pertenece realmente a https://www.google.com/search?q=Google.com».

Si quieres profundizar en cómo se gestiona todo este ecosistema de confianza y certificados, te recomiendo leer nuestro artículo sobre PKI (Infraestructura de Clave Pública), donde desgranamos el papel de las CAs y las listas de revocación.

5. Datos en tránsito y en reposo

La criptografía debe aplicarse en dos estados:

  • Datos en tránsito (Data in Transit): Cuando la información viaja por el cable o el Wi-Fi. Aquí reina SSL/TLS. Es lo que pone la «S» en HTTPS. Si tu web no tiene TLS hoy en día, Google te penaliza y los navegadores te marcan como «No seguro». Básicamente, es ponerle un túnel blindado a tus datos.
  • Datos en reposo (Data at Rest): Cuando la información duerme en tu disco duro o base de datos. Aquí usamos cifrado de disco completo (como BitLocker o FileVault) o cifrado a nivel de base de datos. Porque si alguien roba tu servidor físico, sin la llave, solo se lleva un pisapapeles muy caro.

6. Ataques a la criptografía (Criptoanálisis)

Nada es invencible. Los atacantes tienen sus propios trucos:

  • Fuerza Bruta (Brute Force): Probar todas las combinaciones posibles. Contra una llave moderna (AES-256), tardarían más que la edad del universo. Contra tu contraseña «patata», tardan milisegundos.
  • Ataque de Diccionario: Probar palabras comunes.
  • Man-in-the-Middle (MitM): Interceptar el intercambio de llaves si no hay autenticación adecuada.
  • Computación Cuántica: El «coco» del futuro. Los ordenadores cuánticos podrían romper algoritmos asimétricos como RSA. Por eso ya se está trabajando en Criptografía Post-Cuántica.

7. Criptografía en la Empresa: Donde la teoría choca con la realidad

Implementar criptografía en un laboratorio es fácil; hacerlo en una empresa con 500 empleados, servidores que nadie se atreve a reiniciar y desarrolladores con prisa, es un deporte de riesgo. En el mundo corporativo, el problema rara vez es el algoritmo (AES no se rompe solo), el problema es cómo lo usamos.

Aquí tienes las vulnerabilidades más comunes que convierten una fortaleza criptográfica en un castillo de naipes, y cómo evitar que se derrumbe.

A. El pecado capital: Llaves «Hardcodeadas»

Ocurre más de lo que crees. Un desarrollador necesita acceder a una base de datos cifrada y, «para probar rápido», escribe la llave directamente en el código fuente. Ese código acaba en un repositorio Git. Seis meses después, un atacante escanea GitHub, encuentra la llave y… fiesta.

  • El riesgo: Si tienen la llave, el cifrado es irrelevante. Es como cerrar la puerta blindada y dejar la llave puesta.
  • La mitigación: Jamás, bajo ningún concepto, hardcodees secretos. Usa Variables de Entorno o, mejor aún, sistemas de gestión de secretos empresariales como HashiCorp Vault o AWS Secrets Manager.

B. El ataque de los muertos vivientes: Protocolos Legacy

Tu empresa tiene un servidor «crítico» que nadie toca desde 2010. Probablemente esté usando SSL v3 o TLS 1.0. Estos protocolos son vulnerables a ataques conocidos como POODLE o BEAST.

  • El riesgo: Un atacante puede forzar a tu navegador a usar estos protocolos antiguos (Downgrade Attack) y descifrar el tráfico.
  • La mitigación: Auditoría implacable. Deshabilita SSL, TLS 1.0 y TLS 1.1 en todos tus servidores. Exige TLS 1.2 o 1.3 y configura HSTS (HTTP Strict Transport Security) para obligar a los navegadores a rechazar conexiones no seguras.

C. La ceguera del tráfico cifrado (SSL Inspection)

El cifrado es genial para la privacidad, pero también para los atacantes. Hoy en día, la mayoría del malware se descarga a través de canales HTTPS. Si tu Cortafuegos (Firewall) no inspecciona el tráfico cifrado, está ciego.

  • El riesgo: Un empleado descarga un ransomware, pero como viene cifrado por HTTPS, tus defensas perimetrales le abren la puerta sonriendo.
  • La mitigación: Implementar Inspección SSL/TLS (SSL Decryption) en tu firewall de nueva generación (NGFW). Básicamente, el firewall actúa como un «Man-in-the-Middle» autorizado y benévolo: descifra, analiza en busca de amenazas, vuelve a cifrar y entrega el paquete.
    • Nota: Cuidado con la privacidad y las leyes locales (GDPR). No inspecciones tráfico de banca o salud.

D. El desastre de la gestión de certificados

«El servicio se ha caído». Entras en pánico, miras los logs y… el certificado SSL caducó ayer a las 00:00. Clásico. O peor, usas certificados autofirmados (Self-signed) en producción y acostumbras a tus usuarios a hacer clic en «Aceptar riesgo y continuar».

  • El riesgo: Interrupción del negocio y entrenamiento de usuarios para caer en ataques de Phishing.
  • La mitigación: Automatización. Usa herramientas como ACME (Automated Certificate Management Environment) o servicios como Let’s Encrypt para que la renovación sea automática. Y monitoriza las fechas de caducidad como si tu vida dependiera de ello (porque tu bonus sí depende).

E. Ransomware: Cuando la criptografía se vuelve en tu contra

La ironía máxima. Los atacantes usan la criptografía (a menudo algoritmos legítimos y bien implementados) para secuestrar tus datos y pedir rescate.

  • El riesgo: Pérdida total de disponibilidad de la información.
  • La mitigación: Aquí la criptografía no te salva, te hunden. La única salida son Backups Inmutables y fuera de línea (Air-gapped). Si el ransomware no puede tocar tus copias de seguridad, no tienes que pagar.

Checklist de Buenas Prácticas

Si vas a implementar criptografía, sigue estos mandamientos o prepárate para el desastre:

  1. No inventes tu propia criptografía: En serio, no lo hagas. Eres listo, pero no eres un matemático experto con décadas de revisión por pares. Usa librerías estándar (OpenSSL, Bouncy Castle, Sodium).
  2. Gestión de llaves (Key Management): Es la parte más difícil. Guardar la llave junto a los datos cifrados es como dejar la llave puesta en la cerradura. Usa HSMs (Módulos de Seguridad de Hardware) o gestores de secretos tipo Vault.
  3. Usa aleatoriedad real: Math.random() no sirve para criptografía. Usa generadores de números pseudoaleatorios criptográficamente seguros (CSPRNG).
  4. Renueva tus certificados: Un certificado caducado es una interrupción de servicio garantizada.

Ejemplo práctico: Hashing en la terminal

¿Quieres ver cómo funciona un hash ahora mismo? Si tienes una terminal (Linux/Mac o WSL en Windows) con OpenSSL, prueba esto:

# Crear un archivo con texto
echo "Cybernotes es genial" > secreto.txt

# Calcular el hash SHA-256
openssl dgst -sha256 secreto.txt
# Salida: SHA2-256(secreto.txt)= 8d23... (una cadena larga)

# Ahora cambiamos UNA sola letra del archivo
echo "Cybernotes es Genial" > secreto.txt

# Calculamos de nuevo
openssl dgst -sha256 secreto.txt
# Salida: ¡El hash es completamente diferente! Efecto avalancha.
Bash

Este simple cambio demuestra cómo garantizamos la integridad.

Conclusión

La criptografía es la barrera invisible que separa la civilización digital de la barbarie. Desde el cifrado simétrico que protege tus archivos, hasta la magia matemática del cifrado asimétrico que asegura tus comunicaciones, todo trabaja en conjunto para darte privacidad.

Recuerda: la criptografía no falla (casi nunca), lo que falla es la implementación humana. Una llave RSA de 4096 bits no sirve de nada si la guardas en un post-it pegado al monitor.

Y ahora, ve y cifra algo. Tu «yo» del futuro te lo agradecerá cuando se filtren las bases de datos de tu servicio favorito y tus credenciales sigan siendo un enigma indescifrable.

Carlos del Río
Carlos del Río
Especialista en tecnología y ciberseguridad con más de 18 años de experiencia en entornos educativos y corporativos. Cybernotes nace con el objetivo de aportar mi granito de arena para conseguir un mundo más ciberseguro y al mismo tiempo mejorar mis conocimientos. ¡Fuerza y Honor!
Conecta conmigo en LinkedIn

Últimos artículos

También te puede interesar...

━ About

Cybernotes es un proyecto personal de divulgación sobre ciberseguridad y tecnología, con guías, análisis y contenidos prácticos para aprender y mantenerse al día en el mundo digital.

━ Privacidad

━ Síguenos

━ Disclaimer

Este contenido es solo para fines educativos. Las opiniones son personales y no representan a mi empleador ni a ninguna organización con la que esté vinculado.

© cybernotes.eu - Made with ❤ , time, and AI