En esta guía, trataremos qué es el cifrado en reposo, cómo funciona y cómo lo implementamos en Mailfence.
¿Qué es la encriptación en reposo?
La encriptación en reposo es la práctica de proteger los datos almacenados en un dispositivo, codificándolos con algoritmos de encriptación. Es el método de encriptación de los «Datos en reposo», es decir, los datos almacenados en ese momento, normalmente en el disco duro de un ordenador o servidor.
La encriptación en reposo difiere de la encriptación en tránsito, que se utiliza para proteger los datos mientras se mueven entre ubicaciones. Además, contrasta con los datos en uso, que se refieren a los datos que se cargan activamente en la memoria y son procesados por una aplicación informática.
Tipo | ¿Dónde está? |
---|---|
Datos en reposo | Almacenamiento |
Datos en tránsito | Viajar por las redes |
Datos en uso | Memoria |
La encriptación en reposo ayuda a garantizar que la información sensible siga siendo confidencial incluso en caso de pérdida o robo de un dispositivo. Las personas no autorizadas que accedan a medios de almacenamiento, como discos duros o servidores en la nube, no pueden descifrar los datos sin claves de descifrado. Puedes pensar en la encriptación en reposo como si encerraras los objetos de valor en una caja fuerte. Aunque alguien entre en casa, no podrá abrir la caja fuerte sin la combinación correcta.
¿Cómo funciona la encriptación en reposo?
Cuando se almacenan datos en un dispositivo, un algoritmo de encriptación convierte la información legible en caracteres ilegibles. Por ejemplo, datos sensibles como «Contraseña de usuario: 12345» se transforman en una cadena codificada como «lJf9#%!@7^g12».
El proceso de encriptación suele constar de dos componentes principales:
- el algoritmo de encriptación que determina cómo transformar los datos;
- y la clave, que actúa como el «secreto» que desbloquea la información original.
La encriptación en reposo puede funcionar a distintos niveles según la implementación:
- Algunos sistemas encriptan los datos a nivel de archivo, protegiendo archivos o carpetas específicos;
- Otros aplican el cifrado de disco completo (también llamado cifrado a nivel de bloque), que protege todo el dispositivo de almacenamiento. Una vez que se enciende el dispositivo, se desencriptan todos los datos.
- Por último, la encriptación a nivel de almacén protege los datos mientras están almacenados en sistemas estructurados. Esto significa que, aunque se encienda el disco, todos los datos permanecen encriptados. Sólo cuando se llama a un dato, se desencripta ese dato concreto.
Los sistemas de encriptación en reposo suelen depender de claves de encriptación almacenadas en entornos seguros, como los módulos de seguridad de hardware (HSM), para gestionar los datos encriptados.
Estos dispositivos mantienen las llaves a salvo de accesos no autorizados y proporcionan una capa adicional de seguridad al aislarlas del acceso general dentro del sistema.
Los sistemas modernos suelen automatizar los procesos de encriptación y desencriptación para garantizar la facilidad de uso y la eficacia. Cuando los usuarios acceden a los datos encriptados, el sistema los desencripta temporalmente en la memoria, permitiendo las acciones autorizadas al tiempo que mantiene seguros los datos almacenados.
Por ejemplo, en un servicio de almacenamiento en la nube, los archivos permanecen encriptados en el servidor, pero se desencriptan en el dispositivo del usuario cuando se accede a ellos mediante credenciales y permisos válidos.
Cómo Mailfence implementa el cifrado en reposo
Aunque muchas aplicaciones implementan la encriptación a nivel de bloque (o de disco completo), nosotros optamos por la encriptación a nivel de almacén. Esto presenta varias ventajas:
- incluso al montar (es decir, encender) el disco duro del servidor, todos los datos del usuario permanecen encriptados. Sólo cuando un usuario llama a un correo electrónico (o archivo.) se desencriptan esos datos concretos;
- El cifrado a nivel de almacén permite una gestión avanzada de claves con más control (varias claves para varios almacenes). Esto significa que si se compromete una clave para un almacén, el resto de los almacenes no se verán comprometidos.
- La encriptación a nivel de almacén también te permite almacenar copias de seguridad de almacenes específicos encriptándolos primero internamente (es decir, no dependes de la encriptación de un tercero).
Sin embargo, es importante tener en cuenta que la encriptación en reposo no te protege contra todas las amenazas.
La encriptación en reposo sólo añade una capa adicional de protección contra el robo físico. No te protege de los atacantes que consiguen entrar en tu sistema (por ejemplo, a través de Internet) ni de la interceptación de datos en tránsito.
¡Tampoco significa que no debas utilizar la encriptación de extremo a extremo! La E2EE debe ser tu máxima prioridad y tu mejor línea de defensa contra la vigilancia masiva.
Si quieres saber más sobre cómo proteger tu vida en Internet, consulta nuestro curso de concienciación sobre seguridad y privacidad del correo electrónico.
Conclusión
Eso es todo para esta guía sobre el cifrado en reposo, y cómo lo implementamos aquí en Mailfence.
Si deseas más detalles técnicos sobre nuestra aplicación, no dudes en ponerte en contacto con nosotros en support@mailfence.com.