Cifrado de copias de seguridad 101: Directrices y mejores prácticas

La definición de una copia de seguridad cifrada

La encriptación por sí misma no es un término tan difícil – es un método de salvaguarda de datos, que se realiza reordenando o codificando los datos para que sólo las partes autorizadas puedan devolverlos a su estado original y normal. El objetivo principal de la encriptación es que la información original de los datos encriptados quede efectivamente oculta o inaccesible. En este contexto, cifrar las copias de seguridad de los datos es una de las salvaguardas más sencillas contra los ciberdelitos, pero tampoco es 100% seguro.

El cifrado salvaguarda los datos transformándolos de su formato de texto plano (texto legible) a texto cifrado (un formato ilegible) mediante sofisticados algoritmos matemáticos y claves de cifrado. La intención es que el descifrado de los datos sólo esté disponible para los usuarios que se supone que tienen acceso a ellos en primer lugar.

Existen multitud de ejemplos en los que la encriptación de datos se ha aplicado a gran escala. Algunos de estos ejemplos sólo utilizaron el cifrado después de que ya se hubiera producido una filtración masiva de datos. El minorista Target vio comprometida la información personal de más de 70 millones de sus usuarios por un ataque de hackers allá por 2013. Tuvo que pagar una cantidad masiva como parte de un acuerdo sobre la violación de la seguridad. El endurecimiento de la seguridad de los datos (con la incorporación de la encriptación) también formaba parte de este acuerdo. El Bank of America, por su parte, implantó hace un tiempo un marco de cifrado claro debido a requisitos de cumplimiento financiero (en este caso, el cumplimiento de la norma PCI DSS, que se analiza más adelante en el artículo).

El algoritmo de cifrado más popular en estos momentos es el AES – Estándar de Cifrado Avanzado. Se desarrolló originalmente para sustituir al DES, o Estándar de Cifrado de Datos (ya que se volvió demasiado vulnerable con el paso del tiempo). Existen tres longitudes de clave principales con las que puede funcionar AES: 256 bits, 192 bits y 128 bits. AES-256 está ampliamente considerado como el método de cifrado más seguro que existe, ya que combina tanto la resistencia a los ciberataques como la velocidad de cifrado/descifrado.

No todo el cifrado es beneficioso para los usuarios normales; de hecho, puede utilizarse para acciones dañinas e ilegales. Uno de los tipos de ciberataque más comunes en la actualidad es el ransomware (68,42% de todos los ciberataques en 2022), que utiliza las mismas técnicas de cifrado para modificar archivos desprotegidos y exigir un rescate a sus propietarios a cambio del descifrado de los datos.

Además, hay que trazar una línea clara entre el cifrado y el hashing, ya que los propietarios de empresas tienden a confundirlos con regularidad. El hashing como proceso puede parecer similar al cifrado en su naturaleza – porque también describe un proceso de transformación de una pieza de datos en una combinación ilegible de símbolos. La mayor desventaja del hashing en comparación con el cifrado es el hecho de que el hashing es un proceso unilateral, no es posible invertirlo.

El hashing y la encriptación también tienen casos de uso algo diferentes. El cifrado es un término mucho más amplio que abarca una gran variedad de casos de uso, desde la protección de datos hasta los ciberdelitos. El hashing, por otro lado, es mucho más matizado y se utiliza sobre todo para la comprobación de la integridad de los datos, la validación de contraseñas y el blockchain.

Beneficios de las copias de seguridad cifradas

El uso de la encriptación en las copias de seguridad de la información ofrece múltiples ventajas, entre ellas:

• Incluso si le roban, pierde o pone en peligro su ordenador portátil, disco duro o smartphone, la encriptación impide el uso indebido de su información. Esto garantiza la fiabilidad, precisión y validez de sus copias de seguridad, asegurando que los datos permanezcan inalterados.
• La encriptación salvaguarda su información, haciéndola ilegible para individuos no autorizados o actores maliciosos, asegurando que tanto usted como sus clientes tengan la tranquilidad de saber que los datos sensibles permanecen seguros y confidenciales.
• La encriptación restringe el acceso a las personas autorizadas, garantizando que sólo las personas previstas puedan descifrar y utilizar la información.
• La encriptación proporciona un poderoso escudo contra el robo de identidad y los intentos de chantaje, ya que los piratas informáticos no pueden acceder a la información sin la clave de desencriptación. Además, protege las copias de seguridad de la manipulación y la corrupción, lo que refuerza aún más la seguridad de los datos.
• La encriptación ayuda a las empresas a cumplir reglamentos y normas como el GDPR o el PCI DSS (más información al respecto más adelante). Estos requisitos obligan a las empresas a cifrar la información personal de los clientes cuando se almacena o transmite a través de redes públicas.

Tipos de cifrado

Con la creciente importancia de la seguridad de los datos, dejar la copia de seguridad de sus datos sin cifrar ya no es aceptable dentro de las mejores prácticas y probablemente pueda acarrear serios problemas a cualquier organización. Sin embargo, navegar por todos los diferentes métodos de encriptación disponibles puede ser todo un reto. He aquí algunos ejemplos de factores que puede ser importante tener en cuenta durante el proceso de elección de un método de cifrado específico para su empresa:

• Capacidades técnicas
• Obligaciones de seguridad
• Requisitos del marco
• Tipos de datos
• Limitaciones presupuestarias
• Escalabilidad, y mucho más.

Las copias de seguridad encriptadas pueden generarse utilizando varios métodos diferentes. Por ejemplo, hay dos tipos de cifrado que se consideran de uso común.

Encriptación asimétrica

La encriptación asimétrica utiliza un enfoque único para la seguridad de los datos, empleando dos claves vinculadas matemáticamente: una clave pública y una clave privada. La clave pública, fácilmente accesible para cualquiera, sirve al único propósito de cifrar los datos. Esto significa que cualquier individuo puede utilizar la clave pública para asegurar la información, garantizando su confidencialidad.

En cambio, sólo la clave privada posee el poder de descifrar los datos (si se cifraron utilizando la clave del mismo par). Este acceso controlado a la clave de descifrado garantiza que sólo las personas autorizadas puedan descifrar la información asegurada.

Por lo tanto, el dúo de claves privada y pública constituye la base de la encriptación asimétrica y desempeña papeles distintos pero cruciales en la seguridad y protección de los datos sensibles.

Encriptación simétrica

Los algoritmos de clave simétrica representan una clase de algoritmos criptográficos que utilizan la misma clave tanto para descifrar el texto cifrado (datos ilegibles y cifrados) como para cifrar el texto plano (datos legibles). En términos más sencillos, se basan en una clave secreta compartida que actúa como cerradura y como clave, permitiendo tanto el cifrado como el descifrado de la información.

Los métodos de implementación de la encriptación también cambian drásticamente en función del estado de los datos en cuestión. Siguiendo una idea similar a la anterior, podemos presentar dos categorías de cifrado: en reposo y en tránsito.

Encriptación en reposo

Los datos de una empresa son un tesoro de información valiosa. El cifrado en reposo sirve como el sofisticado sistema de seguridad que custodia estos datos, garantizando la confidencialidad e integridad de sus datos incluso cuando están «en reposo», es decir, cuando residen en un medio de almacenamiento – disco duro, almacenamiento en la nube, etc.

Piense en cómo sus copias de seguridad, tras su viaje a través de la red, encuentran su lugar de descanso final en el almacenamiento en la nube, S3, o en sus propios sistemas de almacenamiento. El cifrado en reposo actúa como el escudo impenetrable de la bóveda, cifrando sus datos con una clave única. Esta clave es la única opción posible para acceder a esos datos, concediendo acceso únicamente a los usuarios autorizados y prohibiendo la entrada a cualquiera que intente un descifrado no autorizado.

Incluso si un pirata informático consigue acceder físicamente al dispositivo que almacena sus datos, el cifrado en reposo sigue siendo su formidable oponente, inutilizando los datos en cuestión para cualquiera que no disponga de la clave de descifrado.

El cifrado en reposo es también lo que Google Cloud Platform denomina su propia iteración de SSE: cifrado del lado del servidor. Estos dos términos se utilizan a menudo indistintamente ya que SSE es exactamente la misma tecnología construida para proteger los datos de un cliente «en reposo» – a pesar de que tanto Microsoft como Amazon tienen diferentes convenciones de nomenclatura para sus iteraciones de SSE (Server-Side Encryption y Storage Service Encryption, respectivamente). Al mismo tiempo, el SSE se considera sobre todo una característica de los proveedores de almacenamiento en la nube, y el «cifrado en reposo» también puede aplicarse a los datos almacenados fuera del almacenamiento en la nube.

Encriptación en tránsito

El cifrado en tránsito actúa como el vehículo blindado que salvaguarda estos datos, garantizando su confidencialidad e integridad mientras viajan entre dispositivos, redes y la nube.

Por lo general, las copias de seguridad se transfieren desde su origen, ya sea una máquina local o remota, un servidor o una plataforma basada en la nube (que podría ser algo como Salesforce, Microsoft 365, Google Workspace o cualquier servicio en la nube) hasta su destino final (a cualquier almacenamiento, incluidos los sistemas de almacenamiento locales, remotos o en la nube). Durante este viaje, el cifrado en tránsito encierra sus datos en una capa impenetrable, protegiéndolos de accesos no autorizados y de posibles interceptaciones.

E2EE, o cifrado de extremo a extremo

El cifrado de extremo a extremo (E2EE) es una poderosa herramienta para salvaguardar sus comunicaciones en el mundo digital actual. Actúa como un escudo impenetrable, encriptando sus datos en el dispositivo emisor y garantizando que permanezcan ilegibles para cualquiera excepto para el destinatario, incluso si son interceptados durante la transmisión.

El dispositivo del remitente cifra el mensaje con una clave única que sólo conoce el destinatario. Esta clave se utiliza para bloquear y desbloquear el mensaje, garantizando su confidencialidad durante todo el trayecto.

A terceros como los proveedores de servicios de Internet, los proveedores de servicios de aplicaciones, los piratas informáticos o incluso la propia plataforma se les niega el acceso al contenido de su comunicación. Sólo pueden ver el mensaje cifrado, que aparece como un revoltijo sin la clave de descifrado adecuada.

E2EE ha ganado popularidad en varios servicios de mensajería como Facebook Messenger, WhatsApp y Zoom. Sin embargo, su aplicación también ha desatado la polémica. Aunque mejora la privacidad del usuario, también puede obstaculizar las investigaciones de las autoridades y ofrecer potencialmente un refugio para actividades ilícitas.

Muchos proveedores de almacenamiento en la nube ofrecen la posibilidad de realizar copias de seguridad cifradas de extremo a extremo, e incluso algunas de las plataformas de copia de seguridad más destacadas pueden ofrecer la misma función. Hasta ahora es algo relativamente nuevo en el mercado, pero su nivel de protección es una gran ventaja que ninguna empresa puede permitirse pasar por alto en estos momentos.

Claves de cifrado y servicios de gestión de claves

Las claves de cifrado ya se han mencionado antes en este artículo, por lo que su definición exacta no debería ser difícil de entender. Se trata de una pieza de datos utilizada en criptografía para realizar una operación de descifrado, una operación de cifrado, o ambas. Las capacidades de una clave de encriptación dependen totalmente del tipo de encriptación seleccionado – sólo habría una clave de encriptación para un tipo de encriptación simétrica, mientras que el tipo asimétrico siempre tiene un par de claves (claves pública y privada).

Una clave de cifrado es tan fuerte como larga – las claves más largas son más difíciles de descifrar, pero también requieren más potencia de procesamiento para realizar la operación de descifrado/cifrado. Debido a su naturaleza extremadamente sensible, es natural que exista un sistema dedicado creado específicamente para el almacenamiento de claves de cifrado – y hay un montón de servicios de este tipo.

Estos servicios de gestión de claves (como Google Cloud Key Management, Azure Key Vault, AWS Key Management Service, etc.) ofrecen una forma sencilla de gestionar y salvaguardar las claves de cifrado/descifrado. No es raro que estos servicios de gestión de claves validen las claves de cifrado utilizando el Programa de Validación de Módulos Criptográficos FIPS 140-2 y empleen módulos de seguridad de hardware (HSM) para una mejor gestión de claves para sus clientes.

Los servicios de gestión de claves pueden ofrecer una serie de ventajas, entre las que se incluyen:

• Garantía de cumplimiento: Los registros a prueba de manipulaciones facilitan la superación de auditorías de cumplimiento con facilidad.
• Defensa inquebrantable: Hace que el acceso no autorizado a los datos sea extremadamente difícil, ya que requiere que los intrusos comprometan tanto la clave como la ubicación de los datos.
• Rotación de llaves: La rotación periódica de las claves garantiza que los atacantes dispongan de un tiempo limitado para explotar cualquier vulnerabilidad.
• Seguridad multicapa: Robar información requeriría comprometer al proveedor de la solución, al proveedor de servicios en la nube y al cliente, lo que eleva significativamente el nivel de dificultad.

Requisitos legales y marcos que exigen la encriptación

El número total de diversos requisitos y/o marcos legales que exigen el cifrado de datos de algún modo es extremadamente elevado, por lo que sólo vamos a mostrar una pequeña selección de las normativas más conocidas:

• GDPR, o Reglamento General de Protección de Datos.

La letra a) del apartado 1 del artículo 32 subraya la importancia de utilizar medidas específicas para salvaguardar la información sensible. Esto incluye la encriptación como una herramienta potencial, dependiendo de la naturaleza y el alcance del procesamiento, los riesgos implicados y el estado de la técnica. También puede considerarse la seudonimización, otra técnica de protección de datos.

• HIPAA, or Health Insurance Portability and Accountability Act.

45 CFR § 164.312(a)(2)(iv) esboza los requisitos aplicables a las entidades y sus asociados que entran en el ámbito de aplicación de la Ley. Especifica el requisito de que la información sanitaria electrónica protegida (ePHI) se pueda cifrar y descifrar mediante un mecanismo transparente. Aunque el requisito en sí está abierto a la interpretación, se pueden encontrar más detalles en las salvaguardas técnicas de la Regla de Seguridad de la HIPAA.

• PCI DSS, o Norma de seguridad de datos de la industria de tarjetas de pago.

El requisito 3.4 estipula que las organizaciones deben hacer ilegibles los números de cuenta principales (PAN) dondequiera que se almacenen. Esto incluye los soportes digitales portátiles, los soportes de copia de seguridad y los registros. Se pueden utilizar varios métodos para lograrlo, incluido el hash unidireccional con criptografía sólida, el truncamiento combinado con el hash, o el uso de tokens de índice y almohadillas (con almacenamiento seguro para las almohadillas) junto con criptografía sólida y prácticas sólidas de gestión de claves.

Tipo de cifrado BYOK

Bring Your Own Key (BYOK) ofrece un método estricto y altamente seguro para salvaguardar la información sensible dentro del entorno de la nube. Este enfoque se desvía de confiar en las soluciones de cifrado estándar de los proveedores de la nube y permite a los usuarios aprovechar su propio software y claves de cifrado de confianza.

BYOK concede a los usuarios la propiedad y el control completos sobre sus claves de cifrado, lo que garantiza la soberanía de los datos y el cumplimiento de normativas y requisitos específicos. La utilización de su propio software y claves de cifrado de confianza añade otra capa de protección, aumentando significativamente la dificultad para el acceso no autorizado.

BYOK permite a los usuarios elegir el software de cifrado que mejor se integre con su infraestructura existente, eliminando los problemas de compatibilidad y fomentando una mayor flexibilidad. También proporciona a los usuarios una visibilidad total de todas las actividades de cifrado y descifrado, lo que permite realizar auditorías y registros exhaustivos para lograr unos procesos de cumplimiento y gobernanza sólidos.

BYOK es una opción interesante para las empresas que no desean depender de los servicios en la nube para almacenar sus claves de cifrado, pero no está exenta de problemas, por lo que se recomienda encarecidamente investigar el tema antes de comprometerse a implantar un sistema de este tipo.

Bacula Enterprise y el cifrado de datos

Dentro del competitivo panorama de las soluciones de copia de seguridad y recuperación, Bacula Enterprise se erige como un campeón sin parangón de la seguridad de los datos. Esta incomparable destreza en materia de seguridad se deriva de un enfoque multifacético que abarca su arquitectura, conjunto de características, opciones de despliegue adaptables y amplio potencial de personalización. Para reforzar aún más su postura de seguridad está el hecho de que los componentes principales de Bacula se ejecutan en el sistema operativo Linux, inherentemente seguro.

La seguridad es especialmente importante para Bacula Systems, un valor fundamental que se refleja claramente en su producto Bacula Enterprise, con su enfoque polifacético de la protección de datos. Bacula trasciende la noción de mera seguridad «suficientemente buena». Características como la autenticación de dos factores, el acceso basado en roles y las contraseñas de un solo uso basadas en el tiempo (TOTP) no son meros complementos opcionales, sino que son bloques fundamentales de la arquitectura de seguridad de Bacula, que representan sólo algunos de los elementos básicos mínimos que cualquier organización debería esperar de una solución de copia de seguridad.

Algunas otras características orientadas a la seguridad de Bacula Enterprise incluyen software antivirus integrado, varias políticas personalizables para el cifrado de los datos de las copias de seguridad, control granular de usuarios, restricción granular de datos, compatibilidad con MFA, controles de acceso LDAP, cifrado a nivel de archivos, cifrado de comunicaciones, detección de envenenamiento de datos, informes avanzados sobre el estado de la seguridad, supervisión de la corrupción de datos y muchas otras.

Encriptación de baculas y copias de seguridad

Cuando se trata de capacidades centradas en el cifrado, Bacula puede ofrecer muchas opciones con las que trabajar, entre las que se incluyen:

• Soporte de cifrado de cinta.
• Encriptación TLS automática.
• Soporte para cuatro variantes de cifrado distintas: AES256, AES192, AES128 y blowfish.
• Dos algoritmos de compendio diferentes: SHA256 y SHA1.

Bacula permite cifrar y firmar digitalmente los datos antes de enviarlos a su Storage Daemon. Estas firmas se validan en el momento de la restauración, y se informa al administrador de cualquier falta de coincidencia. Es de vital importancia que ni el Storage Daemon ni el Director tengan acceso al contenido de los archivos sin cifrar durante este proceso.

La PKI, o infraestructura de clave pública, de Bacula Enterprise está compuesta por certificados públicos x509 y claves privadas RSA. Permite la generación de claves privadas para cada File Daemon – así como un número de Claves Maestras que pueden descifrar cualquiera de las copias de seguridad cifradas en el sistema (éstas también se generan como un par – una clave pública y una clave privada).

Se recomienda encarecidamente que tanto las claves del File Daemon como las claves maestras se almacenen fuera de las instalaciones, lo más lejos posible de la ubicación de almacenamiento original. Todos los algoritmos de cifrado/descifrado mencionados anteriormente también están expuestos mediante una API agnóstica a OpenSSL que es completamente reutilizable. Su formato de volumen es ASN.1 codificado con DER, utilizándose como base la Sintaxis de Mensajes Criptográficos del RFC 3852.

Bacula también puede almacenar claves de cifrado/descifrado utilizando dos formatos de archivo diferentes: .CERT y .PEM. El primero sólo puede almacenar una única clave pública con el certificado x509, se utiliza sobre todo para almacenar una única clave de cifrado específica. El segundo es mucho más complejo – es el formato de almacenamiento por defecto de OpenSSL para claves públicas, claves privadas y certificados, y puede almacenar múltiples claves al mismo tiempo – una gran opción para la generación de claves asimétricas donde hay un par de claves que generar en primer lugar (pública + privada).

El futuro del cifrado de copias de seguridad

El futuro del cifrado de copias de seguridad es un panorama dinámico rebosante de innovación e impulsado por la necesidad siempre presente de proteger los datos valiosos frente a ciberamenazas cada vez más sofisticadas. Al igual que la propia encriptación experimenta una evolución constante, los medios para salvaguardar las copias de seguridad seguirán ampliándose y adaptándose para hacer frente a los crecientes retos de seguridad del mañana.

He aquí algunos de los posibles avances que configurarán el futuro de la encriptación de las copias de seguridad:

• La inteligencia artificial y el aprendizaje automático desempeñarán un papel vital en la automatización y mejora de los procesos de cifrado de las copias de seguridad. Los algoritmos impulsados por IA pueden detectar anomalías y amenazas potenciales, mientras que el aprendizaje automático puede utilizarse para optimizar la gestión de claves de cifrado y automatizar tareas rutinarias.
• Los particulares tendrán cada vez más control sobre sus datos a través de soluciones de cifrado centradas en el usuario. Estas soluciones permitirán a los usuarios gestionar sus claves de cifrado, definir los permisos de acceso y supervisar las actividades de cifrado, garantizando una mayor transparencia y responsabilidad.
• A medida que los ordenadores cuánticos se conviertan en una realidad, los algoritmos de encriptación tradicionales se volverán vulnerables.Los algoritmos resistentes a la cuántica, diseñados para soportar la potencia de cálculo de los ordenadores cuánticos, pueden convertirse en el nuevo estándar de encriptación de seguridad (algunos de los primeros ejemplos de este tipo de algoritmos son FALCON y CRYSTALS-KYBER).
• Las soluciones de almacenamiento complejo descentralizado se alzarán como una alternativa más segura y resistente a los métodos de almacenamiento tradicionales. Estas soluciones distribuirán los datos a través de múltiples nodos, lo que dificultará a los piratas informáticos atacarlos y ponerlos en peligro. Esto también incluye la adopción más amplia de un enfoque de seguridad de confianza cero en su conjunto, utilizando el principio de «mínimo privilegio» para una mejor seguridad y un menor riesgo de violación de datos.
• El cifrado de copias de seguridad se integrará perfectamente en todos los procesos de almacenamiento y transferencia de datos, eliminando la necesidad de intervención manual y los errores humanos. Esto no sólo mejorará la seguridad, sino que también agilizará los flujos de trabajo de gestión de datos.

Estos avances son capaces de otorgar a los usuarios un mayor control y transparencia sobre su información, al tiempo que tienen grandes posibilidades de salvaguardar los datos frente a las amenazas más recientes. Combinando soluciones centradas en el usuario y tecnología punta, el futuro del cifrado de copias de seguridad promete un entorno más seguro y fiable para el almacenamiento seguro de datos.

Conclusión

Los ciberdelincuentes apuntan cada vez más a las copias de seguridad en un intento de paralizar la capacidad de las organizaciones para recuperarse de los ataques y maximizar su control sobre los sistemas comprometidos. Esto subraya la importancia crítica del cifrado de las copias de seguridad, no sólo para la continuidad del negocio y la recuperación ante desastres, sino para mejorar significativamente la postura de seguridad general de su organización.

El cifrado de las copias de seguridad actúa como una práctica recomendada de seguridad vital, protegiendo la información confidencial de su organización y frustrando el acceso no autorizado. El cifrado de las copias de seguridad transforma la información confidencial en un formato ilegible, creando una capa de protección de datos relativamente fuerte. Esto inutiliza los datos incluso si los atacantes los interceptan durante la transmisión, ya que carecen de la clave de descifrado necesaria para acceder a ellos o descifrarlos.

La alta fiabilidad y el papel clave de la encriptación en la seguridad de los datos la convierten en una piedra angular de las medidas de seguridad para aplicaciones comerciales, militares, gubernamentales y otras de misión crítica. Sin embargo, es necesaria una correcta implementación para obtener un alto nivel de seguridad del cifrado, algo que Bacula Enterprise puede ofrecer. La calidad de los tipos de cifrado de Bacula y la forma en que está integrado en el sistema lo convierten en un auténtico líder. Se trata de una plataforma de copia de seguridad excepcionalmente flexible con una gama inusualmente amplia de características diferentes, incluidos métodos eficaces de protección de datos y un amplio soporte de cifrado.